Alberto Bartoli - Blog

Il nostro paese è l'allegro fanalino di quasi-coda in Unione Europea per le competenze informatiche, da sempre. Non lo dico io, lo dice il Digital Society and Economy Index calcolato sistematicamente ogni anno dall'Unione Europea per tutti gli stati membri (vedi anche la mia brevissima presentazione su "Innovazione e crescita digitale del territorio"). Questo è, secondo me, IL problema di cui tutti dovrebbero preoccuparsi ma di cui nessun mezzo di comunicazione, personaggio/partito politico parla mai. Temi di questo genere emergono ogni tanto solo per fare annunci mirabolanti delle nostre magnifiche sorti future. Mai nessuno che confronti ciò che abbiamo noi con ciò che hanno gli altri (o che confronti ciò che ci è stato promesso due anni fa con ciò che abbiamo oggi, ma questo non è un problema peculiare dei servizi informatici). A parte questo, mi pare interessante evidenziare che la colpa non è tutta dello "stato" (politica, burocrazia, enti pubbl

Nella versione web del Corriere della Sera di stamattina compare in bella evidenza una notizia " I cinque segnali spia che rivelano che il telefono è stato hackerato " categorizzata come " Cybersecurity ". Clicco, trovo un sottotitolo promettente " Come può un utente, anche il meno esperto, tutelare la sicurezza del proprio smartphone? " e mi metto a leggere. Trovo descrizioni di funzionalità che possono essere più o meno utili ma che hanno poco o nulla (eufemismo) a che vedere con " telefono hackerato ". Non si capisce se la app è un normalissimo antivirus, un normalissimo ad blocker, un normalissimo raccoglitore di sensori...magari fosse possibile " tutelare la sicurezza del proprio smartphone " semplicemente mescolando funzionalità come queste. Qualche giorno prima la versione web del Fatto Quotidiano mostrava la stessa app facendo ancora più confusione. Inizia specificando che " promette di tutelare al meglio la sicurezza d

Nelle scorse settimane una azienda specializzata tedesca ha condotto una analisi di circa 2300 " medical image archiving systems connected to the public internet ". Per chi ha familiarità con il settore, si tratta di server PACS (Picture Archiving and Communication Systems) che usano il protocollo DICOM (Digital Imaging and Communications in Medicine). Di questi 2300 server collegati ad Internet, ce ne sono 590 accessibili liberamente senza alcun tipo di protezione . Niente username, niente password, niente smartcard, controlli su indirizzo IP...niente di niente. Ci si collega e si scarica quello che c'è, cioè i d ati personali di 24 milioni di pazienti (compresi nome, cognome, data di nascita, data dell'esame clinico, finalità dell'esame, nome del medico, ..) e circa 400 milioni di immagini contenenti i veri e propri esami. In Europa il nostro paese è quello con il maggior numero di sistemi accessibili su Internet senza nessuna protezione : 10. Il secondo

Qualche anno fa c'era in giro la credenza che "i dispositivi Apple non prendono i virus". Credenza ovviamente infondata, come ho descritto in questo post del 2014  (nota: 5 anni fa). Molti continuano ad avere credenze simili, da cui il titolo di questo post. Proprio in questi giorni, il Google Project Zero ha reso pubblico quanto segue: I focused on the attack surfaces of the iPhone that can be reached remotely  and do not require any user interaction and immediately process input. We reported a total of 10 vulnerabilities , all of which have since been fixed. The majority of vulnerabilities occurred in iMessage... Visual Voicemail also had a large and unintuitive attack surface that likely led to a single serious vulnerability being reported in it. Overall, the number and severity of the remote vulnerabilities we found was substantial . Nulla di particolarmente sorprendente. Altra dimostrazione che non si deve credere alle favole (e che la migliore difesa

(8 Agosto: cambiato il titolo) Due eventi recenti molto interessanti. Kazakhstan government is now intercepting all HTTPS traffic In Kazakhistan, ogni utente può navigare su Internet solo dopo avere inserito il Governo tra le Certification Authority fidate dai propri dispositivi. Ciò implica che il Governo del Kazakhistan può operare da Man-In-The-Middle nei confronti di tutte le comunicazioni HTTPS, quelle "crittate" che usiamo ogni giorno: può cioè  vedere  e  modificare   tutto  ciò che viene trasmesso  nei due sensi . Ripeto, può vedere e modificare le comunicazioni crittate. Spiegare i dettagli tecnici è troppo lungo...specialmente per una mattina di fine luglio...se uno ha la pazienza di leggere la dispensa "Security" del corso di Reti di Calcolatori trova tutti i dettagli. Peraltro, penso che questa azione renda impossibile, in Kazakhistan, l'uso del browser Chrome e di molte app per smartphone (per motivi tecnici inadatti a fine luglio...in q

Ho scritto delle dispense per il corso di "Reti di Calcolatori" ed ho deciso di renderle pubbliche. Sono consultabili da smartphone  e sono in inglese. Gli argomenti sono più o meno i seguenti: Introduzione : Applicazioni, protocolli, client e server DNS : funzionalità ed implementazione Email : funzionalità ed implementazione Web : pagine, sessioni, autenticazione, analytics Web - The Big Brother : tracking e profiling degli utenti IP : assegnazione dei network number, routing, ARP, firewall Security : proprietà di sicurezza con network attacker, distribuzione delle chiavi, certificati, TLS/HTTPS E' stato un grosso impegno, spero siano utili. Apprezzerò molto commenti, critiche e segnalazioni di imprecisioni. https://bartoli.inginf.units.it/didattica/dispense-reti-di-calcolatori

Molte organizzazioni hanno, giustamente, iniziato ad usare servizi informatici "in cloud", ad esempio i servizi Office 365 di Microsoft. Operazioni come queste si possono fare in due modi: "facile" o "un pò meno facile". Il modo "facile" ha, come tutte le cose facili, un costo nascosto. In questo caso il costo nascosto consiste nel permettere al fornitore del servizio cloud di conoscere le credenziali (username e password) usate nell'organizzazione. E' quello che accade nel nostro ateneo. Per usare alcuni servizi dobbiamo collegarci a https://login.microsoftonline.com  ed inserire le nostre credenziali di ateneo. Il browser invia le credenziali al web server di nome login.microsoftonline.com : POST https://login.microsoftonline.com/OMISSIS/login HTTP/1.1 Host: login.microsoftonline.com Connection: keep-alive Content-Length: 1393 Cache-Control: max-age=0 ... Content-Type: application/x-www-form-urlencoded i13=0& login=

Ho ricevuto questo mail da uno studente: Mi sono imbattuto in una notizia che mi ha fatto riflettere (anzi, preoccupare..). “Una serie di errori in alcune applicazioni di Facebook ha causato l' accesso alle password degli utenti a circa 20.000 dipendenti . Si ritiene che le password da 200 milioni a 600 milioni di utenti di Facebook siano state esposte... Facebook ha confermato questa omissione nel suo blog ufficiale...è stata rilevata nel mese di Gennaio. ... almeno 2.000 dipendenti di Facebook hanno cercato i file con le password , ma non era chiara l'intenzione di tali ricerche. Presumibilmente la memorizzazione delle password in “chiaro” è iniziata nel 2012 ". Io non riesco a capire se il fatto di memorizzare le password in “chiaro” sia stato effettivamente un errore del sistema/software oppure hanno deciso di farlo “apposta”.. Se siamo nel secondo caso allora la cosa mi preoccupa, perché una organizzazione mondiale come Facebook, dovrebbe garantire delle misure

Da qualche tempo la nostra pubblica amministrazione sta promuovendo l'uso di " SPID ", il "sistema pubblico di identità digitale": il cittadino si fa rilasciare delle credenziali da un "gestore di identità" abilitato e poi potrà accedere a tutti i servizi web della pubblica amministrazione (magari...) usando quelle credenziali. In altre parole, il cittadino avrà una unica "identità digitale" grazie alla quale potrà accedere a tutti i servizi web pubblici (ripeto: magari...). Il terzo livello SPID  è quello che dovrebbe offrire il grado di sicurezza più elevato. Ci sono solo due gestori di identità che offrono SPID di livello 3: Aruba (pare) tramite  smart card  e PosteID (pare) tramite una  app per smartphone . Ho cercato di capire come funziona esattamente questo livello. Il sito SPID su questo punto infatti è molto generico : " Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico (es. smart card) per l’

Da qualche tempo l'applicativo che usiamo in Università per la verbalizzazione degli esami mostra un avviso in cui consiglia di "cambiare frequentemente la password per sicurezza": Questo suggerimento è in conflitto con i suggerimenti  che ho dato più e più volte nei mesi scorsi, a centinaia di persone diverse, in vari contesti diversi (compreso un corso di formazione che ho fatto per tutto il personale tecnico-amministrativo del nostro ateneo). Mi sento quindi obbligato a ribadire che si tratta di un consiglio da non seguire . Il National Cyber Security Center del Regno Unito (organo che fornisce linee guida di cyber security alla pubblica amministrazione del Regno Unito ed il cui sito web è semplicemente fantastico), dice a proposito delle password che: " Regular password changing harms rather than improves security, so avoid placing this burden on users ", cioè "cambiare la password regolarmente danneggia la sicurezza invece di migliorarla: ev