Passa ai contenuti principali

Post

Visualizzazione dei post da maggio, 2016

Hanno rubato la mia password

...su LinkedIn (qualcuno pensava già alla mia password per verbalizzare gli esami...invece no; più precisamente, se mi sono state trafugate le credenziali di ateneo io non lo so). Non dovrebbe essere successo nulla di particolarmente grave, ma mi pare importante condividere questo evento per sottolineare che: Queste cose possono accadere a chiunque. Il furto della intera tabella delle credenziali (username e password) sui server è un evento relativamente frequente e può coinvolgere anche grandi organizzazioni. Ne avevo già parlato in un post recente . Io posso tentare di custodire le mie credenziali nel modo migliore possibile; ma se le mie credenziali le conosce anche il server, allora l'attaccante può rubarle dal server.  Per quanto riguarda il punto 3, tentare di rubare le credenziali dal server è molto più conveniente per l'attaccante: se ha successo un attacco verso di me, l'attaccante ottiene UNA credenziale; se ha successo un attacco verso il server, l'at

SSL / HTTPS: (esempio di) cosa non garantisce

Nella lezione di "reti di calcolatori" di ieri mi sono reso conto che devo insistere maggiormente per sottolineare un aspetto di SSL (quindi di HTTPS) che a me pareva banale ma che evidentemente banale non è. SSL fornisce garanzie di sicurezza (autenticazione, integrità, riservatezza) tra le due estremità della connessione TCP. Fornisce cioè garanzie relative allo spostamento di dati tra un punto ed un altro. SSL non fornisce nessunissima garanzia di sicurezza "nei calcolatori" alle due estremità della connessione. Esempio semplicissimo: un attaccante può modificare un documento statico sul server; oppure può modificare i programmi sul server che generano i documenti dinamici. SSL continua a fornire le proprie garanzie: i dati sono autentici, riservati ed integri da una estremità all'altra della connessione. Ma i dati che viaggiano nella connessione non sono quelli che il server "avrebbe voluto inviare". Da un altro punto di vista, il dato sul

A cosa serve l'esame di stato

Sto valutando l'opportunità di sostenere l'esame di stato, ma cercando su internet e sui vari forum non trovo particolari vantaggi come ingegnere informatico (se non 0,5 punti in graduatoria nei concorsi pubblici...ed un po' di prestigio personale). Prima di scartare questa idea però volevo chiederle un'opinione in merito, poiché credo che la sua esperienza l'abbia aiutata a rispondere al "a che cosa serve l'esame di stato per un ingegnere informatico"? La mia esperienza purtroppo non mi ha aiutato a rispondere. La risposta è "in tutta sincerità non lo so". "Non lo so" non significa "a nulla". Significa "non lo so". Per estensione implica "a me non è mai servito e non conosco nessuno di cui possa affermare che gli sia servito". Devo comunque aggiungere che è vero anche il contrario: non conosco nessuno di cui possa affermare che sia stato danneggiato dall'avere sostenuto l'esame

HTTPS e crittografia a chiave pubblica: cosa può andare male

Le cose che possono andare male sono tantissime (vedi anche https://bartoli-alberto.blogspot.it/2015/10/vulnerabilita-di-implementazione.html ). Al fine di capire meglio a cosa serve e, soprattutto, a cosa non serve la crittografia a chiave pubblica, è utile ricordare le ipotesi alla base delle sue applicazioni pratiche (in particolare, HTTPS e firma digitale). Queste ipotesi, in parole povere, sono: Subject diversi hanno chiavi diverse. Le chiavi private sono davvero private. Le certification authorities emettono certificati con associazioni vere. Qui sotto riporto un elenco, non commentato, di casi reali in cui queste ipotesi non sono verificate. In tutti questi casi le garanzie fornite da HTTPS e dalla firma digitale, non ci sono. Slide che mostrano altri casi reali, meno recenti di quelli elencati qui sotto, sono reperibili a questo link: https://drive.google.com/open?id=0B-uEgJBKxWJLbzNjWG5Wb09nRTg  . La prima slide indica un articolo divulgativo che ho scritto vari

Internet Day: slide (e altro)

A questo link sono visibili le slide del mio intervento su "Crimini informatici e Cyber(in)security" allo Internet Day di venerdi 29/5. Pochi mesi fa avevo fatto un intervento sulla sola Cyber(in)security al "road show" dei "servizi segreti" presso il polo universitario di Gorizia (slide al link indicato). A proposito dei 30 anni di Internet ( documentario e uno dei numerosi articoli ), penso di avere detto a poche persone di avere avuto l'onore di essere stato studente di Luciano Lenzini (il "protagonista" del documentario, in quanto persona che più di ogni altra ha contribuito a portare Internet in Italia) proprio pochi anni dopo l'accensione del primo nodo italiano al CNUCE di Pisa (yes, ho una certa età). Mi sono laureato nel 1989. Il docente di uno dei corsi dell'ultimo anno organizzò dei seminari sulle reti di calcolatori. Ci disse che i seminari sarebbero stati tenuti " dalla persona che di reti ne sa più di tutti