Passa ai contenuti principali

Post

Visualizzazione dei post da 2017

Catene di certificati HTTPS

Nella lezione di Reti di Calcolatori di oggi abbiamo accennato ad un argomento che non è parte del corso, cioè le catene di certificati. Nel corso abbiamo detto che la chiave pubblica di un Subject viene ottenuta sempre attraverso un certificato emesso da un Issuer che deve già essere presente nel KeySet e nel TrustSet di chi utilizza quel certificato. Nella realtà accade quasi sempre una cosa più complicata: invece di un certificato arriva una sequenza di certificati in cui: Lo Issuer dell'ultimo certificato della sequenza è il Subject del penultimo certificato; ... Lo Issuer del k-esimo è il Subject del (k-1)-esimo; ... Il primo certificato della sequenza è self-signed. Solo il Subject=Issuer del primo certificato è nel KeySet e nel TrustSet (il primo certificato della sequenza deve cioè essere già presente nel software di chi usa la catena). Intuitivamente, la CA che ho già nel KeySet e TrustSet delega un'altra CA-1 a rilasciare certificati; il fatto che io m

Link HTTPS in pagine HTTP: (quasi) completamente inutili

In una delle ultime lezioni del corso di "Reti di Calcolatori" abbiamo approfondito alcuni dettagli sottili, ma neanche troppo, di https , il protocollo per la navigazione cosiddetta-sicura sul web. E' quel protocollo che usiamo ogni volta che andiamo sul sito di una banca, di una compagnia aerea, di un sito di ecommerce e così via. Tra le altre cose, avevamo evidenziato che se una pagina P è critica per la sicurezza (ad esempio una pagina contenente un form di autenticazione) allora è indispensabile mettere P su https . Avevamo anche evidenziato che se facciamo un sito con una home page su http  e mettiamo nella home page un link verso P, allora avere messo P su https è (quasi) completamente inutile. Infatti, quando gli utenti arrivano sulla home page, ricevono contenuti su http , quindi senza garanzie di autenticazione ed integrità; quindi, lo sforzo che deve fare un attaccante per modificare i link contenuti nella home page è determinato da http , non da https ;

Ancora su "Vivere l'innovazione"

Nel mio intervento al convegno su "Vivere l'innovazione" (vedi qui ) mi sono focalizzato sul ritardo del nostro paese rispetto agli altri paesi europei, sostenendo la tesi che il nostro vero problema consiste nella carenza di competenze. Oggi è stata resa pubblica la mappa europea dell'inquinamento. Permette di consultare in tempo reale i dati sull'inquinamento delle città europee. La mappa contiene tutti i paesi meno quattro: noi, Romania, Bulgaria, Grecia. So che sembra incredibile ma è così . Pare che i nostri la "stiano completando". Io non ho bisogno di ulteriori prove a sostegno della mia tesi...

Grave vulnerabilità WiFi: Mia riflessione

E' stata recentemente scoperta una grave vulnerabilità nel protocollo utilizzato nelle reti WiFi "sicure". Sia in quelle che utilizziamo a casa, sia in quelle utilizzate in ambito cosiddetto "enterprise", come accade ad esempio nella rete eduroam della nostra università. Sono già state pubblicate molte sintesi ed analisi eccellenti, a vari livelli di complessità tecnica (metto un piccolo elenco in fondo a questo post). Inutile che io tenti di aggiungere la mia. Faccio solo una piccola riflessione più generale. Premessa 1 Si tratta di una vulnerabilità nel protocollo . Non nelle implementazioni software del protocollo. Per molti anni, in questo caso per 13 anni, tecnici, ricercatori ed aziende di tutto il mondo hanno studiato ed utilizzato quel protocollo e nessuno si era accorto del problema. Non è la prima volta che ciò accade. Nel corso di Reti II parlo da anni di questo fenomeno facendo riferimento a due casi specifici, uno relativo alla scelta dei nu

Hanno rubato la mia password (quinta e sesta volta...)

Cinque : sono stato informato automaticamente da haveibeenpwed che il mio account è tra quelli trafugati ad Edmodo . Sei : attraverso una catena di contatti ho scoperto che uno dei miei account, con password, è tra quelli contenuti in questo gigantesco file . I furti precedenti sono brevemente descritti qui: https://bartoli-alberto.blogspot.it/search?q=rubato+password I post corrispondenti contengono qualche considerazione più generale che può essere interessante. Suggerimenti "sintetici e focalizzati" su come gestire le proprie password possono essere trovati su: https://www.units.it/sicurezza-informatica

Osservazione sul worm Wannacry / Wannacrypt (o come caspita si chiami)

In questi giorni è in corso un "attacco informatico" che ha colpito, pare, più di 200.000 utenti, in più di 10.000 organizzazioni, in più di 150 paesi. Su questo evento si possono fare molte riflessioni, sia di carattere tecnico sia per la società nel suo complesso. Ne faccio qui una di carattere tecnico: semplice e banale. Ma importantissima. Nei miei corsi di sicurezza informatica mostro quasi sempre una slide che riassume uno studio fatto qualche anno fa da Google. Chiesero a 231 esperti di sicurezza e a 294 utenti non esperti di sicurezza di descrivere il proprio comportamento dal punto di vista della sicurezza informatica. Come si può vedere, l'accorgimento numero 1 per gli esperti è molto semplice: aggiornare i sistemi. Questo accorgimento non compare nella lista dei non esperti: Bene, l'attacco di questi giorni è stato reso possibile proprio dal mancato aggiornamento dei sistemi . L'attacco ha sfruttato una vulnerabilità (errore software) prese

Valutazione qualità della ricerca (VQR)

E' stata effettuata recentemente una valutazione della qualità della ricerca di tutti gli atenei italiani. Ogni docente ha dovuto selezionare 2 prodotti recenti (chi è docente da pochi anni solo 1). Una commissione centrale ha valutato ognuno di questi prodotti secondo la scala seguente: La valutazione dei miei prodotti è stata la seguente: La valutazione era relativa ai prodotti pubblicati negli anni 2011-2014. Quella degli anni 2004-2010 era andata meglio ( link ). Personalmente sono sempre molto perplesso da queste valutazioni (anche se è inutile negare che quando i risultati sono positivi fanno piacere). A parte il fatto che le commissioni applicano, di fatto, un criterio meccanico senza entrare nel merito del risultato, la cosa interessante è che i criteri di valutazione cambiano ogni volta e sono scelti solo alla fine del periodo di valutazione. Cioè, i criteri per il 2011-2014 li abbiamo scoperti nel 2015 ed erano diversi da quelli per il periodo precedente. Qu

Intervista al TGR FVG

Ieri sono stato intervistato dal TGR RAI della nostra regione sulla sicurezza informatica. L'intervista (mooooolto breve) è andata in onda nel TG delle 14 e in quello delle 19.30. Il giornalista mi è sembrato molto in gamba ed ha fatto una ottima sintesi del colloquio che abbiamo avuto nel mio ufficio. La versione trasmessa alle 19.30, inoltre, mi pare migliore della versione trasmessa alle 14, il che mi sembra indice di professionalità: invece di trasmettere la stessa sintesi che aveva già realizzato nel poco tempo disponibile (hanno lasciato il mio ufficio alle 11.30), il giornalista ha ritenuto opportuno cercare di rendere il messaggio più chiaro ed accurato. La versione delle 14 è visibile sul sito di ateneo , sulla pagina Facebook di ateneo e sul twitter del TGR . Quella delle 19 è sul sito della RAI (minuto 17.15). Poi c'è anche una versione trasmessa alla radio (che non ho sentito) e dovrebbe essercene stata anche una stamani a "Buongiorno Regione" (che n