Alberto Bartoli - Blog

Siamo a quattro: Sono uno del circa miliardo di utenti coinvolti nel furto di credenziali: https://www.theguardian.com/technology/2016/dec/14/yahoo-hack-security-of-one-billion-accounts-breached Le tre volte precedenti sono descritte nel post precedente a questo; quel post contiene anche qualche riflessione sulle password...

(...almeno che io sappia) Anche io sono uno dei 43.000.000 (quarantatre milioni) di utenti le cui credenziali Weebly sono state trafugate. https://techcrunch.com/2016/10/20/weebly-hacked-43-million-credentials-stolen/ E' la terza volta che mi succede ( LinkedIn , Dropbox ). Non accade solo a me (vedi questo post ). Ciò spiega perché usare la stessa password per più siti è una follia . Se io usassi la stessa password su tutti i siti, allora l'attaccante che è riuscito a trafugare la mia password su uno di quei siti riuscirebbe ad impersonarmi in ogni altro sito. Da notare che le password trafugate sono quasi sempre messe in vendita a pochissimo prezzo, quindi sono note a potenzialmente chiunque. Ciò spiega anche perché è necessario usare password lunghe e che non consistono di parole  (vedi anche più sotto). Non perché gli attaccanti provano a inserire la password in un form esposto su web (e quindi riescono a provare circa 10 password al minuto). Il motivo è più compl...

Molto spesso gli studenti che devono fare una domanda generano una quantità elevatissima di parole che cercano di trasportare 4 concetti molto diversi tra loro: Domanda mirata a chiarire il dubbio Motivo per il quale è sorto il dubbio (ad esempio, slide ambigua o esperienza personale) Descrizione di uno scenario di esempio per chiarire la domanda Informazioni sullo scenario di esempio che sono del tutto inutili per la domanda L'effetto più frequente è che chi riceve la domanda non capisce o deve fare un grande sforzo per capire. Un effetto accessorio molto frequente è che chi formula la domanda non genera una "grande impressione" in chi la riceve. E' molto, molto, molto importante acquisire la capacità di distinguere questi concetti e di rifletterne la separazione in ciò che si dice o si scrive. Non è importante solo per il corso di reti, è importante sempre. In qualsiasi attività professionale. E' parte essenziale della capacità di esprimersi in modo c...

Questa volta da Dropbox. Sono uno dei 68 milioni e passa di utenti coinvolti in un breach avvenuto nel 2012 e reso noto solo in questi giorni (dettagli qui e qui ). Maggiori dettagli su queste faccende in un mio post di qualche mese fa, quando mi era stato notificato il furto delle mie credenziali LinkedIn.

Non mi riferisco agli europei di calcio. Mi riferisco agli " AWARDS for Human-Competitive Results produced by Genetic and Evolutionary Computation ". In pochissime parole, ogni anno viene organizzata una competizione internazionale riservata a chi ha ottenuto risultati scientifici "human-competitive" utilizzando tecniche di calcolo genetiche o evolutive (per avere un'idea di quali siano queste tecniche, vedi penultimo paragrafo qui ). Abbiamo superato la prima selezione (22 partecipanti) e ci siamo qualificati per la finale: 8 partecipanti, 22 Luglio 2016, Denver. Maggiori dettagli in un post sul sito del Machine Learning Lab. PS: E' la seconda volta che arriviamo in finale. La prima volta fu due anni fa. Il blog post  in cui avevo messo l'annuncio iniziava esattamente come questo post ma invece di riferirsi agli europei si riferiva ai mondiali...

...ad integrazione di quanto ho scritto ieri sull'uso dei cellulari come strumento aggiuntivo di autenticazione, si sta diffondendo un altro modo per ottenere il codice inviato via SMS. E' basato su "social engineering" (ingannare l'utente; niente di tecnicamente sofisticato). Mi spiace non averci pensato io, è davvero banale. L'attaccante deve avere ottenuto la password dell'utente da attaccare. Ciò non è immediato ma neanche difficile: il motivo per il quale si inviano i codici via SMS è proprio perché ottenere la password non è difficile. A questo punto l'attaccante procede come segue: Esegue il login con username e password dell'utente. Subito prima di eseguire una operazione che richiede l'inserimento di un codice inviato dal servizio via SMS, l'attaccante: invia un messaggio all'utente, in una qualche forma: Twitter, email, whatsapp, SMS...; nel messaggio dichiara di essere il servizio e scrive: " Caro utente, abb...

I cellulari sono usati sempre più spesso come strumento per aumentare la sicurezza dei sistemi informatici. Si usano comunemente per la cosiddetta two-factor authentication: l'utente inserisce una password, il sistema invia un SMS ad un numero telefonico associato alla password, l'utente trova nell'SMS un codice, valido solo per alcuni minuti, da inserire nel servizio come ulteriore conferma della propria identità ("something you know" = password più "something you have" = cellulare con un certo numero telefonico). Tecniche di questo genere sono usate in molti servizi di carattere finanziario (ad esempio Postepay) o di carattere legale (verbalizzazione on-line degli esami nel nostro ateneo). Come accade invariabilmente ogni volta che si sviluppa una nuova tecnologia, molti tendono a considerare quella tecnologia come sinonimo di sicurezza assoluta (basta leggere un pò di pubblicità o di documenti tecnici che risalgono ai primi anni di SSL e HTTPS p...

A mio parere la legge ed i decreti citati in questa pagina sono sbagliati ed ingiusti, per molti motivi che non approfondisco per mancanza di tempo e di voglia. Idem per il modo con il quale la legge ed i decreti sono stati applicati nella nostra Università. Idem per il fatto che ancora non sappiamo come la nostra Università intenderà applicare la legge ed i decreti in futuro (nessuno conosce i criteri che saranno utilizzati per valutare il lavoro che stiamo facendo oggi). Tutto ciò premesso, ammetto di essere contento per la valutazione del mio lavoro: triennio precedente al 2011: 11 su 80 partecipanti e 134 aventi diritto; triennio precedente al 2013: 1 su 78 partecipanti e 134 aventi diritto.

...su LinkedIn (qualcuno pensava già alla mia password per verbalizzare gli esami...invece no; più precisamente, se mi sono state trafugate le credenziali di ateneo io non lo so). Non dovrebbe essere successo nulla di particolarmente grave, ma mi pare importante condividere questo evento per sottolineare che: Queste cose possono accadere a chiunque. Il furto della intera tabella delle credenziali (username e password) sui server è un evento relativamente frequente e può coinvolgere anche grandi organizzazioni. Ne avevo già parlato in un post recente . Io posso tentare di custodire le mie credenziali nel modo migliore possibile; ma se le mie credenziali le conosce anche il server, allora l'attaccante può rubarle dal server.  Per quanto riguarda il punto 3, tentare di rubare le credenziali dal server è molto più conveniente per l'attaccante: se ha successo un attacco verso di me, l'attaccante ottiene UNA credenziale; se ha successo un attacco verso il server, l'at...

Nella lezione di "reti di calcolatori" di ieri mi sono reso conto che devo insistere maggiormente per sottolineare un aspetto di SSL (quindi di HTTPS) che a me pareva banale ma che evidentemente banale non è. SSL fornisce garanzie di sicurezza (autenticazione, integrità, riservatezza) tra le due estremità della connessione TCP. Fornisce cioè garanzie relative allo spostamento di dati tra un punto ed un altro. SSL non fornisce nessunissima garanzia di sicurezza "nei calcolatori" alle due estremità della connessione. Esempio semplicissimo: un attaccante può modificare un documento statico sul server; oppure può modificare i programmi sul server che generano i documenti dinamici. SSL continua a fornire le proprie garanzie: i dati sono autentici, riservati ed integri da una estremità all'altra della connessione. Ma i dati che viaggiano nella connessione non sono quelli che il server "avrebbe voluto inviare". Da un altro punto di vista, il dato sul ...

Sto valutando l'opportunità di sostenere l'esame di stato, ma cercando su internet e sui vari forum non trovo particolari vantaggi come ingegnere informatico (se non 0,5 punti in graduatoria nei concorsi pubblici...ed un po' di prestigio personale). Prima di scartare questa idea però volevo chiederle un'opinione in merito, poiché credo che la sua esperienza l'abbia aiutata a rispondere al "a che cosa serve l'esame di stato per un ingegnere informatico"? La mia esperienza purtroppo non mi ha aiutato a rispondere. La risposta è "in tutta sincerità non lo so". "Non lo so" non significa "a nulla". Significa "non lo so". Per estensione implica "a me non è mai servito e non conosco nessuno di cui possa affermare che gli sia servito". Devo comunque aggiungere che è vero anche il contrario: non conosco nessuno di cui possa affermare che sia stato danneggiato dall'avere sostenuto l'esame...

Le cose che possono andare male sono tantissime (vedi anche https://bartoli-alberto.blogspot.it/2015/10/vulnerabilita-di-implementazione.html ). Al fine di capire meglio a cosa serve e, soprattutto, a cosa non serve la crittografia a chiave pubblica, è utile ricordare le ipotesi alla base delle sue applicazioni pratiche (in particolare, HTTPS e firma digitale). Queste ipotesi, in parole povere, sono: Subject diversi hanno chiavi diverse. Le chiavi private sono davvero private. Le certification authorities emettono certificati con associazioni vere. Qui sotto riporto un elenco, non commentato, di casi reali in cui queste ipotesi non sono verificate. In tutti questi casi le garanzie fornite da HTTPS e dalla firma digitale, non ci sono. Slide che mostrano altri casi reali, meno recenti di quelli elencati qui sotto, sono reperibili a questo link: https://drive.google.com/open?id=0B-uEgJBKxWJLbzNjWG5Wb09nRTg  . La prima slide indica un articolo divulgativo che ho scritto v...

A questo link sono visibili le slide del mio intervento su "Crimini informatici e Cyber(in)security" allo Internet Day di venerdi 29/5. Pochi mesi fa avevo fatto un intervento sulla sola Cyber(in)security al "road show" dei "servizi segreti" presso il polo universitario di Gorizia (slide al link indicato). A proposito dei 30 anni di Internet ( documentario e uno dei numerosi articoli ), penso di avere detto a poche persone di avere avuto l'onore di essere stato studente di Luciano Lenzini (il "protagonista" del documentario, in quanto persona che più di ogni altra ha contribuito a portare Internet in Italia) proprio pochi anni dopo l'accensione del primo nodo italiano al CNUCE di Pisa (yes, ho una certa età). Mi sono laureato nel 1989. Il docente di uno dei corsi dell'ultimo anno organizzò dei seminari sulle reti di calcolatori. Ci disse che i seminari sarebbero stati tenuti " dalla persona che di reti ne sa più di tutti ...

Un mio caro amico mi ha scritto: ...sono con mia figlia che studia Analisi 1...A cosa serve, al giorno d'oggi, studiare Analisi (a parte sfoltire i ranghi degli aspiranti ingegneri)? Riporto la mia risposta di seguito, forse può "motivare" qualche altro studente. ... Per un ingegnere la matematica è fondamentale perché è un linguaggio ; ed è il linguaggio essenziale per trattare gli argomenti che dovrà affrontare come ingegnere; non sono importanti i contenuti specifici; è importante, anzi fondamentale, che riesca a capirli, ricostruirli etc. ad esempio, chi deve usare l'inglese, lo usa perché in un modo o nell'altro lo conosce; nessuno di noi ha usato esattamente le frasi o i dialoghi o le regole che ha incontrato negli esercizi di inglese o di tedesco; nella matematica è lo stesso; non sono importanti i limiti, le serie, i teoremi di cauchy o che so io; ma se uno non è in grado di capire quel linguaggio allora non sarà in grado di capire davvero quas...

Mail che ho inviato poco fa in risposta ad una offerta di incarico da parte di un ente pubblico. Salve, non so se qualcuno leggerà questo mail. Mi avete chiesto di svolgere una attività che richiede competenza scientifica elevata. Per tale attività mi offrite un compenso "simbolico" (che io definirei "offensivo", ma questa è un'altra faccenda). Non mi permettete di visionare nulla senza prima fare il download di 3 file, stamparli, firmarli, scannerizzarli e poi inviarli indietro. Mi pare davvero triste, per non usare altri aggettivi. Certamente avrete i vostri buoni motivi, ma il nostro paese non può andare avanti in questo modo. Siamo nel 2016. Cordiali saluti,

Dopo la bella notizia (e ringraziamento) di pochissimi giorni fa, sono in condizioni di dare un'altra bella notizia (e fare un altro ringraziamento). Un altro lavoro che descrive le prestazioni del nostro strumento per la "costruzione automatica di espressioni regolari" (accettato su una rivista molto prestigiosa) è stato infatti accettato per la pubblicazione su di un'altra rivista molto prestigiosa: IEEE Intelligent Systems. In questo nuovo lavoro dimostriamo che il nostro sistema è in grado di competere con gli operatori umani . Risultato molto importante perché la scrittura di una espressione regolare è un compito molto complicato, che richiede competenza, abilità e creatività. Abbiamo selezionato 10 problemi complicati sulla costruzione di espressioni regolari. Abbiamo chiesto di risolverli a 1700 utenti  suddivisi in tre categorie: Principiante, Intermedio ed Esperto (si, proprio così tanti; per la precisione millesettecentosessantaquattro). Abbiamo qua...

Segnalo dal sito del Machine Learning Lab  una notizia che non solo mi rende orgoglioso da un punto di vista personale ma che rende merito al lavoro dei miei collaboratori Eric Medvet, Andrea De Lorenzo e Fabiano Tarlao. Desidero ringraziarli pubblicamente per la loro competenza, passione ed entusiasmo: aspetti che per me sono stati importantissimi anche a livello personale. Un nostro lavoro sulla "costruzione automatica di espressioni regolari" è stato accettato per la pubblicazione su di una rivista molto prestigiosa:  "TKDE remains a very competitive venue for publishing the best research results. Among the 552 articles submitted in the first 10 month of 2015, 17 were invited for minor revision (3%) and an additional 117 (21%) were invited for major revision". Needless to say, the remaining 418 submissions were rejected. Our paper was one of those 17 which were asked only a minor revision. Una espressione regolare è, in parole poverissime, una stringa c...

Nella lezione di Reti del 9 Marzo abbiamo evidenziato che uno dei grossi problemi delle password consiste nel fatto che si tratta di un "segreto non tanto segreto". Un client C dimostra la propria identità al server dimostrando che conosce un certo segreto (la password). Segreto che conosce solo C. Il problema è che il segreto lo deve conoscere anche il server. Il server deve cioè avere una tabella con tutte le coppie username-password dei propri utenti, cioè di tutti i C. Questo significa che se qualcuno riesce a rubare la tabella allora quel qualcuno conosce tutti i segreti e quindi riesce ad impersonare tutti gli utenti. Anche se ogni utente custodisce la propria password perfettamente. Anche se ogni utente sceglie la propria password in modo praticamente impossibile da indovinare. Gli utenti soffrono quindi un danno non per colpa loro. Questi eventi non sono affatto rari. http://sijmen.ruwhof.net/weblog/608-personal-data-of-dutch-telecom-providers-extremely-poor...