Passa ai contenuti principali

Post

Visualizzazione dei post da maggio, 2013

Form delle credenziali su HTTP

Nella lezione di ieri abbiamo descritto HTTPS, il protocollo utilizzato comunemente per accedere a servizi autenticati (GMail, Facebook, banche, acquisti on line, etc). Abbiamo evidenziato che di norma il web server espone il form nel quale inserire le credenziali attraverso HTTPS. Ciò sembra inutile, in quanto non c'è nessun vantaggio nell'imporre che la richiesta di prelievo del form e lo stesso form viaggino con garanzia di riservatezza. La riservatezza è necessaria solo per la richiesta inviata subito dopo avere prelevato il form, cioè per la richiesta che contiene le credenziali. Questa slide sintetizza il motivo per il quale prelevare il form su HTTPS sembra inutile ma non lo è: Secondo molti esperti, nel 2011 il governo della Tunisia ha forzato tutti gli Internet provider del paese a modificare i form esposti su HTTP dai servizi "importanti" (GMail, Facebook etc). Nelle pagine contenenti i form venivano aggiunte, durante il transito dal server al browser,

Come si prende un virus con il browser

Un esempio semplice ed istruttivo. Prima: Utente che: ha una versione non aggiornata di Adobe Acrobat, oppure Adobe Reader, oppure Java visita  http://www.federalnewsradio.com  oppure  http://www.wtop.com/   Dopo: Utente ha in esecuzione un nuovo programma, senza saperlo ; Questo programma, che può fare tutto ciò che può fare l'utente ,  riceve comandi da un attaccante esterno. Prima di procedere nella lettura leggere e rileggere questi due punti in modo da comprenderne le implicazioni (tragedia !!!) Spiegazione: Federal News Radio 1500 AM and FederalNewsRadio.com comprise the key source of breaking news, information and analysis for the individuals responsible for carrying out and supporting the missions of federal agencies . Federal News Radio addresses federal agency managers, policy makers and contractors. ... We cover both the federal government and those who do business with the government concentrating on management, defense, technology, contra

Crittografia quantica o quantistica

Crittografia quantica, un passo avanti significativo Ricercatori dell'agenzia spaziale tedesca aprono la strada per una rete mondiale di comunicazioni satellitari supersicure. ...La  crittografia quantistica  è una specie di santo Graal per i crittografi, in quanto dovrebbe permettere di rendere inattaccabili le comunicazioni. Essa permetterebbe infatti ai due soggetti della comunicazioni di rendersi immediatamente conto di un eventuale intruso... ( link ) Premessa: Non sono un esperto di crittografia. Tutto ciò che so della notizia indicata qui sopra è contenuto nella notizia stessa (anche se ho letto varie riflessioni, in passato, sulla crittografia quantistica e cose di questo genere) Tutto quanto segue è implicitamente preceduto da "secondo me". E' bene rendersi conto che cose di questo genere in pratica servono a molto poco. Se un ladro desidera entrare in un appartamento al piano terra che ha pareti spesse due metri e porte superblindate, ma ha l

Firewall: Tutto proibito o tutto permesso ?

In una recente lezione di Reti abbiamo detto che alla frontiera di ogni organizzazione c'è un firewall che analizza tutto il traffico entrante ed uscente. Abbiamo anche detto che: I firewall moderni sono del tipo "tutto proibito"; ad ogni pacchetto sono applicate le regole specificate dall'amministratore; se il pacchetto non soddisfa nessuna di queste regole, allora il pacchetto è buttato via; le regole cioè specificano il traffico permesso . In precedenza i firewall erano del tipo "tutto permesso": le regole specificano gli attacchi , invece del traffico lecito; se il pacchetto soddisfa una regola allora è buttato via. L'approccio "tutto proibito" è più difficile da configurare ma è preferibile a "tutto permesso", in quanto per usare "tutto permesso" è necessario 1) conoscere tutti gli attacchi; 2) aggiornare rapidissimamente le regole per rilevare gli attacchi, in quanto questi cambiano di continuo. Un modo indire

"La crittografia / sicurezza mi ha sempre affascinato..."

sono un suo studente del corso di Reti I e la crittografia mi ha sempre affascinato. Credo che sia un mondo parecchio vasto e purtroppo in rete si trovano un sacco di informazioni sparse.  Visto che oggi a lezione abbiamo ne abbiamo accennato vorrei chiederle se può consigliarmi dei testi, oppure uno in particolare, di riferimento sul quale iniziare a studiare (o approfondire) questi aspetti.  Per iniziare ad approfondire, questo è un ottimo testo disponibile online (molto interessante ma secondo me non scritto in modo "scorrevole"): Security Engineering — The Book L'autore è Ross Anderson, dell'Università di Cambridge. E' una persona che certamente le banche di mezzo mondo vorrebbero rinchiudere da qualche parte buttando via la chiave. Non perché sia un ladro, ma perché è quello che ha dimostrato che: Le truffe via Bancomat esistono veramente---prima le banche ne negavano l'esistenza, dicendo "hai scritto il PIN su un foglietto e te l

Concretezza

Io stimo più il trovar un vero, benché di cosa leggiera, che 'l disputar lungamente delle massime questioni senza conseguir verità nissuna. Galileo Galilei (altre "WordsOfWisdom":  http://reti-inginf-units.blogspot.it/search/label/WordsOfWisdom )

L'attacco più bello degli ultimi anni

Questo è uno degli attacchi più belli e più istruttivi degli ultimi anni: Stealthy, malware-spewing server attack not limited to Apache someone is replacing legitimate web server software with binaries containing the Cdorked backdoor, but exactly how they're doing it remains a mystery. In parole poverissime, il codice sorgente di alcuni tra i web server più diffusi è stato modificato in modo fraudolento; adesso contiene del codice che: effettua, in modo nascosto, redirection verso siti che tentano di iniettare malware; è controllabile , in modo nascosto, da remoto; Questo attacco è "bello" perché nessuno ha ancora capito come faccia l'attaccante a modificare il codice del web server, e perché il funzionamento del codice fraudolento incorpora numerose tecniche per renderne complicata la rilevazione. Sono elencate nell'articolo: solo alcuni utenti subiscono la redirection, secondo un pattern "inexplicable"; un utente che è stato rediretto p

Posso crittare i dati nel cloud ?

Questo è complicato da leggere ma ne vale la pena (per aggiornarsi). IBM takes a big new step in cryptography: practical homomorphic encryption In breve, i servizi di cloud storage (come Dropbox, Box, Google Drive, Microsoft Skydrive etc etc etc) memorizzano i dati degli utenti "in chiaro", cioè senza crittarli. Ciò è un problema enorme per molte categorie di utenti ed organizzazioni. Dati potenzialmente sensibili, o comunque rilevanti per l'organizzazione, diventano accessibili al provider del servizio e soprattutto possono diventare accessibili se un attaccante riesce a "bucare" il servizio. In altre parole, la difesa principale nei confronti del furto dei dati (crittare i dati) non può essere applicata nei servizi di cloud. In linea di principio l'utente potrebbe crittare i propri file con una chiave nota solo a lui, e poi potrebbe memorizzare sul cloud i dati crittati. In questo modo però il servizio di cloud non potrebbe effettuare nessuna operazio

What is the real difficulty in hacking Internet banks ?

La notizia riportata qui sotto descrive in modo interessante un dato di fatto ben noto: Il vero problema non è prendere il controllo di un conto corrente; il problema è riuscire a spostare i soldi senza generare trasferimenti anomali. Da un altro punto di vista: il vero problema non è superare le difese tecnologiche dell'Internet Banking; il problema è superare i controlli tradizionali, effettuati in background e a posteriori. Il che dice molto sulla vera natura delle tecnologie moderne per la sicurezza informatica. Organized hackers in Ukraine and Russia stole more than $1 million from a public hospital in Washington state earlier this month. roughly $133,000 of the lost funds have been recovered so far,.... ...the attack occurred on Apr. 19, and moved an estimated $1.03 million out of the hospital’s payroll account into 96 different bank accounts,...  ..."Take the $9,180 just deposited into his account and send nearly equal parts via Western Union and