Alberto Bartoli - Blog

La scorsa settimana sono state rese pubbliche delle vulnerabilità particolamente, diciamo così, "interessanti" in quanto sono dovute ai dispositivi hardware e sono diffuse pressoché ovunque. Comprendere causa, impatto teorico, impatto pratico, conseguenze, difese è complicato. Più complicato che in alti casi. Sperando di fare cosa utile, rendo pubbliche alcune considerazioni sintetiche. Scrivo quanto segue al meglio delle mie conoscenze. Se qualcuno rilevasse delle imprecisioni lo prego di segnalarmelo. Alla fine delle considerazioni sintetiche ci sono alcune mie brevissime riflessioni più generali. 1) Le vulnerabilità Meltdown e Spectre sono presenti nella stragrande maggioranza dei dispositivi prodotti negli ultimi anni, dagli smartphone ai server. Sono quindi presenti in praticamente tutti i sistemi operativi ed ambienti di virtualizzazione più diffusi. 2) Tali vulnerabilità possono permettere a del codice maligno di leggere porzioni di memoria alle ...

Nella lezione di Reti di Calcolatori di oggi abbiamo accennato ad un argomento che non è parte del corso, cioè le catene di certificati. Nel corso abbiamo detto che la chiave pubblica di un Subject viene ottenuta sempre attraverso un certificato emesso da un Issuer che deve già essere presente nel KeySet e nel TrustSet di chi utilizza quel certificato. Nella realtà accade quasi sempre una cosa più complicata: invece di un certificato arriva una sequenza di certificati in cui: Lo Issuer dell'ultimo certificato della sequenza è il Subject del penultimo certificato; ... Lo Issuer del k-esimo è il Subject del (k-1)-esimo; ... Il primo certificato della sequenza è self-signed. Solo il Subject=Issuer del primo certificato è nel KeySet e nel TrustSet (il primo certificato della sequenza deve cioè essere già presente nel software di chi usa la catena). Intuitivamente, la CA che ho già nel KeySet e TrustSet delega un'altra CA-1 a rilasciare certificati; il fatto che io m...

In una delle ultime lezioni del corso di "Reti di Calcolatori" abbiamo approfondito alcuni dettagli sottili, ma neanche troppo, di https , il protocollo per la navigazione cosiddetta-sicura sul web. E' quel protocollo che usiamo ogni volta che andiamo sul sito di una banca, di una compagnia aerea, di un sito di ecommerce e così via. Tra le altre cose, avevamo evidenziato che se una pagina P è critica per la sicurezza (ad esempio una pagina contenente un form di autenticazione) allora è indispensabile mettere P su https . Avevamo anche evidenziato che se facciamo un sito con una home page su http  e mettiamo nella home page un link verso P, allora avere messo P su https è (quasi) completamente inutile. Infatti, quando gli utenti arrivano sulla home page, ricevono contenuti su http , quindi senza garanzie di autenticazione ed integrità; quindi, lo sforzo che deve fare un attaccante per modificare i link contenuti nella home page è determinato da http , non da https ;...

Nel mio intervento al convegno su "Vivere l'innovazione" (vedi qui ) mi sono focalizzato sul ritardo del nostro paese rispetto agli altri paesi europei, sostenendo la tesi che il nostro vero problema consiste nella carenza di competenze. Oggi è stata resa pubblica la mappa europea dell'inquinamento. Permette di consultare in tempo reale i dati sull'inquinamento delle città europee. La mappa contiene tutti i paesi meno quattro: noi, Romania, Bulgaria, Grecia. So che sembra incredibile ma è così . Pare che i nostri la "stiano completando". Io non ho bisogno di ulteriori prove a sostegno della mia tesi...

Questa mattina si è tenuto a Trieste un incontro sul tema "VIVERE L’INNOVAZIONE: IL FUTURO DELLE ORGANIZZAZIONI NELLA DIGITAL TRANSFORMATION" organizzato da TIM in collaborazione con Il Sole 24 Ore ( qui il programma completo). Le slide del mio intervento sono disponibili qui .

E' stata recentemente scoperta una grave vulnerabilità nel protocollo utilizzato nelle reti WiFi "sicure". Sia in quelle che utilizziamo a casa, sia in quelle utilizzate in ambito cosiddetto "enterprise", come accade ad esempio nella rete eduroam della nostra università. Sono già state pubblicate molte sintesi ed analisi eccellenti, a vari livelli di complessità tecnica (metto un piccolo elenco in fondo a questo post). Inutile che io tenti di aggiungere la mia. Faccio solo una piccola riflessione più generale. Premessa 1 Si tratta di una vulnerabilità nel protocollo . Non nelle implementazioni software del protocollo. Per molti anni, in questo caso per 13 anni, tecnici, ricercatori ed aziende di tutto il mondo hanno studiato ed utilizzato quel protocollo e nessuno si era accorto del problema. Non è la prima volta che ciò accade. Nel corso di Reti II parlo da anni di questo fenomeno facendo riferimento a due casi specifici, uno relativo alla scelta dei nu...

Cinque : sono stato informato automaticamente da haveibeenpwed che il mio account è tra quelli trafugati ad Edmodo . Sei : attraverso una catena di contatti ho scoperto che uno dei miei account, con password, è tra quelli contenuti in questo gigantesco file . I furti precedenti sono brevemente descritti qui: https://bartoli-alberto.blogspot.it/search?q=rubato+password I post corrispondenti contengono qualche considerazione più generale che può essere interessante. Suggerimenti "sintetici e focalizzati" su come gestire le proprie password possono essere trovati su: https://www.units.it/sicurezza-informatica