giovedì 14 dicembre 2017

Link HTTPS in pagine HTTP: (quasi) completamente inutili

In una delle ultime lezioni del corso di "Reti di Calcolatori" abbiamo approfondito alcuni dettagli sottili, ma neanche troppo, di https, il protocollo per la navigazione cosiddetta-sicura sul web. E' quel protocollo che usiamo ogni volta che andiamo sul sito di una banca, di una compagnia aerea, di un sito di ecommerce e così via.

Tra le altre cose, avevamo evidenziato che se una pagina P è critica per la sicurezza (ad esempio una pagina contenente un form di autenticazione) allora è indispensabile mettere P su https.

Avevamo anche evidenziato che se facciamo un sito con una home page su http e mettiamo nella home page un link verso P, allora avere messo P su https è (quasi) completamente inutile.
  • Infatti, quando gli utenti arrivano sulla home page, ricevono contenuti su http, quindi senza garanzie di autenticazione ed integrità;
  • quindi, lo sforzo che deve fare un attaccante per modificare i link contenuti nella home page è determinato da http, non da https;
  • quindi, lo sforzo per modificare il link che dovrebbe puntare verso P e farlo invece puntare verso una pagina scelta dall'attaccante è determinato da http, non da https;
  • quindi, lo sforzo per mostrare agli utenti una pagina con un form di autenticazione dall'aspetto identico a quello di P ma localizzata su un server controllato dall'attaccante, è determinato da http, non da https.
Più chiaro di così non riesco ad esprimerlo.

Bene, proprio ieri si sono diffusi sui social molti tweet di scherno diretti ad una banca (australiana) che ha proprio questo problema:

https://www.troyhunt.com/im-sorry-you-feel-this-way-natwest-but-https-on-your-landing-page-is-important/

La persona che ha scritto il blog post è la stessa che ha inventato e sta mantenendo https://haveibeenpwned.com/ ed è uno dei pochi consulenti che pochi giorni fa è stato chiamato per dare un testimony sulla cybersecurity al parlamento americano. Ha quasi 90.000 follower su Twitter (https://twitter.com/troyhunt).

Se qualcuno pensa che io sono troppo pessimista o mi preoccupo solo di problemi di interesse solo teorico, spero che creda a a lui....

venerdì 17 novembre 2017

Ancora su "Vivere l'innovazione"

Nel mio intervento al convegno su "Vivere l'innovazione" (vedi qui) mi sono focalizzato sul ritardo del nostro paese rispetto agli altri paesi europei, sostenendo la tesi che il nostro vero problema consiste nella carenza di competenze.

Oggi è stata resa pubblica la mappa europea dell'inquinamento. Permette di consultare in tempo reale i dati sull'inquinamento delle città europee. La mappa contiene tutti i paesi meno quattro: noi, Romania, Bulgaria, Grecia. So che sembra incredibile ma è così. Pare che i nostri la "stiano completando".

Io non ho bisogno di ulteriori prove a sostegno della mia tesi...

giovedì 16 novembre 2017

Mio intervento a "Vivere l'Innovazione"


Questa mattina si è tenuto a Trieste un incontro sul tema "VIVERE L’INNOVAZIONE: IL FUTURO DELLE ORGANIZZAZIONI NELLA DIGITAL TRANSFORMATION" organizzato da TIM in collaborazione con Il Sole 24 Ore (qui il programma completo).

Le slide del mio intervento sono disponibili qui.

martedì 17 ottobre 2017

Grave vulnerabilità WiFi: Mia riflessione

E' stata recentemente scoperta una grave vulnerabilità nel protocollo utilizzato nelle reti WiFi "sicure". Sia in quelle che utilizziamo a casa, sia in quelle utilizzate in ambito cosiddetto "enterprise", come accade ad esempio nella rete eduroam della nostra università.

Sono già state pubblicate molte sintesi ed analisi eccellenti, a vari livelli di complessità tecnica (metto un piccolo elenco in fondo a questo post). Inutile che io tenti di aggiungere la mia. Faccio solo una piccola riflessione più generale.

Premessa 1

Si tratta di una vulnerabilità nel protocollo. Non nelle implementazioni software del protocollo. Per molti anni, in questo caso per 13 anni, tecnici, ricercatori ed aziende di tutto il mondo hanno studiato ed utilizzato quel protocollo e nessuno si era accorto del problema.

Non è la prima volta che ciò accade. Nel corso di Reti II parlo da anni di questo fenomeno facendo riferimento a due casi specifici, uno relativo alla scelta dei numeri di sequenza iniziali nelle implementazioni di TCP, l'altro relativo all'interazione tra un client Kerberos e l'Authentication Service.

Ovviamente, ciò non accade per superficialità o per incompetenza. Accade perché i protocolli di sicurezza sono delle brutte bestie, sono temi davvero complicati.

Premessa 2

L'impatto della vulnerabilità appena scoperta non è lo stesso su tutti i dispositivi. L'impatto sui dispositivi Linux e Android è molto più catastrofico che non sui dispositivi Windows, Mac e così via.

Il motivo è paradossale: i dispositivi Linux e Android hanno implementato il protocollo in maniera perfetta, seguendo tutte le raccomandazioni; gli altri dispositivi invece non hanno seguito tutte le raccomandazioni e, per mera fortuna, rendono l'attacco molto più complesso (il motivo tecnico per questo paradosso è spiegato in alcuni dei link che riporto qui sotto, ma è irrilevante; in parole poverissime Linux e Android azzerano le chiavi già usate in passato; ciò rende tali chiavi prevedibili per un attaccante che riesca a forzarne il riuso).

Quindi: chi ha implementato il protocollo in maniera perfetta adesso è messo malissimo; chi lo ha implementato in maniera imperfetta adesso è messo un pò meglio.

Riflessione

Qualche giorno fa ho trovato il tempo di studiare un lavoro che avevo messo in attesa da tempo e del quale parlerò nel prossimo corso di Reti II. Questo lavoro dimostra la possibilità pratica per un attaccante di iniettare traffico in connessioni TCP già esistenti. Anche per attaccanti che non possono osservare il traffico tra le estremità delle connessioni. Con probabilità di successo altissima (tra 88% e 97%). Con un tempo necessario per raccogliere tutte le informazioni necessarie, compresi i numeri di porta ed i numeri di sequenza ad entrambe le estremità, tra 40 e 60 secondi. Terrificante.

La cosa interessante è che anche in quel caso il problema è nato da una implementazione perfetta del protocollo TCP. Chi aveva implementato TCP perfettamente (Linux) era attaccabile. Chi non lo aveva implementato perfettamente non era attaccabile o era attaccabile con una probabilità di successo molto più bassa.

Anche in quel caso, quindi, chi aveva implementato il protocollo in maniera perfetta era messo malissimo; chi lo aveva implementato in maniera imperfetta era messo un pò meglio.

Ovviamente questo non deve incoraggiare ad implementare i protocolli in maniera scorretta. E' solo una ulteriore evidenza del fatto che la sicurezza è una bruttissima bestia.

PS I problemi di sicurezza dei protocolli sono quisquilie nei confronti dell'altro ben più grande problema: quello degli errori software (vedi ad esempio le "Notable recent security issues" di questo mese qui: https://www.sans.org/newsletters/at-risk/xvii/41).

Alcuni link:






giovedì 1 giugno 2017

Hanno rubato la mia password (quinta e sesta volta...)



Cinque: sono stato informato automaticamente da haveibeenpwed che il mio account è tra quelli trafugati ad Edmodo.

Sei: attraverso una catena di contatti ho scoperto che uno dei miei account, con password, è tra quelli contenuti in questo gigantesco file.
I furti precedenti sono brevemente descritti qui:
https://bartoli-alberto.blogspot.it/search?q=rubato+password

I post corrispondenti contengono qualche considerazione più generale che può essere interessante.

Suggerimenti "sintetici e focalizzati" su come gestire le proprie password possono essere trovati su: https://www.units.it/sicurezza-informatica

lunedì 15 maggio 2017

Osservazione sul worm Wannacry / Wannacrypt (o come caspita si chiami)

In questi giorni è in corso un "attacco informatico" che ha colpito, pare, più di 200.000 utenti, in più di 10.000 organizzazioni, in più di 150 paesi.

Su questo evento si possono fare molte riflessioni, sia di carattere tecnico sia per la società nel suo complesso. Ne faccio qui una di carattere tecnico: semplice e banale. Ma importantissima.

Nei miei corsi di sicurezza informatica mostro quasi sempre una slide che riassume uno studio fatto qualche anno fa da Google. Chiesero a 231 esperti di sicurezza e a 294 utenti non esperti di sicurezza di descrivere il proprio comportamento dal punto di vista della sicurezza informatica.

Come si può vedere, l'accorgimento numero 1 per gli esperti è molto semplice: aggiornare i sistemi. Questo accorgimento non compare nella lista dei non esperti:



Bene, l'attacco di questi giorni è stato reso possibile proprio dal mancato aggiornamento dei sistemi.

L'attacco ha sfruttato una vulnerabilità (errore software) presente in alcune versioni di Windows e corretta da Microsoft il 14 Marzo 2017. L'attacco ha cioè colpito solo sistemi che non avevano ancora applicato una correzione emessa due mesi fa, o versioni ormai obsolete per le quali la correzione non era stata emessa.

E' interessante notare quanto siano ripetitivi gli avvisi emessi a seguito dell'incidente:
Riporto di seguito considerazioni analoghe fatte da esperti di altissimo livello:

  1. Ross Anderson (University of Cambridge): "...in well over 90% of NHS organisations, the well-meaning amateurs managed perfectly well. What they did was to keep their systems patched up-to-date; simple hygiene, like washing your hands after going to the toilet."
  2. Matt Blaze (University of Pennsylvania): "Pre-ransomware advice: - Backup - Patch - Turn off unneeded features;  Post-ransomware advice: - Backup - Patch - Turn off unneeded features"
  3. Rob Graham (Independent consultant):  "1/ Patch your stuff"
  4. Troy Hunt (Independent consultant): "It's because you didn't upgrade or patch your things"

Concludo con un estratto da un comunicato del President e Chief Legal Officer di Microsoft. Estratto che contiene una verità sacrosanta sulla quale ognuno di noi dovrebbe riflettere:

As cybercriminals become more sophisticated, there is simply no way for customers to protect themselves against threats unless they update their systems. Otherwise they’re literally fighting the problems of the present with tools from the past. This attack is a powerful reminder that information technology basics like keeping computers current and patched are a high responsibility for everyone, and it’s something every top executive should support





lunedì 30 gennaio 2017

Valutazione qualità della ricerca (VQR)

E' stata effettuata recentemente una valutazione della qualità della ricerca di tutti gli atenei italiani.

Ogni docente ha dovuto selezionare 2 prodotti recenti (chi è docente da pochi anni solo 1). Una commissione centrale ha valutato ognuno di questi prodotti secondo la scala seguente:


La valutazione dei miei prodotti è stata la seguente:


La valutazione era relativa ai prodotti pubblicati negli anni 2011-2014. Quella degli anni 2004-2010 era andata meglio (link).

Personalmente sono sempre molto perplesso da queste valutazioni (anche se è inutile negare che quando i risultati sono positivi fanno piacere). A parte il fatto che le commissioni applicano, di fatto, un criterio meccanico senza entrare nel merito del risultato, la cosa interessante è che i criteri di valutazione cambiano ogni volta e sono scelti solo alla fine del periodo di valutazione. Cioè, i criteri per il 2011-2014 li abbiamo scoperti nel 2015 ed erano diversi da quelli per il periodo precedente. Quindi, domanda da un milione di dollari: su quali riviste tentare di pubblicare per i prossimi anni? puntare su prestigio o su citazioni? meglio i congressi o le riviste?

mercoledì 18 gennaio 2017

Intervista al TGR FVG

Ieri sono stato intervistato dal TGR RAI della nostra regione sulla sicurezza informatica. L'intervista (mooooolto breve) è andata in onda nel TG delle 14 e in quello delle 19.30.

Il giornalista mi è sembrato molto in gamba ed ha fatto una ottima sintesi del colloquio che abbiamo avuto nel mio ufficio. La versione trasmessa alle 19.30, inoltre, mi pare migliore della versione trasmessa alle 14, il che mi sembra indice di professionalità: invece di trasmettere la stessa sintesi che aveva già realizzato nel poco tempo disponibile (hanno lasciato il mio ufficio alle 11.30), il giornalista ha ritenuto opportuno cercare di rendere il messaggio più chiaro ed accurato.

La versione delle 14 è visibile sul sito di ateneo, sulla pagina Facebook di ateneo e sul twitter del TGR. Quella delle 19 è sul sito della RAI (minuto 17.15). Poi c'è anche una versione trasmessa alla radio (che non ho sentito) e dovrebbe essercene stata anche una stamani a "Buongiorno Regione" (che non ho visto).

Le slide con i suggerimenti sintetici per i non esperti che si vedono nell'intervista sono sul sito di ateneo.

Il commento più interessante l'ho ricevuto da un ex studente: P.S. Ha avuto successo dove io ho fallito. È riuscito a far cambiare la password dell'account di posta a mia madre, prima era il nome del nostro cane.