Tag Archives: web

Cina, Google, GoDaddy e la politica

GoDaddy.com è uno dei più grandi registrar di domini Internet. Di certo non un “cattivo” nel senso internettiano del termine, ma non è nemmeno una pecorella: questa notizia, ad esempio, è datata, ma fa capire che il business dei domini internet ha luci e ombre e non c’è molto spazio per i “buoni”.

Fatta questa premessa, quando vado a leggere che:

In response to new rules, GoDaddy to stop registering domain names in China

anche se mi dovrei stupire, non mi stupisco affatto e mi convinco sempre più che la zona grigia di cui parla Massimo Russo, tanto grigia non è.

Advertisements

Early Career Fellow in Digital Forensics

http://www.jobs.ac.uk/job/AAO504/early-career-fellow-in-digital-forensics-/

Il tema è relativamente libero, in genere si parla di abuse detection su Internet, incluso (ma “not limited to”, come si dice) mining di traffico DNS.

Main duties:
To undertake independent research in digital forensics. Contribute to the management of and where appropriate lead on research projects in this area.

Closing date: 19 February 2010
Interview date: 17 March 2010

La deadline è un po’ vicina, ma se qualcuno è interessato faccia un fischio.

Che cosa protegge l’anonimato protetto?

Update: avevo dimenticato il titolo al post!

***

Seguo da un po’, e con interesse, il dibattito sull’anonimato protetto. Prendo spunto da un commento (non molto chiaro, devo dire la verità) ad un post di Stefano Quintarelli e mi chiedo:

Qual è la tipologia di illeciti che si vuole prevenire introducendo l’anonimato protetto nelle reti wireless?

La sicurezza di un sistema informatico non puo’ essere garantita al 100%. Una quasiasi “misura di sicurezza” puo’ bloccare solo quegli illeciti per cui il rapporto costo per aggirarla/beneficio nell’averla aggirata non è (sufficientemente) favorevole.

In altre parole, è vero che l’anonimato protetto permette l’identificazione di un utente che si connette ad un Access Point, ma è anche vero che previene solo quegli illeciti per cui non vale la pena affidarsi a un qualsiasi decente servizio di anonimizzazione.

In questa ottica mi chiedo:

  • Qual è il reale beneficio che l’anonimato protetto puo’ portare alla sicurezza informatica?
  • Siamo sicuri che non diventi solo un impiccio per chi vuole avere una rete wireless, sia essa domestica o commerciale?

Sinceramente, se la legislazione fosse un pochino più chiara, sarei più che felice di aprire la mia rete domestica, che per la maggior parte del giorno rimane inutilizzata (non lo faccio, non sono coraggioso come Bruce Schneier); e sarei grato a chi facesse lo stesso quando sono io a essere fuori casa. Unica accortezza, vorrei un programmino che fosse in grado di switchare ad una rete protetta quando mi connetto.

UK: Digital Economy Bill

La settimana scorsa il governo inglese ha pubblicato il Digital Economy Bill:

Today, the Bill is published. It is made up of the actions in the Digital Britain Final Report that need primary legislation. That means it covers a really wide range of areas – from digital radio, to copyright reform, to spectrum, and then some – all focused on supporting the nation’s digital future

Le sezioni 18 e 19, in particolare, parlano della gestione dei nomi di dominio (quindi di Nominet). Sono un po’ lunghe, però il concetto è che il governo può nominare il “manager” (credo intenda il CEO) del registry inglese, se creda sia opportuno e, in generale, se pensa che questo abbia “fallito in relazione ai suoi doveri”. Per fallimento si intende:

A relevant failure is serious, for the purposes of this section, if it has adversely affected or is likely adversely to affect

  • the reputation or availability of electronic communications networks or electronic communications services provided in the United Kingdom or a part of the United Kingdom, or
  • the interests of consumers or members of the public in the United Kingdom or a part of the United Kingdom.

In altre parole, se Nominet non si attiva per proteggere l’interesse degli utenti finali di internet il governo potrebbe decidere che Internet non riesce a auto-regolamentarsi e che ha bisogno dell’intervento diretto del governo per funzionare come si deve.

A stretto giro di posta, la risposta di Nominet.

Vedremo come andrà a finire. La sensazione, qui, è che c’é in gioco qualcosa di più dello statuto di un’azienda.

Ok, stiamo parlando di cyber-attacco

Nemmeno il tempo di scrivere il post precedente e mi imbatto in questo articolo di Wired:

Future of Cyber Security: What Are the Rules of Engagement?

[…] there are numerous questions — ethical, legal and even bureaucratic — that need to be sorted out about the rules of engagement before the U.S. launches any cyber volleys in retaliation for an attack or otherwise. The most basic being, what constitutes an attack, how do we identify its source and what’s an acceptable response?

In a battle where the militarized zone exists solely in the ether(net) […] how do we fight, let alone find, the enemy? […]

And how do we know if the anonymous cyberwarrior attacking us is a soldier from the Red Army or just a Jolt-guzzling teen in his mother’s basement.[…]

Should the U.S. take action against a band of student hackers in China suspected of working for their government if Chinese authorities deny responsibility for their aggression?

Furthermore, if computers running NASDAQ trades are brought to a halt in a cyber attack, is that a criminal offense for the FBI to investigate or a national security incident worthy of a counterstrike?

E poi c’è la storia del team di brillanti ingegneri informatici che utilizzano, per primi, il nuovo algoritmo crittografico MD6. Poi si scropre che MD6 ha una falla, ma i bravi ingegneri lavorano sodo e creano una patch per la loro applicazione Windows, che quindi è pronta per diferendersi dagli attacchi informatici.

Peccato che questa applicazione si chiami Conficker.

Typosquatting: the “curse” of popularity

Con colpevole ritardo, riemergo da un po’ di viaggi in giro per l’Europa. Sono stato ad Atene, alla Web Science Conference, dove ho presentato un poster su typosquatting. Poi sono volato a Milano, al Security Summit 2009, a cui sono seguiti un paio di giorni “back home”. Una settimana in Inghilterra e ora di nuovo in Italia, per un po’ di meritate (spero 🙂 ) vacanze.

So che non c’è niente di peggio di un report arrivato fuori tempo massimo, tuttavia, vi prometto che nei prossimi giorni posterò qualche nota e commento su queste due conferenze che mi hanno molto positivamente colpito.

Oggi, cominciamo dal mio paper, che un po’ di “self-advertising” non guasta mai 🙂

  • Typosquatting is the practice of registering a domain name with the intent to confuse it with the name of a trademark or a famous domain name (trademark infringement on domain names).
  • The neighbourhood N_d(x) of a domain name x is the set of all domain names in the registry whose distance d() from x is lower than a threshold th_d and we denote its cardinality as |N(x)|.
  • A distance function d() is a transformation in the space of domain names.

Ad esempio, googgle.co.uk e goog1e.co.uk fanno parte del neighbourhood di google.co.uk. Abbiamo effettuato un po’ di esperimenti sul registro ‘.uk’ e i risultati sono abbastanza interessanti.

Infine, qualche considerazione sugli effetti che una pratica come quella del typosquatting potrebbe avere sul concetto di identità digitale:

  • Social networks and Web 2.0 applications rely on a loose concept of digital identities based on simple identifiers
    • Which are the risks associated to typo-squatting in these scenarios?
    • How would they benefit from a cluster-based analysis?
  • We should move towards a concept of digital identity associated to a cluster in some identifier space
  • The cluster comprises a primary identifier and secondary identifiers that are mapped to it

Se questo argomento vi incuriosisce, lasciatemi pure un commento o scrivetemi una mail. Oppure date un’occhiata al full paper o al poster (entrambi scaricabili gratuitamente dal sito della conferenza).

Web Science 2009 Conference

Dal 18 al 20 Marzo sarò alla Web Science 2009 conference (http://websci09.org/). È la prima conferenza sulla “Scienza del Web” organizzata dalla Web Science Research Initiative (WSRI). Durante l’evento di apertura, il WWW forum, ci saranno Tim Berners-Lee e Joseph Sifakis che discuteranno del futuro del web.

La conferenza è stata pensata in un’ottica multidisciplinare perché multidisciplinare è l’ambito a cui la “Scienza del Web” si rivolge. Dal call for paper (grassetto mio):

Web Science focuses on understanding, designing and developing the technologies and applications that make up the World Wide Web. But the WWW does not exist without the participation of people and organizations […]

… e chi sono, cosa fanno e come partecipano queste persone e queste organizzazioni?

How do people and organisations behave on-line – what motivates them to shop, date, make friends, learn, participate in political life or manage their health or tax on-line?

Which Web-based designs will they trust? […]

How can the dark side of the Web – such as cybercrime, pornography and terrorist networks – be both understood and held in check without compromising the experience of others? […]

And how can the design of the Web of the future ensure that a system on which – as Tim Berners-Lee put it – democracy and commerce depends remains ‘stable and pro-human’?