Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 07 Mar 2022 13:54 Oggetto: |
|
|
Ma controllare i checksums prima di installarli, no?
Capirei un allarme del genere se dicessero: hanno compromesso il keyring dei repositories Debian, ma qui stiamo parlando di software che l'utente deve espressamente cercare e scaricare sua sponte. Non so, forse mi manca un pezzo del puzzle... |
|
Top |
|
|
amldc Dio maturo
Registrato: 02/05/06 16:21 Messaggi: 1382
|
Inviato: 07 Mar 2022 15:52 Oggetto: |
|
|
Citazione: | Ma controllare i checksums prima di installarli, no? |
Se qualcuno ha le chiavi per firmare col certificato di nvidia, il checksum serve solo a verificare che quanto scaricato non sia stato modificato dopo la firma. Con la chiave posso scrivere del software e spacciarlo come prodotto da nvidia; al momento dell'installazione viene riconosciuto come software certificato da nvidia e come tale ti viene presentato.
Ovviamente scaricare driver o tool nvidia da siti tarocchi invece di quello ufficiale, non è molto saggio. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 07 Mar 2022 16:01 Oggetto: |
|
|
Citazione: | Ovviamente scaricare driver o tool nvidia da siti tarocchi invece di quello ufficiale, non è molto saggio |
Per l'appunto: non è sul certificato che l'utente va invitato a prendere provvedimenti, ma sull'evitare fonti non ufficiali. Meglio ancora bloccare tutti i rilasci finché il parco certificati non sarà stato "sterilizzato". |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1946
|
Inviato: 08 Mar 2022 08:40 Oggetto: |
|
|
Citazione: | l sistema operativo di Microsoft accetta infatti qualunque certificato emesso prima del 29 luglio 2015, anche scaduto |
Quindi la causa di tutti i mali e' Microsoft.
Se mangio la mozzarella, anche se e' scaduta da un mese, il problema sono io, non la mozzarella o il fabbricante |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 08 Mar 2022 09:31 Oggetto: |
|
|
Citazione: | Se mangio la mozzarella, anche se e' scaduta da un mese, il problema sono io, non la mozzarella o il fabbricante |
Vero, anche se fuor di metafora qui è come qualcuno modificasse a tua insaputa la data di scadenza sulla confezione. La colpa è principalmente di chi lo rende possibile e poi, a frittata fatta, ribalta su di te l'onere di cautelarti. |
|
Top |
|
|
amldc Dio maturo
Registrato: 02/05/06 16:21 Messaggi: 1382
|
Inviato: 08 Mar 2022 11:20 Oggetto: |
|
|
Homer S. ha scritto: |
Per l'appunto: non è sul certificato che l'utente va invitato a prendere provvedimenti, ma sull'evitare fonti non ufficiali. Meglio ancora bloccare tutti i rilasci finché il parco certificati non sarà stato "sterilizzato". |
Come può nvidia bloccare tutti i rilasci di chi firma software maligno coi loro certificati ? Che senso ha bloccare i propri rilasci perché qualcun altro rilascia roba a suo nome ?
Ancora adesso c'è gente che a tutti i costi deve installarsi flash player (o un qualche emulatore) perché ha assolutamente bisogno di utilizzare la tale applicazione (in genere qualche giochino idiota) ed installa la prima porcheria che trova in giro e che venga spacciata per esso; se poi è un malware ed il giorchino non funziona, si scarica ed installa altro. Ovviamente guardandosi bene di disinstallare il precedente. Simili geni molto difficilmente capiranno mai che va fatto un minimo di controllo sulla provenienza dei pacchetti.
Il problema di ripulire il parco certificati probabilmente non è molto semplice: significa che nvidia dovrebbe rifirmare tutta una serie di driver e tool, probabilmente piuttosto vecchi e non più mantenuti. O buttarli via perché inutilizzaili. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 08 Mar 2022 11:42 Oggetto: |
|
|
Citazione: | Come può nvidia bloccare tutti i rilasci |
Hai un'idea migliore? |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12823 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 12 Mar 2022 13:43 Oggetto: |
|
|
Homer S. ha scritto: | Citazione: | Ovviamente scaricare driver o tool nvidia da siti tarocchi invece di quello ufficiale, non è molto saggio |
Per l'appunto: non è sul certificato che l'utente va invitato a prendere provvedimenti, ma sull'evitare fonti non ufficiali. Meglio ancora bloccare tutti i rilasci finché il parco certificati non sarà stato "sterilizzato". |
Corretto, questo dovrebbe essere l'approccio da tenere almeno fino a che i malintenzionati riusciranno a penetrare anche un sito ufficiale e ad iniettagli il malware travestito. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12823 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 12 Mar 2022 13:47 Oggetto: |
|
|
Homer S. ha scritto: | Citazione: | Se mangio la mozzarella, anche se e' scaduta da un mese, il problema sono io, non la mozzarella o il fabbricante |
Vero, anche se fuor di metafora qui è come qualcuno modificasse a tua insaputa la data di scadenza sulla confezione. La colpa è principalmente di chi lo rende possibile e poi, a frittata fatta, ribalta su di te l'onere di cautelarti. |
Beh se la falsificazione avviene senza alcuna colpa del produttore di mozzarella anch'egli non può essere ritenuto responsabile, in questo caso però il produttore di mozzarella si è fatto fregare le matrici per falsificare la data in modo totalmente credibile e trasparente per l'utente finale.
Resta comunque sempre valido il suggerimento precedente di evitare di installare SW o driver prelevato non dal sito ufficiale del produttore. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 13 Mar 2022 08:45 Oggetto: |
|
|
Citazione: | Beh se la falsificazione avviene senza alcuna colpa del produttore di mozzarella anch'egli non può essere ritenuto responsabile |
Giusto in linea di principio, ma è questo il caso? Io ho seri dubbi sul fatto che Nvidia (o Samsung di recente) abbia davvero implementato le policies di sicurezza industriale di cui ora raccomanda l'uso agli utenti inconsapevoli.
Si sa che il lavoro dei Black hats non è come te lo spiaccicano in TV, non bucano un sito in trenta secondi e non rubano un bazilione di bytes in un minuto. Dietro c'è un accurato studio dei sistemi e delle loro falle, possono volerci mesi ed alla fine spesso penetrano perché a monte c'è l'ingenuità di qualche utente poco scrupoloso. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12823 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 19 Mar 2022 11:47 Oggetto: |
|
|
@Homer S.
Infatti concordo con la tua conclusione, la mia frase:
Citazione: | Beh se la falsificazione avviene senza alcuna colpa del produttore di mozzarella anch'egli non può essere ritenuto responsabile |
significa che se non c'è ne colpa, ne dolo, ne inadempienza, ne superficialità da parte del produttore che ha messo in atto tutti gli accorgimenti allo stato dell'arte per evitare la contraffazione egli non può essere ritenuto responsabile.
In questo caso, però, la seconda parte del mio periodo:
Citazione: | in questo caso però il produttore di mozzarella si è fatto fregare le matrici per falsificare la data in modo totalmente credibile e trasparente per l'utente finale. |
significa che io ritengo che il produttore per inadempienza e/o superficialità non abbia messo in atto tutti gli accorgimenti allo stato dell'arte per evitare la contraffazione per cui egli dovrebbe essere ritenuti pienamente responsabile del furto e delle conseguenze per i suoi clienti a prescindere degli accorgimenti che i cliente potranno o saranno in grado di intraprendere per tutelarsi a seguito del suo alert. |
|
Top |
|
|
|