Alberto Bartoli - Blog

Ho ricevuto una domanda sui certificati, in vista della provetta di fine corso "Reti di Calcolatori". Domanda che coinvolge alcuni dei molti (molti, molti...) aspetti e problemi che purtroppo non è stato possibile approfondire nel corso e quindi non fanno parte del programma di esame. Aspetti e problemi che comunque sono, secondo me, interessanti...pertanto ho deciso di discuterli qui. Sono proprietaria di un sito il cui nome è stato realizzato con il non custom domain, mi faccio certificare da una Certification Authority la quale mi da una chiave pubblica, una privata e il certificato in cui associa il mio DNS name a tale chiave pubblica. Dopo qualche tempo decido di passare alla versione di webhosting che mi consente di scegliere il nome che desidero per il mio sito. Se faccio ciò vuol dire che dovrò tornare dalla CA per farmi dare un nuovo certificato, cambierà anche la chiave pubblica associata a questo nuovo nome? Oppure posso comunque tenere quella precedente? L

Nel post precedente avevo descritto una " Esperienza (poco consolante) con la PEC ". Concludevo in questo modo: Vedo due possibili spiegazioni per questa vicenda: Non è un tentativo di attacco. Al contrario di quanto mi è stato detto dall'assistenza, il rinnovo del mio abbonamento PEC ha provocato l'invio automatico di un allegato PDF (magari a causa dell'adeguamento di Aruba alla GDPR) e questo invio è stato catalogato erroneamente come mia richiesta di assistenza. E' un tentativo di attacco. Non ho elementi sufficienti per affermare con ragionevole certezza se siamo nel caso 1 o nel caso 2. Posso però affermare con certezza che se siamo nel caso 1 allora l'assistenza clienti ed il processo di gestione di queste tematiche da parte di Aruba lascia molto a desiderare (eufemismo). Successivamente alla pubblicazione del mio post ci sono state varie interazioni che hanno chiarito la vicenda. In breve: eravamo nel caso 1: il mail sospetto non era

Il 20 Novembre ricevo un email da Aruba, il provider della mia PEC personale. Caso da manuale di email da trattare con attenzione, perché: Non avevo inviato nessuna richiesta ad Aruba. Mi invitava ad aprire un allegato PDF. Ovviamente mi sono comportato come dico sempre di fare nei corsi di sensibilizzazione sulla sicurezza informatica : non ho scaricato l'allegato e mi sono collegato alla mia area personale Aruba (senza seguire nessun link nell'email). Se il messaggio fosse stato autentico, infatti, nella mia area personale ci sarebbe stata una copia della richiesta. Come mi aspettavo, nella mia area personale non c'era nessuna richiesta da parte mia.  Visto che neanche 24 ore prima era stata resa pubblica una intrusione molto grave in un provider PEC , invece di archiviare l'email e segnalarlo come spam ho speso qualche minuto per approfondire. Ho analizzato gli header del messaggio email per verificare il cammino seguito dal messaggio (informazioni

" Un grande attacco hacker ha colpito nei giorni scorsi circa 3mila soggetti, sia pubblici che privati, in Italia. Sono oltre 30mila i domini violati , e circa 500mila le caselle postali coinvolte : di queste, 98mila delle quali di persone appartenenti alla Pubblica amministrazione . L'azione ha mandato in tilt i tribunali, con la sottrazione di dati personali delle Pec di magistrati ed il conseguente blocco dei servizi delle Corti d'appello di tutto il Paese , ma sono stati interessati anche i ministeri di Esteri, Interno, Difesa, Economia, Sviluppo economico. " https://tg24.sky.it/cronaca/2018/11/20/attacco-hacker-tribunali-password-pec.html " " CAMBIATE subito la password ". Roberto Baldoni, il responsabile della cybersicurezza italiana presso la Presidenza del Consiglio dei Ministri, è categorico. L'invito, rivolto a tutto il paese, è la conseguenza di un gravissimo attacco informatico che ha esposto 500.000 caselle di posta elettronica cer

In questi giorni Anonymous sta effettuando numerosi attacchi a pubbliche amministrazioni italiane (basta cercare " anon-italy #FifthOfNovember " su Google). Questi attacchi mi hanno motivato a scrivere questo post. Negli ultimi anni mi è capitato spesso di dare suggerimenti di sicurezza informatica "terra-terra", in particolare sull'uso di email e password : i due aspetti di gran lunga più importanti nella stragrandissima maggioranza dei casi ( questa pagina contiene le slide di un corso che ho tenuto più volte per persone senza competenze tecniche specifiche). Uno dei suggerimenti relativi alla scelta delle password è questo: " non deve essere indovinabile facilmente ". PARENTESI IMPORTANTE: il suggerimento non è proprio questo, è più circostanziato; inoltre, non è il suggerimento più importante sulle password: quello più importante è " non usare la stessa password su più siti diversi "; vedi le slide sopra citate. CHIUSA PARENTESI.

Mi è stato chiesto qualche link per "approfondire l'uso della rete internet per influenzare la società" . Interpreto questa domanda nel senso di richiesta di informazioni su "campagne organizzate per manipolare in modo consapevole le opinioni delle persone". E' ovvio infatti che Internet ha una influenza enorme sulla società per il solo fatto di esistere. Questo tema è molto ampio, molto importante, con implicazioni enormi che, a mio parere, nessuno è ancora in grado di comprendere fino in fondo. Riporto qui sotto alcuni link che io ho trovato molto interessanti e molto utili. Come premessa generale, l'esistenza di campagne organizzate per manipolare le opinioni delle persone è ormai un dato di fatto. Un documento importantissimo è un discorso tenuto lo scorso anno dal Commissario Europeo per l'Unione della Sicurezza presso lo NCSC UK (il National Cyber Security Center del Regno Unito, un'organizzazione di altissimo livello il cui sito we

...che mi ha provocato l'istituzione, sia nella sua incarnazione centrale sia in quella locale, desidero togliermi un sassolino dalla scarpa e scrivere cose che altrimenti non avrei mai scritto. Io ed i miei collaboratori abbiamo appena ricevuto l'accettazione di un articolo sulle Communications of the ACM . Una delle riviste informatiche più prestigiose al mondo. Viene pubblicata dal 1958 (61 anni). L'articolo è un "viewpoint" (articolo breve che descrive " o pinions and views that pertain to issues of broad interest to the computing community ") e non un full research paper. E' comunque una grandissima soddisfazione perché il processo di revisione è estremamente selettivo e rigoroso. Tanto per avere un'idea, ogni mese vengono pubblicati solo 2 viewpoint. Alcuni mesi 1, talvolta nessuno. Nel 2018 sono stati pubblicati solo 2 viewpoint su temi di sicurezza informatica, come il nostro. Gli autori erano (i link sono alle pagine Wikipedia degl

Si, avete letto bene. Nulla di particolarmente sorprendente. Come spiegato qui , degli esperti in sicurezza informatica hanno analizzato dei "neurostimolatori", dispositivi da impiantare sotto la pelle e collegare direttamente al cervello per mitigare i sintomi di alcune malattie (dolori cronici, problemi di movimento come quelli provocati dal Parkinson). Ovviamente hanno trovato il modo di modificare in modo non autorizzato la configurazione di un neurostimolatore già impiantato. Il che " could prevent the patient from speaking or moving , cause irreversible damage to their brain , or even worse, be life-threatening ". L'attacco non è particolarmente sofisticato: essenzialmente è bastato ricostruire il formato dei segnali con i quali è programmato il neurostimolatore ed osservare che il protocollo ha garanzie di autenticazione e riservatezza praticamente inesistenti. Ho scritto che questo evento non è sorprendente perché problemi di questo genere sono freq

Oggi nel corso di "Reti di Calcolatori II e Principi di Sicurezza Informatica" abbiamo completato la discussione di OAuth2, un protocollo fondamentale nella nostra vita quotidiana. Ho dimenticato di evidenziare che questa è proprio la tecnologia alla base dell'enorme scandalo di cui sta parlando mezzo mondo, cioè il caso Cambridge Analytica-Facebook . Il caso è stato sviscerato ampiamente quindi non c'è molto da aggiungere; forse due punti di vista interessanti sono questo (descrizione di come uno sviluppatore abbia ottenuto tonnellate di dati che non gli servivano e che non pensava neanche di ottenere) e questo (analisi più ampia e profonda dei rischi potenziali per la società). Dal nostro punto di vista ed in estrema sintesi, il problema è che quando i RO (resource owners, cioè gli utenti) assegnano ai C (applications, ad esempio Cambridge Analytica) la delega ad operare sulle proprie risorse sugli RS (resource server, ad esempio Facebook), quasi sempre lo fanno

La scorsa settimana sono state rese pubbliche delle vulnerabilità particolamente, diciamo così, "interessanti" in quanto sono dovute ai dispositivi hardware e sono diffuse pressoché ovunque. Comprendere causa, impatto teorico, impatto pratico, conseguenze, difese è complicato. Più complicato che in alti casi. Sperando di fare cosa utile, rendo pubbliche alcune considerazioni sintetiche. Scrivo quanto segue al meglio delle mie conoscenze. Se qualcuno rilevasse delle imprecisioni lo prego di segnalarmelo. Alla fine delle considerazioni sintetiche ci sono alcune mie brevissime riflessioni più generali. 1) Le vulnerabilità Meltdown e Spectre sono presenti nella stragrande maggioranza dei dispositivi prodotti negli ultimi anni, dagli smartphone ai server. Sono quindi presenti in praticamente tutti i sistemi operativi ed ambienti di virtualizzazione più diffusi. 2) Tali vulnerabilità possono permettere a del codice maligno di leggere porzioni di memoria alle