Alberto Bartoli - Blog

Questo blog è stato inattivo per molto tempo...sorry...in questi mesi mi sono venute in mente molte idee o notizie da postare ma poi le ho sempre lasciate cadere a causa dei troppi impegni. Segnalo un post recente sul sito del Machine Learning Lab .

Non mi riferisco ai mondiali di calcio. Mi riferisco agli " HUMIES AWARDS for Human-Competitive Results produced by Genetic and Evolutionary Computation ". Il nostro  Regex Golf player  (accessibile online  qui ) è stato selezionato tra i 7 finalisti di quest'anno, 14-esima edizione. Un risultato molto prestigioso. ( AGGIORNAMENTO : il sito della competizione indica solo me come autore; ho già fatto presente che gli autori sono 4: Alberto Bartoli, Eric Medvet, Andrea De Lorenzo, Fabiano Tarlao; penso lo aggiorneranno nei prossimi giorni; inoltre, la finale è lunedi 14, ma il vincitore sarà comunicato un paio di giorni dopo) In pochissime parole, ogni anno viene organizzata una competizione intesa a premiare chi ha ottenuto risultati che migliorano lo stato dell'arte ("human-competitive") utilizzando tecniche di calcolo genetiche o evolutive (una descrizione ultra-semplificata ed ultra-sintetica di queste tecniche può essere trovata nel  post ...

Attackers have pulled off a lucrative raid on a single bank stealing half a million euros in a week, Kaspersky researchers say. The crims stole between €17,000 and €39,000 from each of 190 Italian and Turkish bank accounts, with a single continuous attack. Voi fate pure cosa vi pare... Notizia completa:  http://www.theregister.co.uk/2014/06/26/half_a_imeellioni_euros_stolen_in_weeklong_bank_smash_n_grab/

Consiglio caldissimamente la lettura di questo post: Computers now run our cars. It's now possible for a hacker to infect your car with a "virus" that can slam on the brakes in the middle of the freeway. Computers now run medical devices like pacemakers and insulin pumps, it's now becoming possible assassinate somebody by stopping their pacemaker with a bluetooth exploit. ... So let's say I've found a pacemaker with an obvious BlueTooth backdoor that allows me to kill a person, and a year after notifying the vendor, they still ignore the problem, continuing to ship vulnerable pacemakers to customers. What should I do? If I do nothing, more and more such pacemakers will ship, endangering more lives. If I disclose the bug, then hackers may use it to kill some people. Spesso chi si occupa professionalmente di sicurezza tende ad ingigantire i pericoli, nel proprio interesse. Non è questo il caso. Si tratta di problemi reali, concreti, descritti da una person...

Molta gente ritiene di no. Molta gente sta cercando di utilizzare i pattern di uso del mouse come una sorta di proprietà biometrica degli utenti, utile per verificarne l'identità o per aumentare il grado di certezza ottenibile dalla presentazione di credenziali o altri strumenti. L'idea è che se il pattern di utilizzo del mouse osservato per l'utente "bartoli.alberto" ogni tanto cambia in modo sensibile, allora è molto probabile che siano in corso accessi fraudolenti per quello username. Questa tecnica è molto interessante e molto promettente, in particolare se può essere applicata in modo sistematico, automatico e su larga scala. Il che è precisamente quello che abbiamo iniziato a fare con l'ultimissimo lavoro del Machine Learning Lab . Questo lavoro ha beneficiato del contributo di molte persone nei mesi scorsi, tra i quali un tesista magistrale. Gli autori del paper sono quelli che hanno sviluppato l'algoritmo "definitivo" ed effettuato ...

Ne abbiamo parlato proprio ieri pomeriggio a lezione ​ (ancora la mia sfera di cristallo ...)​ : quando l'autenticazione del client si basa su password, il server deve avere copia della password; il segreto del client cioè deve essere noto anche al server; quindi  un attaccante o un impiegato disonesto può, in linea di principio, prelevare la password dal server ; il che crea uno scenario in cui il client può pagare il costo delle inefficienze / responsabilità del server ​​(quando il client si autentica tramite smart card / crittografia a chiave pubblica le cose sono radicalmente diverse: il server non conosce il segreto del client, può solo verificare che il client effettivamente conosce quel segreto) ​. Queste cose accadono davvero: ​ Ebay vittima di un attacco hacker: “Gli utenti cambino la password”   Il sito di vendita on line vittima di una cyber imboscata. Ma rassicura: «I dati finanziari non sono stati compromessi». Perdono i titoli in Bors...

Un lavoro tratto da una tesi di laurea magistrale svolta di recente nel Machine Learning Lab è stato accettato per la presentazione ad una conferenza internazionale molto prestigiosa. Ancora una volta mi chiedo perché molti studenti in gamba preferiscano fare tesi di laurea in cui l'obbiettivo è fare qualche finestra colorata con qualche bottone altrettanto colorato usando una delle N tecnologie esistenti al momento...ma questo è un altro discorso. Difficile spiegare sinteticamente di cosa si tratti. Ci provo. Molte organizzazioni sono dotate di " Intrusion detection systems ", sistemi che analizzano tutto il traffico in ingresso ed uscita alla ricerca di pattern indicativi di attività fraudolente. I pattern sono moltissimi. Un modo compatto per descrivere questi pattern consiste nell'utilizzo di " espressioni regolari ". Ad esempio:   ^[A-Z0-9._%+-]+@[A-Z0-9.-]+\.(?:[A-Z]{2}|com|org|net|edu|gov|mil| biz|info|mobi|name|aero|asia|jobs|museum)$   è un...

Domanda Salve prof,avrei una curiosità che non centra nulla con il corso di Reti: per quale ragione si dice che Mac sia insensibile ai virus e ai malware? Si tratta solo di una diceria o è veramente così? Risposta Motivo della Risposta Vedi i link con data 16 Maggio 2014 (oggi) che ho appena messo qui . (segue piccolissimo update del Marzo 2015; 2 minuti per trovarli e 10 minuti per formattarli sul blog; se cercate tra le mie security news ne trovate certamente molte altre):  Never trust SMS: iOS text spoofing FREAK out: Apple and Android SSL is WIDE OPEN to snoopers Apple Safari 7.0.4 closes 22 holes, including 21 listed under "arbitrary code execution" Instagram iOS session hijack

Alcuni ricercatori israeliani hanno pubblicato da poco un articolo scientifico su una rivista molto prestigiosa in cui dimostrano la fattibilità di una cosa molto interessante. Ne parlo qui come ulteriore esempio del fatto che la mia sfera di cristallo personale funziona davvero. E' necessaria una introduzione. Un client ha aperto una connessione TCP con un server. E' possibile che un attaccante riesca ad iniettare dati in quella connessione ? Il server riceverebbe dalla connessione dati generati dall'attaccante, invece che dal client; allo stesso modo, il client riceverebbe dati generati dall'attaccante invece che dal server. La gravità potenziale di attacchi del genere è evidente. In Reti di Calcolatori II analizziamo (anche) questa tipologia di problemi. L'analisi è molto istruttiva, non solo per il risultato (un attaccante che si trova in mezzo tra il client ed il server può fare di tutto, compresi questi attacchi) ma soprattutto come "e...

Nell'ultima lezione di Reti ho accennato al Machine Learning come tecnica per costruire i filtri anti-spam. Il Machine Learning è un insieme di tecniche che permettono di fare una cosa fantastica: ho un problema che non ho la minima idea di come risolvere; ho tanti esempi risolti di quel problema, cioè tante coppie "dati del problema", "risultato desiderato". Grazie a queste tecniche, si può  generare automaticamente  un algoritmo che risolve il problema. Descritta in questi termini la faccenda è fantastica: come generare un algoritmo in grado di cucinare piatti buonissimi ? basta fornire un grande elenco di ricette di piatti buoni, un altro grande elenco di piatti pessimi, e voilà. Come generare un algoritmo in grado di sintetizzare canzoni di successo ? idem, un elenco di successi ed un elenco di canzoni schifose e siamo a posto. Ovviamente le cose non sono così semplici e queste tecniche, pur applicabili in moltissimi campi, non si possono appli...

In una delle prime lezioni del corso di Reti di quest'anno ho parlato di quanto sia critico il DNS per il funzionamento di Internet. L'eventualità che l'infrastruttura DNS fornisca informazioni fraudolente non è "teorica ed improbabile". Eventi di questo genere si verificano molto spesso. Pochi giorni fa è uscita questa notizia: http://arstechnica.com/security/2014/03/hackers-hijack-300000-plus-wireless-routers-make-malicious-changes/ in parole povere, un attacco informatico su larga scala ha modificato le informazioni di configurazione ricevute automaticamente alla connessione da casa (approfondiremo più avanti nel corso) facendo in modo che i client si colleghino non al server DNS del proprio provider ma ad un server DNS fraudolento. Gli effetti sono facilmente immaginabili. A lezione avevo citato la possibilità degli amministratori disonesti, qui si tratta invece di attacchi che sfruttano errori software (argomento al quale accenneremo più ava...

This is quite an unusual post. It describes a for-fun application of a topic well-known in engineering and research:  multiobjective optimization . We decided to blog about this anyway, because it may be of some interest for our students--and because it is funny. Three of us are part of a group of friends that (attempt to) play football every week.... (see here )

...o in libreria, o in pizzeria, o dal gommista, o dal meccanico, o dal negozio di articoli sportivi, etc. Basta leggere questo avviso dello "United States Computer Emergency Readiness Team" per rendersene conto: In sostanza, sono in giro dei malware diretti ai POS, cioè alle macchinette di pagamento in cui si infilano i bancomat e le carte di credito. Non è sorprendente, era solo questione di tempo. Le motivazioni alla base di questi attacchi (vantaggio finanziario potenzialmente enorme) sono troppo forti per sperare che nessuno ci riuscisse. Per gli utenti delle macchinette (cioè chi paga) l'unica difesa suggerita è quella di cambiare frequentemente il PIN (sinceramente non so se e come sia possibile cambiare il PIN di un bancomat). Da notare che le carte di credito limitano i danni ad una certa quantità massima, mentre i bancomat sono potenzialmente più pericolosi in quanto sono collegati al conto bancario. Per Una cosa interessante sono le soluzioni suggerite...