sicurezza | Rev0lut1on 2.0 of my mind engine

Mag 10 2015

Io non ho nulla nascondere e quindi ben vengano i sistemi di controllo delle informazioni dell’NSA: 3 punti di discussione

Oggi vi voglio citare una delle discussioni più lucide sulla crittografia mai esposta, ascoltata sul podcast di 2024 nella puntata del 16/01/2015 da un discorso bellissimo di Matteo Flora.

Per quale motivo non dovremmo dar ragione a quelli che dicono “Io non ho nulla da nascondere e quindi ben vengano o comunque non mi preoccupano i sistemi di controllo delle informazioni dell’NSA o le profanazioni dei nostri dati come fa Google che offre servizi gratuiti e quindi cedo volentieri tutti i miei dati”?

Ci sono 3 risposte che posso dare:

Prendi una persona che ti fa questo tipo di discorso e chiedigli cortesemente di rimuovere le tendine della finestra del bagno, di aprire la porta del bagno e di lasciarti stare davanti per controllare che cosa fa, e vedi se accetta. Alla fine della fiera è questo quello che accade. Perché c’è una porta davanti al bagno di casa tua? Perché spedisci le lettere in busta chiusa? Perché metti le tende alle finestre? Perché la privacy è un qualcosa che ogni essere umano richiede e un diritto fondamentale. Tant’è che una delle prime definizioni di privacy nel mondo anglosassone è quello di Right To Be Left Alone, il diritto di essere lasciato da solo. Questo diritto viene infranto nel momento in cui la mia vita digitale viene aperta. Tutto ciò che faccio nel mio domicilio digitale è sotto gli occhi nel migliore delle ipotesi dalle forza di polizia.
Oggi sappiamo chi sono a controllarci: NSA, servizi inglesi e australiani. Ma nel 1939 nessuno in Germania si preoccupava se il suo nome finiva nelle liste degli ebrei di una particolare sinagoga. Nessuno vedeva il problema di essere censiti. Il problema è nato quando questo genere di informazione è diventata sensibile. Ora noi non sappiamo che cosa accadrà da qui ai prossimi 10-20-50-100 anni. Non sappiamo se verranno schedati i nostri nipoti per cose che abbiamo fatto noi. Non lo sappiamo perché al contrario di altre informazioni, non esiste una obsolescenza di questo tipo di dati. Saranno usate contro di noi, chissà quando. Magari quando andremo a dare fastidio ad un altro tipo di realtà.
Senza la crittografia non esisterebbe l’attivismo (attivisti, quello che un tempo noi chiamavano partigiani) nei paesi che in questo momento non godono di democrazia. La Primavera Araba non avrebbe avuto ragione di essere in quei paesi perché semplicemente in quei paesi vigeva un sistema di largo controllo delle informazioni. Nel momento in cui so che i rivoltosi usano un certo tipo di mezzo di informazioni non sicuro perché non intercettarlo e andarli a prendere in casa? Uno degli ultimi documenti filtrati perché segretati dal governo degli stati uniti, definisce la crittografia come necessaria per la sopravvivenza della democrazia stessa! E’ l’unico modo in cui anche i governi hanno la possibilità di tutelarsi. Non solo non è utile bloccare la crittografia ma tecnicamente impossibile: o blocchiamo i sistemi di crittografia per tutti e quindi nemmeno i militari avranno i sistemi crittografici e puoi solo immaginarti l’assurdità di avere i dati dei militari non cifrati, oppure dobbiamo pensare che il nostro divieto di utilizzare determinati tipi di tecnologia di cifratura venga ovviamente rispetto dai terroristi. Vietando la crittografia non otteniamo che i terroristi non usino più la crittografia ma, al contrario, otteniamo il fatto che solo i terroristi useranno la crittografia.

Tag:2024, crittografia, podcast, privacy, sicurezza

1 comment

Gen 9 2015

QSA: Autenticazione a Sicurezza Quantistica

Posted by Antonio Troise

Clonare una carta di credito, che abbia solo la banda magnetica o che abbia anche il chip, è di fatto sempre possibile, realizzando una copia indistinguibile, dal punto di vista dell’autenticazione, dall’originale. Questo fino a quando non sono arrivati i ricercatori dell’Università di Twente, nei Paesi Bassi, capitanati da Pepijn Pinkse, che hanno messo in mezzo una degli aspetti pi affascinanti e misteriosi della realtà, la fisica quantistica.
Il sistema è stato battezzato Quantum-Secure Authentication (Autenticazione a Sicurezza Quantistica) ed è stato pubblicato su Optica:

In pratica, sulla superficie di una carta di credito (o di qualsiasi altro documento come passaporti, carte di identità, etc.) viene preparata una sottile striscia bianca di nanoparticelle. Quando un laser invierà uno specifico numero di fotoni verso questa striscia, questi rimbalzeranno in maniera casuale tra le nanoparticelle fino a uscire nuovamente verso la superficie, creando in tal modo uno schema unico e irriproducibile: pochissimi fotoni, anche soltanto uno, riescono quindi a creare uno schema complesso.

Quando, al momento di verificare la carta, il lettore invierà uno schema fatto da singoli fotoni verso la striscia; lo schema riflesso sembrerà avere più informazioni di quello contenuto nel numero di fotoni inviati.
Spiega Pinkse:

È un po’ come lasciar cadere per terra 10 palle da bowling e creare 200 impatti separati. È impossibile sapere con precisione che informazione sia stata inviata (lo schema creato sul pavimento) semplicemente avendo a disposizione le 10 palle da bowling. Se provassimo a osservarle falliremmo, distruggeremmo l’intero sistema.

Inoltre, come insegna la fisica quantistica, un osservatore che si interponesse nel momento in cui il lettore di carte andrà a leggere e verificare lo schema altererebbe l’informazione stessa. Di conseguenza, la carta “quantistica” è scientificamente impossibile da clonare.

La cosa migliore del nostro metodo è che i segreti non sono necessari. Quindi non possono nemmeno essere rubati

Il metodo può essere usato anche per sostituire qualsiasi chiave ed essere, quindi, adoperato per proteggere gli edifici governativi, mettere in sicurezza i documenti, aprire l’auto.

La tecnologia necessaria per realizzare la QSA è semplice, economica e già disponibile: servono solamente dei laser e dei proiettori, quindi in teoria l’adozione su larga scala di questo sistema potrebbe avvenire in tempi brevi.

Tag:carta di credito, fisica, fisica quantistica, sicurezza

0 comments

Nov 26 2008

IEEE 1667: in arrivo lo standard di autenticazione delle porte USB per impedire la copia non autorizzata dei dati sensibili sui dischi esterni USB

Posted by Antonio Troise

Il nuovo standard IEEE 1667, in corso di standardizzazione presso l’”Institute of Electrical and Electronics Engineers” (IEEE) (l’autorità che si occupa delle certificazioni in campo elettronico ed elettrico), è la nuova tecnologia che farà storcere il naso a molti ma che darà maggiore sicurezza alle aziende che potranno così godere di una maggiore riservatezza dei loro dati. Nato con l’obiettivo di bloccare la visualizzazione di dispositivi USB da parte del sistema, il suo scopo ultimo sarà quello di impedire la copia di dati presenti sul computer su dispositivi removibili come hard disk esterni e pennette USB.

In realtà la richiesta di questo nuovo standard arriva direttamente da tutte quelle aziende che, purtroppo, sono state toccate dal furto di dati sensibili e che guardano con sospetto ai numerosi, economici e sempre più capienti dispositivi USB come ad una fonte possibile di dispersione se non furto di dati ed informazioni riservate.

Uno standard che mette d’accordo tutti

Con l’adozione dello standard IEEE 1667, l’unico modo per far vedere al computer un dispositivo sarà di passare per un processo di autenticazione e di convalidazione, salvo altre impostazioni decise dalle aziende, che potranno decidere quali dispositivi potrete collegare al vostro PC aziendale e in assenza delle quali non saranno in grado di essere visti dal sistema. In pratica si potranno completamente bloccare le porte USB senza ricorrere a metodi empirici come sistemi proprietari o configurazioni particolari che disabilitano le porte USB, ma solo con sistemi non standardizzati che obbligano ad acquistare software aggiuntivi o a seguire procedure complesse.

Il nuovo formato, infatti, non è dipendente da una piattaforma e potrà funzionare su differenti sistemi operativi, chiaramente previo supporto. Microsoft, tra i grandi promotori dello standard, dovrebbe integrare il supporto IEEE 1667 in Windows 7, nella speranza che, come accade su molte configurazioni su Windows Vista, questa autenticazione non sia solo di intralcio agli utenti.

Per maggiori dettagli tecnici sullo standard IEEE 1667, potete leggere questo articolo di Computer.org: Authentication in Transient Storage Device Attachments.

Tag:drive_usb, hard-disk, IEEE, IEEE 1667, microsoft, security, sicurezza, standardizzazione, usb, Windows

0 comments

Ott 21 2008

E’ giusto fidarsi di Facebook? Nuove regole della UE per garantire la privacy degli utenti dei social network

Posted by Antonio Troise

In questi ultimi mesi Facebook ha avuto una vera esplosione di popolarità nel nostro Bel Paese. Ogni giorno non posso fare a meno di sentire colleghi di lavoro o amici che si invitano a vicenda, che si scambiano foto e video e che, mi chiedono, come mai ancora non sono su Facebook. Eh si, perché finché non potrò farne a meno tenterò di starne alla larga (è recente il caso di Paolo Attivissimo che è stato costretto ad iscriversi per evitare il rischio che qualcuno mettesse su Facebook un suo clone). Al momento, infatti, non ne vedo una vera e propria utilità ne necessità, anzi, mi sembra quasi una perdita di tempo, che rischia di disperdere il cibernauta tra taggature e inviti a giocare online (o almeno è quello che riesco ad intravedere tra i miei conoscenti) nella piazza virtuale più grande del mondo in cui ritrovare anche vecchi amici di cui si erano perse le tracce e, perché no, farsene altri nuovi sparsi per il mondo, per condividere foto, video e scambiarsi messaggi in tempo reale.

Niente più barriere e distanze tra le persone

Se è vero che Facebook (ma nella lista dei grandi social network rientrano anche MySpace e Friendster) hanno contribuito a terminare il lavoro iniziato nel Web 1.0 di abbattere le barriere e le distanze tra le persone, è inevitabile che il fatto di essere rintracciabili da chiunque semplicemente digitando nome e cognome su Google, causi la paura del “Grande Fratello”.

Creato nel 2004 da Mark Zuckerberg, all’epoca semplice studente di Harvard, con il solo scopo di mantenere i contatti tra ex compagni di classe, Facebook si è diffuso tanto da entrare in breve tempo tra i 10 siti più cliccati al mondo, primo fra tutti i social network: con i suoi 132.105.000 utenti unici (dati di Giugno 2008) ha raggiunto il primato sorpassando il leader MySpace, con appena 117.582.000 utenti, in quanto, per ciò che riguarda la facilità di utilizzo e l’integrazione della messaggistica istantanea non ha pari. Ma in Italia, come al solito (non so se per fortuna o meno) è sempre un po’ in ritardo, e solo negli ultimi mesi c’è stata una brusca accelerata: nel terzo trimestre del 2008 la diffusione di Facebook è stata così veloce che ha portato l’Italia alla guida della classifica mondiale per incremento di utenti (+135%).

Rischio Privacy per Facebook

Ogni utente ha una propria pagina e sceglie a chi renderla visibile, con buona pace sull’effettiva tutela della privacy. Ma il fulcro di Facebook non sono gli utenti, bensì i gruppi, vere e proprie comunità interne, quasi microcosmi o fan club che spaziano in tutti gli interessi possibili e sono gli utenti che decidono a quale gruppo aderire o quale gruppo creare.

Il problema è che le piazze virtuali, più che quelle reali, si prestano maggiormente all’uso indiscriminato e senza regole dei dati personali. E’ questo che, dall’Unione Europea, durante la 30ma Conferenza internazionale delle Autorità per la protezione dei dati personali tenuta a Strasburgo, 78 Garanti della privacy di tutto il mondo il 17 Ottobre 2008 si sono riuniti, per approvare un documento comune che tutti i social network (compreso, quindi, Facebook) dovranno rispettare per non incorrere in sanzioni. Quella del social network, sembra incredibile a dirsi, è l’emergenza più evidente della rete, che mette a rischio la privacy di milioni di cittadini.

Per capire quanto la nostra privacy sia a rischio, e potete provarlo voi stessi, se volete sapere se un amico è registrato su Facebook senza dovervi registrare è sufficiente, digitare il nome del vostro conoscente su un qualsiasi motore di ricerca accompagnato dalla parola “Facebook” e, se registrato e maggiorenne, quasi certamente potrete trovare la sua scheda pubblica collegata al noto social network. Da sabato 25 Ottobre 2008 non sarà più possibile trovare profili personali su Facebook utilizzando semplicemente i motori di ricerca: certo nulla vieta di registrarsi con un account fake per scandagliare i vari siti di social network, ma almeno si saranno ridotte le possibilità. Ma andiamo nel dettaglio delle decisioni prese dalla.

Perché fidarsi di Facebook?

E’ pur vero che le nuove tecnologie, oltre ad essere una indubbia opportunità per aprire le porte del successo o semplicemente alle nuove amicizie, sono anche fonte di nuovi problemi in quanto nessuno ha mai previsto tutte le insidie, soprattutto per la privacy. In particolare, questo documento, invita gli utenti del social network a tenere d’occhio i propri dati personali (per esempio, i minorenni non dovrebbero mai rendere noti indirizzo di casa e numero di telefono), ricorrendo, magari, all’uso di uno pseudonimo. In realtà se da un lato l’uso di nickname proteggerebbe la propria privacy e limiterebbero, anche se non escluderebbero, l’uso illecito dei dati, dall’altra vanificherebbe lo scopo ultimo di Facebook: quello, cioè, di trovare vecchi amici o compagni di classe di cui si erano perse le tracce, grazie all’indicizzazione, capillare, della maggior parte degli esseri umani! Una sorta di database del genere umano, compilato su base volontaria: ogni giorno ricevo email o richieste verbali di iscrizione a Facebook. So che a farmela non sono qualche Grande Fratello come lo Stato o Google, ma semplicemente dei miei amici: perché dunque non fidarsi? Ebbene, io di loro mi fido: ma c’è da fidarsi dei gestori di Facebook? E se ci si può fidare di loro, si nasconde sempre l’eventualità che qualche utente malintenzionato possa approfittare delle informazioni personali messe sul mio profilo pubblico.

Le regole per i gestori dei siti di social network

Ma, oltre ad informare gli utenti dei social network, i Garanti hanno avuto anche il compito di avvisare i provider di Facebook o altre agorà virtuali, che devo avere una speciale responsabilità verso tutti gli utenti, iniziando dal fatto che questi devono essere informati in modo chiaro ed esaustivo circa le possibili conseguenze a cui potrebbero andare incontro pubblicando informazioni sulla loro persona (tra queste spicca anche la consuetudine dei datori di lavoro che utilizzano i social network per valutare i candidati o controllare la condotta dei propri impiegati).
Inoltre, tra le raccomandazioni, i provider devono prestare attenzione a usi diversi da quelli principali, come quelli di marketing, e devono tenere sempre alto il livello delle misure di sicurezza per scongiurare intrusioni negli archivi. Quindi, devono sempre ricordare agli utenti che è sempre possibile, in qualsiasi momento, esercitare il diritto, in caso di irregolarità, di correzione o di cancellazione definitive, delle informazioni registrate.
Infine, un’altra raccomandazione molto importante, è il diritto all’oblio, ovvero che i dati degli utenti devono essere resi accessibili ai motori di ricerca solo quando esiste un consenso esplicito e informato della persona interessata e non devono essere automaticamente divulgati su internet. Ciò significa che, per impostazione predefinita, tutti i social network dovranno rendere inaccessibile ai motori di ricerca tutti i dati sensibili dei propri utenti, a meno che il loro consenso non sia chiaramente espresso.

Conclusione

Queste nuove regole cambieranno le carte in gioco e credo che nei prossimo mesi assisteremo ad una flessione delle utenze registrate su siti di social network, spaventate dalla possibilità che la propria privacy venga violata. E’ anche vero, però, che è giusto educare le persone su pericoli perché quando si naviga sul web, bisogna essere coscienti dei rischi che si incorrono quando si diffondono avventatamente i propri dati sensibili. Il problema è: saranno sufficienti queste nuove regole per tutelare il navigatore?

Tag:facebook, Internet, privacy, sicurezza, social-network, web, Web 2.0

3 comments

Lug 30 2008

Controllate che i server DNS del vostro Provider non soffrano della grave vulnerabilità che permette ad un malintenzionato di controllare il traffico internet e fare del Pishing!

Posted by Antonio Troise

Avete presente quella notizia di qualche mese fa di una vulnerabilità insita nelle specifiche del DNS (Domain Name System), scoperta da Dan Kaminsky, che permetteva di alterare il funzionamento del DNS stesso in modo da fornire agli utenti delle “traduzioni” sbagliate e quindi far credere agli utenti di stare visitando un sito fidato? Questa falla del DNS è in grado di dare la possibilità ad un aggressore di sostituirsi perfettamente e in tutta semplicità ad un sito fidato, mettendo di fatto in ginocchio la sicurezza della rete mondiale.

A differenza di altre falle informatiche, però, questa vulnerabilità interessa praticamente tutti i programmi di gestione del DNS proprio perché seguono le specifiche tecniche: tutti i più diffusi sistemi operativi, da Windows a Linux, da BSD a Mac OS X e quasi tutti i provider sono quindi potenzialmente vulnerabili!

L’incontro segreto

Fortunatamente, dati gli effetti devastanti di questa vulnerabilità, in quanto minava alla base la fiducia nei sistemi di internet, dopo una riunione segreta (per non dare la possibilità di rendere di dominio pubblico le specifiche tecniche ancora prima di poter diffondere una patch), il 31 Marzo 2008 presso il campus di Microsoft, a Redmond, si sono riuniti i più grandi nomi del mercato informatico (tra cui Microsoft, Sun e Cisco) per trovare una soluzione al problema.

La diffusione della patch

Così, l’8 Luglio 2008, tutti i maggiori sistemi operativi (sorprendentemente Apple quel giorno arrivò in ritardo forse distratta dall’imminente uscita del iPhone 3G e del servizio .Me) hanno distribuito, più o meno velatamente, tramite i meccanismi di aggiornamento automatico, questa patch. Infatti, gli accordi erano che tutti i sistemi operativi, e quindi tutti gli utenti e tutti i provider di accesso a Internet, dovevano applicare questa patch al proprio software di gestione del DNS o, nei casi limite, passare ad una sua versione aggiornata.

Non tutti i provider hanno chiuso la falla

Il problema, però, è che non tutte le aziende e i provider che gestiscono un domain name server, si sono mossi in tempo e molti provider, fra cui anche alcuni italiani, non hanno ancora provveduto a bloccare questa grave vulnerabilità.
Sul sito del CERT trovate la lista di tutti i sistemi e dei sistemi operativi che sono vulnerabili o meno a questa falla: il problema è che qui, come immaginabile, non sono elencati tutti i provider che hanno risolto il problema per cui, se mentre navighiamo su internet, usiamo fiduciosi dei DNS assegnati dal nostro provider, potrebbe accadere che questi possano essere attaccati e, quindi, potrebbe aumentare la possibilità di subire attacchi di pishing (in effetti stanno ad iniziare a spuntare alcuni esperimenti di attacco basate su questa vulnerabilità).

In ogni caso i dettagli circa la falla non verranno rilasciati prima di un mese circa, tempo in cui si spera che ormai le patch siano state installate su tutti i computer del mondo. Inoltre, a detta di Kaminsky, le patch non dovrebbero permettere il reverse-engineering (o per lo meno, non in tempi brevi), dato che un’analisi di questo tipo potrebbe consentire di concretizzare un exploit funzionante.

Come controllare che i propri server DNS non soffrano del bug

Se volete essere, quindi, certi di poter navigare sicuri, allora vi consiglio di usare un test, come suggerito dal sempre informato Paolo Attivissimo, presente sulla homepage del sito Doxpara Research. E’ sufficiente cliccare sul tasto “Check My DNS” presente nella sidebar a destra del sito, per sapere se il vostro provider ha già provveduto ad installare la patch. Sfortunatamente, come ho potuto appurare io stessi, alcuni server DNS di Telecom Italia, soffrono ancora di questa vulnerabilità. Vi consiglio, quindi, di usare direttamente i server OpenDNS: essendo un sistema centralizzato è stato più facile aggiornarli velocemente.

Ovviamente, quando scrissi che, per un utente italiano, a causa di latenze georgrafiche molto alte dei server OpenDNS rispetto a quelli Telecom, consigliavo di usare i server DNS italiani di Alice, oggi la situazione si è completamente ribaltata perché ad essere a rischio è la nostra navigazione su internet, per cui invito tutti, a meno che tutti i provider non risolvano presto la situazione, ad usare i server OpenDNS.

Tag:Alice, cisco, Dan Kaminsky, dns, exploit, Internet, Linux, microsoft, opendns, patch, Provider, sicurezza, Windows

2 comments

Nov 30 2007

Violata la crittografia integrata di Windows XP e 2000: a rischio le transazioni commerciali?

Posted by Antonio Troise

Criptografia Ogni computer possiede internamente dei sistemi software per generare numeri pseudocasuali, che sono una parte critica della moderna scienza computazionale, in particolare per la crittografia usata per cifrare file, messaggi di posta elettronica e per l’utilizzo del protocollo SSL (alla base dei sistemi di commercio elettronico su internet) e per la generazione delle password.
Si definiscono pseudocasuali perché la generazione di numeri realmente casuali, non è possibile nella realtà in quanto per generare un numero casuale significa che prima di essere generato, tutti gli elementi di un certo insieme siano egualmente probabili come risultato, cosa che dal punto di vista software ancora non è mai stato realizzato. E’ per questo che si parla di generatore di numeri pseudocasuali (PRNG, dall’inglese Pseudo Random Number Generator), ovvero di algoritmi in grado di generare una successione di numeri, i cui elementi sono approssimativamente indipendenti l’uno dall’altro.

Nonostante questo problema sia noto, fino ad oggi i numeri pseudocasuali, hanno sempre avuto una imprevedibilità sufficiente per l’attività normale. Se così non fosse stato, ciò avrebbe minato tutti gli algoritmi di crittografia, SSL (Secure Socket Layer) in primis, che per funzionare hanno bisogno di un generatore di numeri pseudocasuali. Se questi numeri non sono abbastanza casuali ma possono essere in qualche modo previsti o interpretati, il funzionamento della crittografia è minato dall’interno.

SSL Ed è quello che hanno scoperto, due ricercatori e studenti universitari israeliani, Benny Pinkas e Zvi Gutterman, che sono arrivati alla conclusione che il generatore di Windows 2000 e di Windows XP ha una falla, che crea rischi per la sicurezza. I ricercatori hanno svolto un’azione di “reverse-engineering” sull’algoritmo utilizzato da Windows 2000 per la generazione di numeri pseudo-casuali (PRNG), utilizzati dal sistema operativo per crittografare file e cartelle.

Forzando l’algoritmo PRNG, i due israeliani sostengono di essere riusciti nel predire le chiavi future e quelle create in passato. All’attaccante è sufficiente conoscere il valore di alcune aree di memoria (in user space, tra l’altro) per forzare la vostra comunicazione criptata. Questo vale ovviamente anche per le transazioni fatte con HTTPS con le carte di credito, ma anche agli istituti bancari e altri enti che trattano dati sensibili.

Messa alle strette Microsoft ha ammesso l’esistenza di questa falla sui suoi sistemi Windows e ha promesso che verrà chiusa, solo su Windows XP, con il Service Pack 3, annunciato da Microsoft per il primo semestre del 2008. Su Windows 2000, però, non è prevista alcuna patch questo perché Microsoft si rifiuta di riconoscere questo falla come bug che affligge la sicurezza.

Infatti, sebbene, per poter andare a buon fine, la tipologia d’attacco descritta dai due israeliani sia piuttosto complessa, Microsoft, comunque, continua a ridimensionare la pericolosità del problema recentemente messo a nudo: infatti in tutti i casi descritti, le informazioni sono visibili (e l’attacco nei confronti dell’algoritmo PRNG può avere successo) solo da parte degli utenti autorizzati o di altri utenti collegati al sistema locale con diritti amministrativi; poiché gli amministratori, per definizione, possono accedere a tutti i file ed a tutte le risorse disponibili sul sistema, ciò non rappresenta un problema. Questa condizione, quindi, limiterebbe fortemente la pericolosità del bug anche se un aggiornamento dedicato è assolutamente desiderabile.

Il problema è che se un aggressore riesce a prendere possesso di una macchina come amministratore, sfruttando, per esempio, altre falle di sicurezza non adeguatamente “patchate” (cosa che nel mondo Microsoft accade molto spesso), l’attacco nei confronti dell’algoritmo PRNG può avere successo!

Symantec, da parte sua, assume una posizione intermedia e ha bollato i rischi descritti dai due israeliani come “moderatamente elevati”. Un aggressore, infatti, dovrebbe prima riuscire a guadagnare l’accesso sulla macchina oggetto d’attacco. Successivamente il malintenzionato deve effettuare tutta una serie di attività per riuscire a guadagnare le chiavi generate sul sistema. “Uno scenario alquanto complicato“, ha concluso l’esperto di Symantec ammettendo tuttavia che la nascita di tool automatizzati potrebbe rappresentare un grave problema snellendo di fatto la procedura d’attacco.

Quindi, se le cose resteranno così, è molto probabile che Windows 2000, che è ancora in funzione sul 9 percento dei computer professionali in Europa e Stati Uniti (e per il quale Microsoft sta abbandonando il supporto), non avrà mai risolto questo bug, nonostante siano previsti eventuali aggiornamenti di sicurezza. Infatti, allo stato attuale delle cose, questo sistema operativo si trova infatti nella fase di “extended support“. Ciò significa che Microsoft rilascerà solo gli aggiornamenti di sicurezza considerati come critici mentre chi desidera usufruire degli altri aggiornamenti deve iscriversi ad un programma a pagamento (il cosiddetto “extended support”).

Per quanto riguarda invece Windows Vista, Windows Server 2003 e il non ancora rilasciato Windows Server 2008, sembra che questi sistemi operativi non soffrano del problema, perché impiegherebbero invece una versione modificata dell’algoritmo.

Tag:bug, microsoft, sicurezza, ssl, Windows

0 comments

Ott 3 2007

Come proteggere il proprio cellulare Symbian e Windows Mobile con uno sguardo grazie al riconoscimento dell’iride

Posted by Antonio Troise

Iris Recognition Tecnology La tecnologia era presente già da molto tempo ma veniva soprattutto utilizzata in ambiente militare o dove si richiedevano sistemi di protezione avanzata. Finalmente qualcuno ha pensato di utilizzarla anche per gli usi comuni, a tutto vantaggio della semplicità e immediatezza d’uso: sto parlando, della Iris Recognition Tecnology, ovvero del riconoscimento dell’identità grazie alla lettura dell’iride, applicata ai cellulari, sfruttando la fotocamera come scanner dell’iride.

In effetti la tecnologia di riconoscimento dell’iride non è nuova al segmento di sicurezza ma è la prima volta che è stata introdotta nel mercato mobile come protezione contro l’utilizzo non autorizzato del dispositivo da parte di terzi, in modo che possa essere attivato esclusivamente dal proprietario.

Tag:iride, iris-recognition-tecnology, Mobile, sicurezza, symbian, windows-mobile

6 comments

Ago 18 2007

SafePasswd: generare password sicure per i vostri account

Posted by Antonio Troise

Se siete a corto di idee quando dovete creare una password sicura o non siete soliti usare metacaratteri e numeri per renderla più difficile da decriptare, allora SafePasswd può fare al caso vostro. Questa applicazione ajax permette la generazione casuale di password grazie all’uso di uno slider che permette di aumentare o diminuire il numero di caratteri e quindi la complessità della chiave.

E’ possibile scegliere password da 1 a 256 caratteri, che contengano solo lettere (A-Z), solo numeri (0-9), Lettere e Numeri (A-Z, 0-9) o tutti i caratteri (quindi comprensivo anche dei metacaratteri).

Tra le opzioni, c’è anche la possibilità di alternare l’uso dei caratteri maiuscoli e minuscoli, in modo da alzare il livello di complessità della password (Password Strength), livello che viene mostrata da una barra colorata che assume gli stati di Weak, Fair, Strong, Very Strong.

Tra le curiosità, posso menzionare il fatto che è possibile generare casualmente una password esadecimale (solo maiuscolo) oppure del tipo “Easy To Remember”, ovvero facili da ricordare. Diciamo che per noi italiani questa opzione è relativamente utile, perché molto dipende dal vostro grado di comprensione e affiatamento con l’inglese. Ma è possibile sempre trovare password mnemoniche anche per noi italiani del tipo: jonson+9, 78%mossy e *22salve.

Tag:password, random, sicurezza

0 comments

Lug 19 2007

Come scoprire le password nascoste sotto gli asterischi dei campi di un modulo salvato su Explorer e Firefox

Posted by Antonio Troise

A volte può capitare di non ricordare la password di uno di quei tanti servizi del web 2.0 in beta a cui ci siamo iscritti (ultimamente crescono come funghi…), per poi scoprire che la si era salvata nel proprio browser (di solito quando si tratta di servizi non particolarmente importanti uso senza remore questa funzionalità). In questo modo possiamo accedere senza problemi al servizio interessato ma se dovessimo accidentalmente cancellare, per motivi di privacy, i dati sensibili sul nostro browser, le password salvate nei moduli internet sarebbero le prime ad essere eliminate definitivamente. Ecco perché, se non si ricorda una password che però si aveva avuto la cura di salvarle sul proprio browser, è necessario, prima o poi, recuperarla.

Internet Explorer

Se si tratta di Internet Explorer si possono usare uno di quei tanti programmi in grado di rivelare il contenuto celato sotto gli asterischi di un campo password. Tra i tanti vi posso suggerire Asterisk Logger, Password Reveal e Kernel Password Unmask 1.0. Questi applicativi hanno la prerogativa di funzionare sia per i campi password di Internet Explorer che per tutti quelli di Windows, come per esempio il campo password di una connessione remota.

Firefox

Purtroppo, questi programmi non funzionano sui campi password dei moduli internet aperti con Firefox: ne ho provati praticamente di tutti i tipi, freeware e shareware, ma nessuno è stato in grado di rivelare e scoprire le password nascoste sotto gli asterischi di un browser Firefox.

Fortuna che quelli che hanno sviluppato questo splendido browser hanno pensato ad un metodo semplice e quanto mai immediato. Infatti basta andare nel menu Strumenti -> Opzioni…, cliccare sulla folder Sicurezza, e quindi sul pulsante “Mostra password…”
A questo punto si aprirà una finestra che mostrerà una lista di siti e di nome utente associati: cliccando sul pulsante in basso a destra “Mostra password” sarà possibile visualizzare in chiaro tutte le password salvate.

Ovviamente, per quanto immediata sia questa funzione, costituisce, per contro, anche un piccolo buco di sicurezza: chiunque avesse accesso alla vostra postazione potrebbe visionare tutte le vostre password usate nel web. Per risolvere questo problema, c’è la possibilità di inserire, dalla folder Sicurezza aperta in precedenza, una password principale che serve a proteggere le informazioni sensibili come le password dei siti: in tal modo, ogni volta che verrà chiesto a Firefox, di recuperare un’informazione protetta, come la lista delle password vista in precedenza, verrà richiesta una password principale.
Sarà bene, quindi, che ognuno di voi setti questa password.

UPDATE: Andrea Micheloni mi segnala anche un altro metodo per scoprire le password nascoste su Firefox usando i bokmarklet javascript. Provate a salvare questo codice tra i preferiti: se nella pagina vi è un campo password, basterà cliccare sul collegamento appena salvato e la password verrà mostrata in un popoup.

Export/Import delle password salvate su Firefox

L’estensione per Firefox Password Exporter permette di effettuare in tutta semplicità e sicurezza di effettuare un export delle password salvate su Firefox e il successivo ripristino. Il file di backup generato può essere XML o CSV e si può decidere di criptarlo.

In maniera più semplice è possibile fare il backup manuale del file in cui sono memorizzati i dati delle password. E’ sufficiente andare nella cartella del profilo utente su Firefox (del tipo C:\Documents and Settings\[username]\Application Data\Mozilla\Firefox\Profiles\[nome_profilo].default) e copiare in un posto sicuro il signons2.txt: questo è un file ascii leggibile le cui password, però, sono criptate.

Tag:estensione, explorer, firefox, ie, password, password_reveal, sicurezza

17 comments

Gen 31 2007

Skype: prove in campo e sicurezza

Posted by Antonio Troise

Skype Ieri ho reinstallato Skype: la prima volta che l’ho installato era nel lontano 2003 quando era appena iniziato a diffondersi ma non trovandone benefici non l’ho usato molto dato che trovavo molto più comodo un normalissimo messenger. Questo fino a ieri, quando ho fatto alcune rapide prove comparative tra il sistema VOIP di MSN, Google Talk e Skype. Per quanto mi riguarda con Skype non riuscivo a sentire in modo continuo la voce dell’altro interlocutore (intervallata spesso da suoni metallici) mentre l’altro mi sentiva benissimo. Con MSN un vero disastro: un forte rumore di sottofondo e la voce andava e veniva. La migliore risposta, invece, me l’ha data Google Talk: entrambi sentivamo perfettamente, il rumore di fondo era accettabilmente basso e non vi erano mai interruzioni. Per cui la mia personalissima classifica è: