venerdì 28 settembre 2012

Chiavi private e firma digitale: davvero private ?


Ci risiamo...
Adobe security chief Brad Arkin has warned that hackers have managed to create malicious files with Adobe's digital code-signing signature.
According to a blog post published on Thursday, the issue appears to have been the result of hackers compromising a vulnerable build server
Adobe plans next week to revoke the certificate for all code signed before July 10, 2012...
(più precisamente: butta via la propria chiave privata e chiave pubblica, poi chiede alla propria CA di revocare il certificato che associa Subject=Adobe a quella chiave pubblica)
However, even when a CA (Certificate Authority) revokes a certificate for an abused private key, any digital signature made before the revocation date will remain valid.

Ogni volta che parlo di queste cose non manco di evidenziare questi problemi. 
Vedi anche questo post.

mercoledì 26 settembre 2012

Contenuto nascosto nei siti web e altro...

Due parole su pubblicazioni recenti del nostro lab (non sia mai che a qualcuno venga la voglia di fare una tesi su questi temi). Faccio un pò di cut-and-paste, spero che sia chiaro ed interessante...

A Look at Hidden Web Pages in Italian Public Administrations
Preventing illegitimate modifications to web sites offering a public service is a fundamental requirement of any e-government initiative. Unfortunately, attacks to web sites resulting in the creation of fraudulent content by hackers are ubiquitous. In this work we attempted to assess the ability of Italian public administrations to be in full control of the respective web sites. We examined several thousands sites, including all local governments and universities, and found that approximately 1.16% of the analyzed sites serves contents that admittedly is not supposed to be there.
This result is not very encouraging and somewhat surprising. To place this result in perspective, we observe that a state-of-the-art system recently developed for efficiently searching malicious web pages, manages to construct a stream of URLs in which 1.34% of them identify malicious pages and this system improves earlier strategies by one order of magnitude (cioè: trovare schifezze nell'1.16% delle pagine che analizzo è davvero tanto...)
...
Careful exploitation of these attacks may create a very odd scenario: pages hosted on a trusted site that serve content fully controlled by attackers, tailored to the navigation path followed by users, visible only to certain users. An analogy with the physical world may illustrate the issue more clearly: when entering into the building of a public administration, one would not expect to find offices that are not supposed to exist and are visible only to certain citizens, perhaps depending on where they come from. Unfortunately, this is exactly what it could happen in web sites of public administrations.
...
It is important to point out that HTTPS—the main and ubiquituos line of defense in sensitive web sites—does not provide any defense in this respect: The problem is, the server site is authenticated as a whole—any page coming from that site appears as being legitimate.

Brand-related Events Detection, Classification and Summarization on Twitter
The huge and ever increasing amount of text generated by Twitter users everyday embeds a wealth of information, in particular, about themes that become suddenly relevant to many users as well as about the sentiment polarity that users tend to associate with these themes.
In this paper, we exploit both these opportunities and propose a method for: (i) detecting novel popular themes, i.e. events, (ii) summarizing these events by means of a concise yet meaningful representation, and (iii) assessing the prevalent sentiment polarity associated with each event, i.e., positive vs. negative.
Our method is fully automatic. We validate our proposal on a real corpus of about 8,000,000 tweets, by detecting, classifying and summarizing events related to three wide topics associated with tech-related brands: Apple, Google and Microsoft



martedì 25 settembre 2012

Valutazione della didattica

Anche quest'anno è andata bene.
La posta interna di ateneo, peraltro, sta diventando sempre meno affidabile. La busta con la valutazione del corso di Reti di Calcolatori mi dicono non sia mai arrivata all'ufficio del nucleo di valutazione...(no, non l'ho buttata via io; non avrei avuto nessun interesse a farlo).

mercoledì 5 settembre 2012

Quanto guadagnano gli hackers ?

Nei mesi scorsi ho tenuto un corso di Sicurezza Informatica in Area di Ricerca. Nelle prime lezioni ho cercato di convincere i partecipanti che ormai gli attacchi informatici sono un vero e proprio business e quindi non devono essere considerati come una attività ludica-o-quasi. A tale scopo ho esposto i risultati di alcuni studi recenti molto interessanti sulla "underground economy" del settore. Si trovano nella mia raccolta bibliografica online, associati ai tag crime oppure webmalware o cose del genere.

In una delle ultime lezioni del corso di Reti di Calcolatori ho detto che se qualcuno era interessato all'argomento gli avrei passato le slide corrispondenti. Uno studente me le ha chieste ed io, mea culpa, ho impiegato molte settimane per renderle pubbliche...so che avrei dovuto farlo prima perché adesso sono tutti sotto esami...sorry.

Le slide sono queste:



Ho inserito anche alcune slide (leggermente più tecniche) sul malware in generale. Consiglio caldamente un'occhiata all'argomento "Botnet: Torpig case study", a partire dalla numero 44. Mostra che questa botnet sostituisce tutti i programmi dei computer infettati, compresi i browser...