lunedì 15 maggio 2017

Osservazione sul worm Wannacry / Wannacrypt (o come caspita si chiami)

In questi giorni è in corso un "attacco informatico" che ha colpito, pare, più di 200.000 utenti, in più di 10.000 organizzazioni, in più di 150 paesi.

Su questo evento si possono fare molte riflessioni, sia di carattere tecnico sia per la società nel suo complesso. Ne faccio qui una di carattere tecnico: semplice e banale. Ma importantissima.

Nei miei corsi di sicurezza informatica mostro quasi sempre una slide che riassume uno studio fatto qualche anno fa da Google. Chiesero a 231 esperti di sicurezza e a 294 utenti non esperti di sicurezza di descrivere il proprio comportamento dal punto di vista della sicurezza informatica.

Come si può vedere, l'accorgimento numero 1 per gli esperti è molto semplice: aggiornare i sistemi. Questo accorgimento non compare nella lista dei non esperti:



Bene, l'attacco di questi giorni è stato reso possibile proprio dal mancato aggiornamento dei sistemi.

L'attacco ha sfruttato una vulnerabilità (errore software) presente in alcune versioni di Windows e corretta da Microsoft il 14 Marzo 2017. L'attacco ha cioè colpito solo sistemi che non avevano ancora applicato una correzione emessa due mesi fa, o versioni ormai obsolete per le quali la correzione non era stata emessa.

E' interessante notare quanto siano ripetitivi gli avvisi emessi a seguito dell'incidente:
Riporto di seguito considerazioni analoghe fatte da esperti di altissimo livello:

  1. Ross Anderson (University of Cambridge): "...in well over 90% of NHS organisations, the well-meaning amateurs managed perfectly well. What they did was to keep their systems patched up-to-date; simple hygiene, like washing your hands after going to the toilet."
  2. Matt Blaze (University of Pennsylvania): "Pre-ransomware advice: - Backup - Patch - Turn off unneeded features;  Post-ransomware advice: - Backup - Patch - Turn off unneeded features"
  3. Rob Graham (Independent consultant):  "1/ Patch your stuff"
  4. Troy Hunt (Independent consultant): "It's because you didn't upgrade or patch your things"

Concludo con un estratto da un comunicato del President e Chief Legal Officer di Microsoft. Estratto che contiene una verità sacrosanta sulla quale ognuno di noi dovrebbe riflettere:

As cybercriminals become more sophisticated, there is simply no way for customers to protect themselves against threats unless they update their systems. Otherwise they’re literally fighting the problems of the present with tools from the past. This attack is a powerful reminder that information technology basics like keeping computers current and patched are a high responsibility for everyone, and it’s something every top executive should support





lunedì 30 gennaio 2017

Valutazione qualità della ricerca (VQR)

E' stata effettuata recentemente una valutazione della qualità della ricerca di tutti gli atenei italiani.

Ogni docente ha dovuto selezionare 2 prodotti recenti (chi è docente da pochi anni solo 1). Una commissione centrale ha valutato ognuno di questi prodotti secondo la scala seguente:


La valutazione dei miei prodotti è stata la seguente:


La valutazione era relativa ai prodotti pubblicati negli anni 2011-2014. Quella degli anni 2004-2010 era andata meglio (link).

Personalmente sono sempre molto perplesso da queste valutazioni (anche se è inutile negare che quando i risultati sono positivi fanno piacere). A parte il fatto che le commissioni applicano, di fatto, un criterio meccanico senza entrare nel merito del risultato, la cosa interessante è che i criteri di valutazione cambiano ogni volta e sono scelti solo alla fine del periodo di valutazione. Cioè, i criteri per il 2011-2014 li abbiamo scoperti nel 2015 ed erano diversi da quelli per il periodo precedente. Quindi, domanda da un milione di dollari: su quali riviste tentare di pubblicare per i prossimi anni? puntare su prestigio o su citazioni? meglio i congressi o le riviste?