Passa ai contenuti principali

Post

Visualizzazione dei post da 2021

E se il blocco di Facebook accadesse agli SPID...?

Due giorni fa Facebook, Instagram, Whatsapp sono diventati inaccessibili per molte ore. Ho trovato questo evento interessante perché proprio in questi giorni : Sto trattando la tecnologia coinvolta nel problema (il DNS) nel mio corso del terzo anno ( Reti di Calcolatori ). E' stato pubblicato un mio lavoro scientifico in cui mi sono chiesto varie cose tra le quali: cosa accadrebbe ai siti web della pubblica amministrazione se si verificasse proprio un problema del genere. Ad esempio, è possibile che un guasto blocchi centinaia o migliaia di siti web della pubblica amministrazione? Domani sarà discussa una tesi di laurea magistrale di cui sono relatore in cui viene studiato cosa accadrebbe al "Sistema Pubblico di Identità Digitale (SPID)" se si verificasse quel problema. Quindi, timing perfetto. Nota bene: il problema che si è verificato a Facebook è dovuto ad un  guasto . Gli studi 2 e 3 considerano guasti ed  attacchi . Un attacco può avere un effetto analogo ad un guas

Ennesima Introduzione al Web Security Testing

Esistono su web tonnellate di documenti, tutorial e video sul web security testing. Moltissimo di questo materiale è, secondo me, spiegato molto male ed ha una impostazione eccessivamente pratica: viene descritto come arrivare ad un certo obbiettivo in un certo scenario senza fare capire cosa si sta facendo, quali elementi sono specifici di quello scenario e quali hanno validità generale etc etc. Nonostante mi occupi di queste tematiche da anni, quasi sempre faccio molta fatica a capire questo materiale. Uno strumento particolarmente utile per il web security testing è Burp . Una web app particolarmente utile per fini didattici sulla rilevazione di vulnerabilità è OWASP Juice Shop  ( live version ). Ho preparato un documento introduttivo su Burp e OWASP Juice Shop. Principalmente per me. Può essere utile per gli studenti di " Computer Networks 2 and Principles of Computer Security ". Potrebbe essere utile anche ad altri. Ho deciso di renderlo pubblico ("Documents" 

"Interessante" novità sul mail server Microsoft

Due giorni fa la "Cybersecurity & Infrastructure Security Agency" degli Stati Uniti ha emesso un alert urgente perché sono state rilevate attività di attacco che sfruttano vulnerabilità zero-day del mail server Microsoft. Ho pensato di scrivere due note su questa faccenda perché si collega molto bene a vari temi trattati nel corso " Cybersecurity 101 " che ho concluso pochi giorni fa. Questa breve frase, che ho suddiviso in lista per chiarezza, dice più o meno tutto sull'attacco.  Cybersecurity and Infrastructure Security (CISA) partners have observed active exploitation of vulnerabilities in Microsoft Exchange Server products. Successful exploitation of these vulnerabilities allows an unauthenticated attacker to execute arbitrary code on vulnerable Exchange Servers, enabling the attacker to gain persistent system access , as well as access to files and mailboxes on the server and to credentials stored on that system . Successful exploitation may additio

Cybersecurity 101

Ieri ho concluso i seminari di " Introduction to Cybersecurity " per i nostri studenti di dottorato: 4 incontri 2 ore ognuno. Considerato che i seminari erano in streaming, l'impostazione era volutamente non tecnica (gli studenti di dottorato avevano provenienza molto eterogenea), l'argomento è molto importante, ho cercato di diffondere l'informazione tra alcuni miei contatti. Ho ricevuto circa 80 (ottanta) richieste di partecipazione, compresi i 10-12 dottorandi, da varie organizzazioni. La partecipazione effettiva è stata di circa 50 persone, comprese quelle che hanno visto le registrazioni offline. Credo che sia un buon risultato. Spero che i partecipanti abbiano apprezzato. Diffondere la consapevolezza di quanto siano profondi e pervasivi i problemi di cybersecurity è molto importante. Negli ultimi anni ho cercato di dedicarmi molto a questo aspetto (alcuni esempi sono qui ) ma temo di non avere avuto grande successo. All'interno dell'organizzazione a