Olimpo Informatico

[Zeus News]

Leggi l'articolo La NSA può violare ogni crittografia
L'agenzia statunitense inseriva apposta delle vulnerabilità nei software e negli standard per la sicurezza in Rete.



Edward Snowden
Segnala un refuso

[spacexplorer]

Calma! Non saltiamo da un estremo (ma chi vuoi che mi spii!) all'altro (tutti
mi spiano!). L'NSA non penso proprio possa violare la crittografia ragionevole
in compenso non ho dubbi che usi i tanti sistemi per gonzi in circolazione.

Mi spiego: comprereste un'auto controllabile da remoto a livello di centralina
inclusa la possibilità di disattivare freni, volante cosiccome sistemi meno
critici tipo l'apertura dei finestrini? In particolare lo fareste sapendo che
l'auto non sarebbe proprio vostra ma diciamo voi avete il diritto di usarla
entro certi termini, non potete modificarla, se il concessionario decide che
i vostri copri-sedili non van bene si riserva il diritto di rimuoverli, è
garantito che il vivavoce dell'auto possa essere attivato senza alcun avviso
da parte dell'ANAS che può così ascoltarvi a piacere ecc?

Bé questo è quel che avviene su tutti gli smartphone più diffusi (Android
incluso che è open solo in parte, sono closed componenti critiche come la
radio, i Play Service ecc) ed anche sugli OS closed-source moderni. Quanto
al microfono del vivavoce (ma non solo) è gestibile via SIM da remoto per
standard GSM anche sui classici dumb-phone. Se su simili sistemi qualcuno
usa carte di credito, servizi bancari, ricerca di escort^H^H^H^H^H^H roba
personale ecc non si lamenti né si stupisca di certe "scoperte".

Ed ancora: vi fidereste di tenere tutta la vostra informazione, dalla
collezione di musica&foto all'armadio di fruste^H^H^H^H^H^H ehm di oggetti
personali in casa d'altri che non sapete manco bene chi siano, in genere
all'estero, con una ragnatela di sub-società ignote dietro ecc. Il sistema
è semplice: vi affittano armadi, scaffali ecc c'è pure un omino che vi
aiuta a gestire la roba che ci vorrete metterle e ogni volta che ne avrete
bisogno ve la manderà tramite il corriere di turno.

Bé questo è quel che avviene col cloud-computing: i vostri dati, programmi,
servizi ecc sono in mano a terzi, generalmente ben più grossi di voi quindi
a leva commerciale praticamente zero, generalmente all'estero con subappalti
vari che rendono assai difficile sapere chi fa cosa ecc. Se qualcuno usa
simili sistemi non si stupisca di certe "scoperte".

Piuttosto sarebbe il caso di svegliarsi, rifiutare servizi closed-source,
servizi che usate ma non sono da voi controllabili (per quanto si può)
rifiutare prodotti sw e hw di cui non vedete e potete verificare il progetto
(dal codice sorgente agli schemi) ecc.

Per stare un po' più IT l'NSA non legge le mail cifrate con la chiave pubblica
del destinatario, legge le mail che terzi maneggiano per voi dicendovi che le
cifrano e le decifrano senza che dobbiate occuparvene (dalla RIM alla proposta
del governo tedesco per le mail dei suoi cittadini) magari fornendole in
chiaro a terzi paganti o con altro potere per acquisire i fatti vostri.
L'NSA non buca il vostro sistema operativo, al massimo usa la backdoor
fornitagli dal produttore o la vulnerabilità scoperta da anni ma mai corretta.
Certo se usate sistemi open è ben più difficile che vi siano vulnerabilità non
corrette e backdoor lasciate apposta: il codice pubblico e l'enorme massa di
occhi che lo vedono e lo maneggiano coi più diversi interessi fan si che sia
poco probabile. L'NSA non cracca le vostre chat OTR, ma potrebbe non aver
problemi a leggere le chat in chiaro di msn/skype/gmail. Ed è molto probabile
che non sia solo NSA a farlo.

Quel che c'è da fare è semplice: PENSARE a quel che si fa, si compra e si
usa. Per qualcosa non c'è---ancora---scelta, per altro c'è e più il mercato
lo cerca più col tempo arriva.

[Alamacchia]

è possibile decrittino il Bitcoin?
oppure, come hai detto, possono leggere la chiave pubblica e quella privata resta crittata?

[{Giona}]

Bravi hanno scoperto l`acqua calda !!

Non c`è nulla di nascosto che non possa essere svelato.Vangelo 2000 anni fa!!!

[{Salutony}]

io ricordo che gli algoritmi di crittografia più complessi non si potevano esportare fuori dagli USA. Poi all'improvviso questo è stato autorizzato. Mi sembrò ovvio che il motivo fosse che non era più un problema crackarli, per le agenzie USA.

[{Dareios}]

In questi giorni sto pensando di convertire il mio ufficio al mondo Mac e abbandonare lo sfinimento di MS. Sfinimento per le valanghe di upgrade "di sicurezza" che credo proprio mascherino dell'altro. Durante un aggiornamento ho assistito, tramite uno sniffer di rete, a pezzi di file di un acartella documenti ch efuoriuscivano; forse un caso, forse no; comunque credo che sia vero che quando ti affacci sulla rete devi solo sperare che nessuno voglia curarsi di te, perchè sei a disposizione del mondo e di chi può sapere tutto. Sono convinto in in enorme piano per conoscere a tua insaputa e allora che l'NSA possa bucare la mia crittografia non mi sorprende. Anni fa Bush dichiarò di aver ordinato alla Cia di violare i conti bancari di Ceausescu, con buona pace degli algoritmi di RSA&Co.
Forse l'unico sistema per contrastare è limitare l'uso e l'abuso della connessione, concepire sistemi con area dati fisicamente staccata dalla rete (non parliamo di firewall, mi vien che ridere).
Per non parlare di facebook e associati.
Saluti

[zeross]

[{***}]

Commento fuori tema o non conforme al regolamento del forum.

[Zievatron]

Sarà, ma tutto questo spionaggio non mi ispira bene.

[R16]

Se fosse vero che hanno sfruttato una vulnerabilità, inserendo una backdoor ......tutto è possibile.

[{***}]

Commento fuori tema o non conforme al regolamento del forum.

[Kalandra]

falsa "identità" o semplice omonimia?

zeussino, illuminaci!

[spacexplorer]

@Alamacchia
sui Bitcoin non sono ferrato quindi non so risponderti, in generale il sistema
a chiave doppia è molto semplice (matematica che c'è dietro a parte): hai una
chiave che cifra soltanto ed una che decifra soltanto.

La prima, detta pubblica, è il più possibile "pubblicata" in modo che chiunque
possa cifrare contenuti da inviarti e quanta più gente possa "identificare" la
tua chiave, sapere che "sei tu". La seconda, detta privata, al contrario la
tieni ben nascosta e la usi solo per decifrare i contenuti che ricevi.

l'NSA, come il BVD (Olanda), l'AiSi/AiSe (Italia), l'FSB (Russia) ecc non penso
siano in grado di rompere o provino a farlo su larga scala cifrature GPG/PGP
classiche; molto semplicemente ricevono i messaggi in chiaro.
Quando ci colleghiamo a GMail, qualcuno chatta con MSN/Live ecc la connessione
è cifrata tra l'utente ed il server Microsoft, Google, Apple, RIM &c. Questi
ha tutto in chiaro e con un altra connessione cifrata li inoltra al
destinatario. L'NSA&C semplicemente si fan dare accesso al server e leggono
tutto in chiaro con calma. Eventuali bachi di ssl&c, cifrature deboli ecc mi
paiono più utili per un attacco mirato a qualcuno e per far colpo giornalistico
che non altro.

È per questo che dico chi può pensare di usare Lavabit "la mail di Snowden"&c
o qualsiasi servizio terzo per gestire i propri segreti? GPG è opensource, la
scarichi e la usi gratis, a quel punto usa pure GMail, Dropbox o chi ti pare
il contenuto è ragionevolmente sicuro. Chi pensa che terzi, si chiamino RIM o
Mega o qualcos'altro diano maggiori garanzie semplicemente non si rende conto
dell'assurdità di ciò.

@{Salutony}
Credo semplicemente non avesse più senso un blocco: la crittografia non è
made-in-USA, il blocco riguardava la vendita di hw&sw a tema, ma il mondo
non è solo Cisco&c, una volta che ognuno s'è implementato per i fatti suoi
vari algoritmi di cifratura impedire la vendita di hw&sw che li implementa
è solo un danno per le aziende... Senza considerare l'enorme potenziale di
infilare in prodotti closed-source backdoor e quant'altro come il caso
Stuxnet/Iran/Siemen han dimostrato molto bene...

@{Dareios}
Perché la Apple ti pare diversa dalla Microsoft? Semmai passa a GNU/Linux
che essendo Open è mondiale è assai più tutelato&tutelabile oltre che
controllato&controllabile di un'altra multinazionale statunitense...

@zeross
Protocolli come il GSM sono stati volutamente progettati in maniera "non
troppo" sicura per permettere alle autorità (democratiche o oppressive che
siano) di monitorare come serve (in maniera anche legittima e per il bene
della società) e nel contempo impedire ai delinquentelli in erba di far
troppi danni, il succo che vorrei dire è: DIFENDETE LA VOSTRA INDIVIDUALITÀ
E PROPRIETÀ, non aumentate volutamente le dipendenze verso terzi (a tema
cloud&c), è questa la miglior tutela. Se il mio computer è "libero" (niente
bootloader bloccati, ed altri lucchetti), so come è stato progettato, l'OS
che ci gira sopra è scritto, ritoccato e ripassato da migliaia di persone
con interessi differenti, so usare gli strumenti del caso un minimo posso
essere, come cittadino medio, ragionevolmente sicuro. Se tutto il mio denaro
è in mano a terzi (es tutte le mie entrate passano da Visa, Mastercard e
PayPal) ed io ci accedo solo tramite un dispositivo di terzi (es. solo carta
di credito); se tutti i miei dati sono in qualche "nuvola" non sui miei dischi;
se tutto ciò che faccio dipende da una connessione senza la quale non posso
manco aprire un programma allora non sono affatto sicuro.
Non è questione di NSA.

@R16
Il punto è sempre: mi fido perché scelgo di farlo e se un domani ho un dubbio
posso controllare oppure mi fido perché non ho scelta?

[mda]

[{dareios}]

Inoltre, pochi sanno che nel set di istruzioni macchina dei moderni processori ci sono funzioni primitive built-it non dichiarate e tenute segrete. Solo chi possiede appositi compilatori può sfruttarle e così succede che all'insaputa dell'utente il suo pc possa scatenare istruzioni e funzioni embedded che in pochi microsecondi eseguono check, esportano dati, importano worm.
Il business degli antivirus è anche un canale "autorizzato dall'utente" per consentire "aggiornamenti" per contrastare nuove minacce realmente esistenti, ma che in realtà sarebbero le mentite spoglie di un processo di appropriazione dei nostri dati e gestione della nostra vita. Ogni tanto - anzi sempre più spesso - invio delle cartoline (quelle vere) e/o scrivo a mano delle lettere con carta e penna. Ho riscoperto il piacere di vivere meglio. Saluti

[spacexplorer]

@{dareios}
non esageriamo: di tanto in tanto escono istruzioni non documentate ma non è
che la CPU sia un cervello autonomo. La CPU è controllata dal sistema che ci
gira sopra un po' come lo sterzo è controllato dalle mani del guidatore.

Non confondiamo certa fantascienza di cert'uni film col mondo reale: ci sono
molte cose assolutamente possibili a cui praticamente nessuno pensa, ci sono
altre cose che sono fantasia pura.

L'NSA non è anni avanti alla tecnologia che conosciamo, semplicemente perché
non può avere abbastanza "teste" nascoste che progettano cose da fantascienza
quel che fa è usare le stesse tecnologie che usiamo noi per i suoi comodi. Se
i tuoi dati passano da poche multinazionali gigantesche con base in USA non ha
alcun bisogno di Star Trek, gli basta bussar alla porta del management di
queste aziende. Oggi internet è in buona parte Google, Facebook, Windows Live
Android e iOS fai te due conti...

[{dareios}]

Caro Spacexplorer, il sistema operativo va sopra il linguaggio macchina e ne utilizza le istruzioni. Queste possono essere più o meno complesse, dalla semplice NOP alla serie di Taylor, che alcuni proc hanno incorporata, a prescindere dal sistema operativo. Alcune di queste istruzioni (nascoste) sono veri e propri pezzi di programma che sono invocati da chiamate (non di SO ma in linguaggio macchina) che fanno fare al proc cose diverse, sottraendo risorse al SO all'insaputa dell'ignaro programmatore e tanto meno dell'utilizzatore. Diversi anni fa mi permisi di predire che la tecnologia dei proc dei cellulari avrebbe potuto realizzare ascolti ambientali con semplici artifizi, bastava studiarsi le istruzioni e le chiamate possibili. Mi dettero del visionario lettore di gialli. Oggi è realtà, anzi in Grecia si accorsero che i cellulari dati in comodato ai parlamentari erano dei microfoni aperti per chi sapeva come ascoltare. Furono sostituiti con le scuse del provider e non se ne parlò più.

[spacexplorer]

@{dareios}
Non capisco cosa intendi: la CPU NON È autonoma, non ha intelligenza, non ha
un firmwire quindi NON PUÒ eseguire istruzioni per conto suo, quali che esse
siano. Le "chiamate" ad "istruzioni" le deve fare "qualcosa" fuori dalla CPU.

Gli hard disk hanno un firmwire che può fare molte cose nascoste/trasparenti
all'OS soprastante, idem le schede di rete ma componenti come RAM e CPU no.

Per tornare al paradigma automobilistico la CPU è il motore della vettura,
da solo non accelera, frena, si accende o si spegne, è qualcun'altro al di
fuori che col pedale dell'acceleratore o la centralina lo gestisce. La
centralina la puoi vedere come BIOS/{U,}EFI/OBP/* e nel caso dei computer
ad architettura Intel {U,}EFI non può agire sulla CPU insieme all'OS fisico,
su sparc può agire ma in maniera eufemisticamente "non trasparente" all'OS.

Quanto riguarda l'ascolto del microfono dei cellulari non c'è bisogno di nulla
di segreto menchemeno nella CPU, il miniOS delle SIM GSM può per standard
ufficiale e documentato autonomamente svolgere svariate funzioni sul telefono,
tra cui gestire il microfono del vivavoce, rifiutare o fare chiamate, mandare
messaggi ecc. indipendentemente dall'OS che c'è sopra.

[{dareios}]

E' vero, in teoria la CPU non è autonoma, in pratica in alcuni processori ci sono delle istruzioni di rango superiore che non si limitano a fare un calcolo più o meno complesso, me eseguono vere e proprie funzioni primitive non divulgate
Queste se ben governate nei momenti opportuni sgravano il SO da molte incombenze e nei casi di processori studiati per "agire nell'ombra", eseguono sequenze di istruzioni scatenate da un apposito comando.
Questo approccio nacque circa 30 anni fa con CPU (non ancora microprocessori) che si presentavano al SO con una serie di istruzioni e funzioni primitive già inserite nell'hardware.
In particolare una CPU doi una grossa azienda Finmeccanica era realizzata con un microprogramma che aveva della micro-macro-istruzioni lunghe 128 bits. Per il SO quella era un amacchina stupida da gestire, ma solo parzialmente, perchè - per esempio - aveva una gestione di I/O evoluta già implementata nel set di istruzioni della CPU.
Successivamente la miniaturizzazione ottenne che quelle macchine ora sono embedded in un chippone; dentro però, oltre alle istruzioni che conosciamo, i caché, gli stack, i registri, l'ALU etc. ci possono essere delle funzioni primitive che ora tanto primitive non sono, anzi sono intelligenti.
Faccio un esempio: il Pc sta lavorando con SO che gestisce la CPU, questa ha un'architettura interna realizzata a micro-macro-programma, quindi ha una sua intelligenza interna o se vuoi un SO di basso livello che però fa parte della CPU in quanto tale. Il "firmware" interno della CPU - ad esempio - mentre esegue le istruzioni richieste dal SO, in maniera autonoma esamina i pattern di dati che scorrono nell'unità di tempo in un certo registro interno. Se e quando questo pattern presenta una particolare configurazione allora - sempre da parte della CPU e all'insaputa del SO - viene scatenata una serie di istruzioni assembler che, per esempio, creano delle code di i/O per inviare su una specifica porta una serie di informazioni ad uno specifico indirizzo IP. Questa coda una volta preparata può benissimo appoggiarsi alla normale gestione del SO senza che lui ne sappia nulla. Una sorta di worm interno alla CPU che si può identificare solo con degli sniffer evoluti e da chi conosce questi scenari.

[spacexplorer]

@{dareios}
hum, molte cpu hanno un microcode ma questo è comunque "lanciato" dall'OS
non è autonomo, non è un OS. Anche avendo un'istruzione "scatta una foto"
chi è che la fa eseguire? Come ha il microcode informazioni d'alto livello
per poter eseguire certi compiti? Es. accedere al microfono (a bassissimo
livello) è tutto sommato facile, registrare l'audio da qualche parte,
codificarlo in un dato formato o codificarlo ed inviarlo richiede
informazioni d'altissimo livello rispetto al ferro. L'ipotetica "SmartCPU"
dovrebbe andar d'accordo con un'altrettanto smart scheda di rete che a sua
volta, per non farsi notare, dovrebbe andar d'accordo con tutti gli eventuali
apparati in mezzo (switch, router e vari sw di controllo a tema), dovrebbe
poter mascherare l'indirizzamento vero della ram ecc. Anche se un'LGA oggi
è un universo rispetto allo z80 non vedo come un simile "complotto" possa
funzionare ed essere gestibile di nascosto e su vasta scala...