giovedì 31 dicembre 2009

Lectures e Courses video di altissimo livello

Ho trovato un sito con una bellissima collezione di lectures e courses video di altissimo livello.

La lista l'ho trovata qui: 100 Incredible Lectures from the World’s Top Scientists

La lista cita molti settori scientifici, penso che ognuno possa trovarci cose interessanti e, ripeto, di altissimo livello. Un'opportunità incredibile e del tutto impensabile fino a pochissimi anni fa.

Quasi tutti i video puntati dalla lista si trovano su http://academicearth.org, che ha un subject Computer Science.

Alcuni commenti:
  • C'è una pagina riassuntiva del corso di Machine Learning che stiamo seguendo anche noi molto ben fatta.
  • Il corso Computer Systems Engineering di Balakrishnan è certamente notevole. Suggerisco a Nostromo e Vicenostromo di trovare il tempo di prendere almeno un paio di lecture a loro scelta, prima o poi. Chiedo anche ai neo-caporematori (Enrico e Marco) di ricordarmi di preparare assieme a loro un piano di visione per i prossimi mesi su una grossa parte di questo corso.
  • Personalmente penso che mi vedrò parte delle lecture 80 (Larry Page e Sergey Brin, i Boss di Google) e 89 (Marc Fleury, il Boss di JBoss)
Bene, auguroni a tutti.
Pubblicato da Alberto Bartoli a 0 commenti
Etichette:

Prezzi di botnet...

Tutti sappiamo, per sentito dire, che le botnet sono in vendita, che se qualcuno vuole attaccare un sito può pagare qualcuno per farlo, etc.

Nessuno però ha mai visto offerte del genere (o forse no...?)

Sono incappato, per caso, in una di queste. La trovate nella mia SecurityList su Diigo, il titolo è PAK bugs o qualcosa del genere. Dovrei essere riuscito ad inserire una snapshot del sito su Diigo, non sia mai che la pagina venga rimossa...
Pubblicato da Alberto Bartoli a 0 commenti
Etichette:

Un articolo (leggerissimo) su passato e futuro...

Date un'occhiata a questo articolo.

Ne vale la pena. Si legge in un paio di minuti e l'autore (Ed Lazowska) è veramente un mito.

Richiamo la vostra attenzione su due soli punti:
  • Cloud computing, ho messo la frase nel mio blog.
  • Quello che lui chiama "Data deluge": conferma ciò che stiamo intuendo da tempo e su cui stiamo dirigendo i nostri interessi/competenze...
Pubblicato da Alberto Bartoli a 0 commenti
Etichette:

mercoledì 23 dicembre 2009

Firmare i record DNS - Followup

Rispondo con un post invece che con un commento perché mi sembra un tema interessante.

Quello che suggerisce Giorgio esiste e si chiama DNSSEC. Se fosse implementato da tutti i server DNS e da tutti i client DNS allora quegli attacchi (attacchi in cui un nome "importante" viene associato ad un IP fasullo) sarebbero molto più difficili (ma non impossibili, vedi più sotto). Da notare che attacchi di quel genere sono stati usati anche per defacement ad organizzazioni ben più pesanti di Twitter (Google, CocaCola etc...scartabellate nella mia Diigo List Web Security Incidents, probabilmente cercando il tag DNS).

E' ovvio che il requisito "implementato da...tutti i client" è quasi impossibile da realizzare e certamente lungi dall'essere realizzato oggi. Per cui anche se il record di Twitter fosse stato firmato, autenticità ed integrità della firma non sarebbero state controllate da quasi nessun client.

Inoltre, "implementato da...tutti i client" dice solo parte della storia. E' anche necessario che sia implementato solo DNSSEC. E' ovvio che se un client accetta record DNSSEC e record DNS tradizionali, allora imbrogliare quel client è facile. E' un pò ciò che accade con alcuni attacchi a cui ho accennato in qualche lezione: anche se il client supporta protocolli fortissimi, basta convincerlo ad usare protocolli deboli.

Il motivo fondamentale per il quale DNSSEC è ancora poco diffuso (e secondo me lo sarà praticamente sempre) è ovvio: problemi di gestione delle chiavi (generazione, diffusione), dei certificati, delle firme sui record etc etc etc.

Infine, anche se DNSSEC avesse sostituito completamente DNS, non è affatto detto che attacchi di quel genere diventerebbero impossibili. Dipende dalle policy di gestione ed utilizzo della chiave privata usata per firmare i record. In teoria non dovrebbe essere possibile generare una firma da remoto. Ma in pratica...chissà?

Un DNS provider che si fa attaccare i propri record da remoto (come quello coinvolto nel caso Twitter, nella mia Diigo list citata sopra ci sono articoli che identificano chiaramente quel provider) potrebbe tranquillamente essere strutturato in modo da tenere la chiave privata su un server S1 accessibile, magari in modo indiretto, da un server S2 esposto su Internet. Magari la chiave potrebbe stare sullo stesso server S2, per rendere più "semplice" la manutenzione dei record. Sappiamo benissimo, spero, che security e semplicità di uso sono obiettivi in conflitto.
Pubblicato da Alberto Bartoli a 0 commenti
Etichette:

martedì 22 dicembre 2009

Firmare i record DNS

Domanda banale scatenata dal caso twitter: ma non sarebbe possibile firmare l'associazione ip-record dns? questo renderebbe difficile se non impossibile il dns hacking...
es:
www.pippo.it. A 10.0.0.1
www.pippo.it SIG AHSSJJRRRA123331AASDDDA

O si fa già e sono io a non saperlo?

Giorgio
Pubblicato da a 0 commenti
Etichette:

mercoledì 9 dicembre 2009

GWT 2.0

Durante l'evento "Campifire One" Google ha presentato GWT 2.0

Le varie (ed utili) migliorie sono spiegate nei filmati collegati all'evento, ma questa porzione è decisamente degna di nota: spiega come funziona il compilatore GWT e come rendere più rapido l'avvio di applicazioni web.

Buona visione!



Pubblicato da a 1 commenti
Iscriviti a: Post (Atom)