martedì 31 maggio 2011

Provetta 2: alcuni commenti

Esercizio sulla frammentazione
  • Quasi nessuno si è reso conto che i pacchetti si frammentano anche al passaggio da una network punto-punto. E' ammissibile che uno non ricordi esattamente il valore della MTU in una network punto-punto; non è ammissibile che uno non si renda conto che è più piccolo dell'MTU Ethernet (e quindi un pacchetto che riempie un frame Ethernet di dimensione MTU-Ethernet sarà certamente frammentato quando dovrà essere inserito in un frame per network punto-punto).
    • Un anonimo ha puntualizzato che la mia osservazione qui sopra è sbagliata, in quanto le slide riportano lo stesso valore di MTU nei due casi. Ha perfettamente ragione (il motivo del mio errore è questo: PPP ha un MTU negoziato; il valore di default è identico a quello Ethernet; per semplicità didattica, vi ho detto solo il valore di default; qualche anno fa, quando i modem ADSL erano poco diffusi, di solito veniva negoziato un valore minore; nella mia testa continuavo ad assumere che ciò è ancora vero). Chiedo scusa a chi ha "dormito male" per questa mia osservazione errata. Peraltro, come avevo già scritto qui sotto, non avevo penalizzato chi non aveva frammentato su PPP. Adesso ho riequilibrato i giudizi, senza però cancellare questa osservazione (adesso ininfluente) su alcuni compiti.
  • Quasi nessuno si è reso conto che il formato dei frame nelle network punto-punto è diverso dal formato dei frame Ethernet e, in particolare, non contiene gli indirizzi fisici delle due estremità della network.
Esercizio sulla firma digitale
  • Quasi nessuno si è reso conto che non è necessaria la presenza di "Microsoft Corporation" in TrustList. La presenza di un subject in TrustList è necessaria solo per utilizzare certificati emessi da quel subject. La presenza di un subject in TrustList, cioè, significa "mi fido delle sue affermazioni relativamente alle associazioni tra altri subject e kpub". Qui non ci sono certificati emessi da "Microsoft Corporation".
Non ho penalizzato chi ha commesso questi errori (ed alla fine ho anche smesso di segnalarli) ma ho cercato di premiare chi non li ha commessi.

Ho però penalizzato, leggermente, chi ha commesso questi errori:
  • Nell'esercizio sulla firma digitale, concludere "l'affermazione è falsa" è sbagliato. Non abbiamo elementi per dire se sia vera o se sia falsa. 

domenica 22 maggio 2011

Security Incidents of This Week (weekly)

Posted from Diigo. The rest of my favorite links are here.

venerdì 20 maggio 2011

A proposito di certificati

Nell'ultima lezione del corso abbiamo detto che in tutte le applicazioni pratiche della crittografia a chiave pubblica  l'associazione tra Subject e KPUB è descritta da dei certificati.

La nozione di certificato è molto semplice in prima approssimazione ("la verità dell'associazione è garantita da una terza parte meritevole di fiducia; questa terza parte è la certification authority che ha generato il certificato") ma, come sappiamo, molto complicata nei dettagli.

I certificati servono per fare in modo che il castello di garanzie offerte dalla crittografia non sia sostenuto dall'ipotesi "per ogni Subject, l'associazione Subject-KPUB è reale" ma sia invece sostenuto dall'ipotesi "per ogni certification authority CA-X, l'associazione CA-X-KPUB è reale e CA-X genera affermazioni vere".

Si tratta in entrambi i casi di ipotesi, cioè di atti di fede: affermazioni che si considerano vere a priori. Se l'ipotesi è vera allora il castello di garanzie sta in piedi, se l'ipotesi non è vera allora il castello può stare in piedi o meno.

La cosa fondamentale da notare è che l'uso dei certificati e l'esistenza delle certification authority non significa che le ipotesi sono automaticamente e necessariamente vere nella pratica. Possono essere vere ma possono anche non esserlo. Dipende.

Seguono alcuni aneddoti interessanti da questo punto di vista (estratti da http://www.diigo.com/user/bartolialberto/ssl):

Nel 2011, un hacker è riuscito a falsificare certificati della CA Comodo (presente in molte TrustList e KeyList, ad esempio in Windows). E' riuscito a generare associazioni fasulle per Subject molto importanti quali "www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com, and Microsoft's login.live.com." (http://www.theregister.co.uk/2011/03/23/gmail_microsoft_web_credential_forgeries/)


Nel 2008, varie CA importanti e rispettabili hanno generato erroneamente certificati per Subject mooooolto importanti:
In 2008, he applied for an SSL certificate that would allow him to pose as the rightful operator of Microsoft's Live.com domain, which is used to logon to Hotmail and other sensitive online services. In about two hours, VeriSign subsidiary Thawte issued the credential with almost no questions asked. Zusman's sole qualification was his control of the email address sslcertificates@live.com, which was enough to convince the automated processes at Thawte that he was authorized to own the certificate.
In December of that same year, a Comodo reseller issued a similar no-questions-asked certificate for Mozilla.com to a separate researcher who had no affiliation with the open-source software outfit.
(estratto da http://www.theregister.co.uk/2011/04/11/state_of_ssl_analysis/)



Nel 2010, i Mac e Firefox contenevano un elemento in TrustList (lista di CA fidate) ed in KeyList (lista di associazioni CA-KPUB) che nessuno sapeva a chi corrispondesse. Il legittimo proprietario (RSA, una delle società più grandi e rinomate) non si era neanche accorta che fosse suo e se n'è accorta dopo vari giorni.

Non entriamo nel dettaglio degli errori software, che sono il vero grosso problema pratico per la sicurezza, in quanto gli aneddoti sarebbero in quantità quasi infinita...(solo uno: http://www.theregister.co.uk/2009/10/05/fraudulent_paypay_certificate_published/)


AGGIORNAMENTO: "The certificate signing trust model under stress as an industrial security model"


domenica 15 maggio 2011

Security Incidents of This Week (weekly)

Posted from Diigo. The rest of my favorite links are here.

domenica 8 maggio 2011

Security Incidents of This Week (weekly)

Posted from Diigo. The rest of my favorite links are here.

lunedì 2 maggio 2011

25 anni di Internet


25 anni di Internet
"Ricordo quel primo click"

Luciano Lenzini, docente dell'Infn di Pisa, racconta l’avventura dei ricercatori che con fondi Usa entrarono per primi in italia dentro la Rete


Quando ero studente non esistevano corsi di reti.

Ho avuto solo 2-3 seminari tenuti proprio dal Prof. Lenzini. Questi seminari erano inseriti in un corso dell'ultimo anno che aveva tutt'altri argomenti e trattavano del "modello OSI". Argomento che all'epoca io ed i miei colleghi trovavamo incomprensibile e che nel frattempo è morto è sepolto...

PS ciurmaglia e nostromi: please astenetevi da ogni commento sulla mia età...