Backup e crittografia

[speedyant]

Magari le vacanze a Finale Ligure erano una copertura...

[[Claudio]]

Magari le vacanze a Finale Ligure erano una copertura...

Una buona ragione per evitare di produrre e lasciare in giro ....... materiale compromettente

Per esempio ..... ultimamente, tutti stanno impazzendo per questo:



ecco qui .... giuro ..... sono 50

#050505
#0a0a0a
#0f0f0f
#141414
#191919
#1e1e1e
#232323
#282828
#2d2d2d
#323232
#373737
#3c3c3c
#414141
#464646
#4b4b4b
#505050
#555555
#5a5a5a
#5f5f5f
#646464
#696969
#6e6e6e
#737373
#787878
#7d7d7d
#828282
#878787
#8c8c8c
#919191
#969696
#9b9b9b
#a0a0a0
#a5a5a5
#aaaaaa
#afafaf
#b4b4b4
#b9b9b9
#bebebe
#c3c3c3
#c8c8c8
#cdcdcd
#d2d2d2
#d7d7d7
#dcdcdc
#e1e1e1
#e6e6e6
#ebebeb
#f0f0f0
#f5f5f5
#fafafa

:->

[Fener]

Certo che leggendo certe notizie come queste, passa la voglia di crittografare i dati.

Certo ..... gli utenti consumer devono, tutti, iniziare a tremare di paura ....

Non capisco: il vostro problema è cifrati i dati personali per evitare (per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso .... oppure si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale Ligure??

Se la prendiamo ridendo o come un gioco con battute va bene cosi, personalmente non gioco e la crittografia la ritengo essenziale e necessaria di questi tempi, e lo sarà sempre di più.
"per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso.." hai capito.
"si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale" esatto.

[[Claudio]]

Se la prendiamo ridendo o come un gioco con battute va bene cosi ....

Prendila come vuoi .... non fa differenza (almeno per me).

"per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso.." hai capito.

Non è esatto: non sono io ad aver capito .... ma è la logica con cui si dovrebbe ragionare (fatto salvo il fatto che non c'è soluzione di garanzia, crittografia o meno).

"si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale"

Ti assicuro che a nessun governo (neppure quello siriano) interessano le foto delle vacanze ..... e sono sicuro che (ipotizzando un attacco andato a buon fine) neppure a @PippoDj interesserebbero.

Questa discussione sta diventando un pò come la storiella biblica della pagliuzza e la trave ...... tutti a improvvisarsi discepoli della sicurezza, ma .....

P.S.: Per inciso, la soluzione è indicata QUI ..... senza doversi sbattere troppo (se non nel capire come si utilizza il tool di crittografia).

[hashcat]

Oltre alla pubblicità in loro favore, e questa la comprendo, kaspersky informa che , in alcuni casi può aiutare il gruppo a rompere la cifratura: "Tenendo conto del fatto che il loro impianto GrayFish è attivo fin dall' avvio del sistema, hanno la capacità di catturare la password di crittografia e salvarla in questo nascosto zona.

La password dell'hd cifrato, o partizione cifrata, non dice nulla dei dati cifrati nel sistema con password manager dedicati, e non possono far altro
che rimanere in silenzio, non è di loro competenza.

Purtroppo ti sbagli: nella situazione indicata dall'articolo di Kaspersky (attacchi mirati), una volta compromesso il firmware dell'hard disk (mediante malware veicolato in qualche modo)^ questo può,teoricamente, manipolare i dati presenti sul disco a proprio piacimento quindi, facendo riferimento al tuo esempio, rimpiazzare (o modificare) la copia di Sicurpas originale con una malevola in grado di "registrare" la password immessa dall'utente (magari in una porzione del disco non accessibile / visibile dal sistema operativo) per "sbloccare" il password manager, gli archivi crittografati, etc.

Game over.

^Trattandosi di attacchi mirati nulla vieta che il firmware malevolo sia già incluso nell'hardware acquistato (ad esempio ordinando un notebook presso Amazon).

[Al3x]

Trattandosi di attacchi mirati nulla vieta che il firmware malevolo sia già incluso nell'hardware acquistato

infatti, bastano esempi come questi per avere la misura di quanto sia grave la questione
http://www.androidworld.it/2014/06/15/m ... 00-233623/

è difficile arginare o adottare contromisure efficaci contro qualcosa che viene caricato ancor prima del sistema operativo (e quindi virtualmente invisibile).

[[Claudio]]

Trattandosi di attacchi mirati nulla vieta che il firmware malevolo sia già incluso nell'hardware acquistato (ad esempio ordinando un notebook presso Amazon).

Infatti, Hash ... nulla è vietato (un esempio come un altro).

E ci si preoccupa di proteggere le foto di Finale Ligure

Dopo il game over verrebbe .... insert coin .....

[hashcat]

Infatti, Hash ... nulla è vietato (un esempio come un altro).

Un unico certificato digitale statico installato come "Root Certificate Authority" nei dispositivi Lenovo "affetti"^: splendido!
Recentemente è anche stata estratta la chiave privata del certificato digitale utilizzato dall'adware SuperFish craccandone la relativa password (maggiori informazioni QUI). Ciò comporta che, potenzialmente, chiunque è ora in grado di effettuare attacchi MitM nei confronti degli utenti che utilizzano i prodotti Lenovo "affetti" in maniera (a loro) trasparente.
Non finisce qui: la password che "proteggeva" la chiave privata è la stessa adoperata da molti altri software (specialmente della tipologia parental control, sembrerebbe) basati sulla medesima SDK utilizzata da SuperFish (lista parziale: QUI).



Desidererei chiarire che ciò che io riportavo come "nulla vieta che" (dando per scontato che si verificasse con regolarità) non nasce da supposizioni o paranoie personali di alcun genere: è chiaramente menzionato nello studio redatto da Kaspersky ("Equation Group: Questions and Answers") che analizza in dettaglio l'attività del summenzionato gruppo (LINK).

Ne riporto una porzione rilevante:

The attacks that use physical media (CD-ROMs) are particularly interesting because they indicate the use of a technique known as “interdiction”, where the attackers intercept shipped goods and replace them with Trojanized versions.
One such incident involved targeting participants at a scientific conference in Houston. Upon returning home, some of the participants received by mail a copy of the conference proceedings, together with a slideshow including various conference materials. The [compromised ?] CD-ROM used “autorun.inf” to execute an installer that began by attempting to escalate privileges using two known EQUATION group exploits. Next, it attempted to run the group’s DOUBLEFANTASY implant and install it onto the victim’s machine. The exact method by which these CDs were interdicted is unknown. We do not believe the conference organizers did this on purpose. At the same time, the super-rare DOUBLEFANTASY malware, together with its installer with two zero-day exploits, don’t end up on a CD by accident.
Another example is a Trojanized Oracle installation CD that contains an EQUATIONLASER Trojan dropper alongside the Oracle installer.

Questa condotta, in contesti differenti, è già stata documentata in passato molteplici volte in relazione ad operazioni su scala ben più vasta. Wikipedia include una voce specifica per il termine "interdiction" riportando l'accezione relativa allo spionaggio:

The term interdiction is also used by the NSA when an electronics shipment is secretly intercepted by an intelligence service (domestic or foreign) for the purpose of implanting bugs before they reach their destination. According to Der Spiegel, the NSA's TAO group is able to divert shipping deliveries to its own "secret workshops" in a method called interdiction, where agents load malware onto the electronics or install malicious hardware that can give US intelligence agencies remote access. The report also indicates that the NSA, in collaboration with the CIA and FBI, routinely and secretly intercepts shipping deliveries for laptops or other computer accessories, such as a computer monitor or keyboard cables with hidden wireless transmitters bugs built-in for easy dropping on video and keylogging.

Ulteriori riferimenti degni di nota:

• Catalog Reveals NSA Has Back Doors for Numerous Devices, Spiegel (LINK) [29/12/2013].
• The NSA Uses Powerful Toolbox in Effort to Spy on Global Networks, Spiegel (LINK) [29/12/2013]
• Glenn Greenwald: how the NSA tampers with US-made internet routers, The Guardian (LINK) [12/03/2014]

Infine vorrei segnalare un interessante articolo relativo all'implementazione ed alla pericolosità di un firmware malevolo (dotato di backdoor) per hard disk: "Implementation and Implications of a Stealth Hard-Drive Backdoor" (LINK).

ABSTRACT:
This paper analyzes the catastrophic loss of security that occurs when hard disks are not trustworthy. First, we show that it is possible to compromise the firmware of a commercial off-the-shelf hard drive, by resorting only to public information and reverse engineering. Using such a compromised firmware, we present a stealth rootkit that replaces arbitrary blocks from the disk while they are written, providing a data replacement backdoor. [...] We then demonstrate that a remote attacker can even establish a communication channel with a compromised disk to infiltrate commands and to exfiltrate data. In our example, this channel is established over the Internet to an unmodified web server that relies on the compromised drive for its storage, passing through the original webserver, database server, database storage engine, filesystem driver, and block device driver. Additional experiments, performed in an emulated disk-drive environment, could automatically extract sensitive data such as /etc/shadow (or a secret key file) in less than a minute. This paper claims that the difficulty of implementing such an attack is not limited to the area of government cyber-warfare; rather, it is well within the reach of moderately funded criminals, botnet herders and academic researchers.

^Lenovo ha pubblicato una lista dei modelli che potrebbero essere affetti dall'adware SuperFish:

• Serie G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
• Serie U: U330P, U430P, U330Touch, U430Touch, U530Touch
• Serie Y: Y430P, Y40-70, Y50-70
• Serie Z: Z40-75, Z50-75, Z40-70, Z50-70
• Serie S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
• Serie Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
• Serie MIIX: MIIX2-8, MIIX2-10, MIIX2-11
• Serie YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
• Serie E: E10-30

[[Claudio]]

Uno tra i rari interventi costruttivi letti in questa discussione .... Hash :->

Un unico certificato digitale statico installato come "Root Certificate Authority" nei dispositivi Lenovo "affetti"^: splendido!
Recentemente è anche stata estratta la chiave privata del certificato digitale utilizzato dall'adware SuperFish craccandone la relativa password.
Ciò comporta che, potenzialmente, chiunque è ora in grado di effettuare attacchi MitM nei confronti degli utenti che utilizzano i prodotti Lenovo.

Che è poi simile a ciò che combina Avast!.

E dopo quelli di Lenovo, saranno felici gli utenti utilizzatori di Avast!

?? il tema della discussione é ancora "protezione dei dati sensibili?" .... se si ..... anche sui software antivirus, sarebbe da aprire una parentesi .... e, quasi nessun prodotto si salva.

^Lenovo ha pubblicato una lista dei modelli che potrebbero essere affetti dall'adware SuperFish.

E questo per quanto riguarda la produzione PC ...... sarei curioso di capire cosa hanno "impiantato" nei loro prodotti tablet, per esempio (dove il problema è già accentuato grazie alla invadenza delle APP).

[PippoDJ]

Un unico certificato digitale statico installato come "Root Certificate Authority" nei dispositivi Lenovo "affetti"^: splendido!

Che è poi simile a ciò che combina Avast!.

Beh insomma... a me sembra che tra i due casi ci sia una certa differenza. Non ho nessuna particolare simpatia per Avast o altri antivirus, ma non mi viene in mente un metodo diverso da quello illustrato nell'articolo che potrebbero usare per bloccare i virus contenuti nei messaggi di posta prima che arrivino al client.

Poi è chiaro che chi "sa quello che fa" può decidere di disattivare il controllo della posta elettronica e riconoscere ed eliminare "a mano" i messaggi pericolosi. Ma per il 99,9% degli utenti credo che il sospetto (perché solo di sospetto si tratta) che qualche messaggio possa essere esaminato dai tecnici Avast, sia un prezzo più che ragionevole da pagare... soprattutto tenendo conto delle capacità distruttive dei malware in circolazione.

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. Eugene "Gene" Howard Spafford

[[Claudio]]

Beh insomma... a me sembra che tra i due casi ci sia una certa differenza.

Infatti ho utilizzato il termine simile, ma la questione è sul piatto e non mi sembra il caso di non tenerne conto.

Non ho nessuna particolare simpatia per Avast o altri antivirus, ma non mi viene in mente un metodo diverso da quello illustrato nell'articolo che potrebbero usare per bloccare i virus contenuti nei messaggi di posta prima che arrivino al client.

Nessuna simpatia per gli antivirus (è noto che, sui computer, non installo antivirus) ma, al sottoscritto, un metodo diverso di quello illustrato dall'articolo viene in mente; e il risultato è che gli utenti si eviterebbero parecchie rogne se non utilizzassero il mouse come uno "sparatutto" cliccando su ogni cosa capita a tiro.

P.S.: L'ondata sempre più crescente di danni causati da malware come ransomware, cryptowall, cryptolocker, ecc. è figlia, in primis, della indolenza (sicurezza, questa sconosciuta) degli utenti, non della pericolosità dei malware in questione.

Morale:

Questa discussione sta diventando un pò come la storiella biblica della pagliuzza e la trave ...... tutti a improvvisarsi discepoli della sicurezza, ma .....

Detto che quelli di Lenovo e di Avast! (per esempio) probabilmente non sono casi isolati, forse, prima di parlare (e preoccuparsi) di cifratura dei dati ...... in termini di sicurezza sarebbe bene preoccuparsi di altro (o meglio, partire dall'inzio).

[[Claudio]]

Detto che quelli di Lenovo e di Avast! (per esempio) probabilmente non sono casi isolati, forse, prima di parlare (e preoccuparsi) di cifratura dei dati ...... in termini di sicurezza sarebbe bene preoccuparsi di altro (o meglio, partire dall'inzio).

Che poi, volendo, è tutto relativo .... HOW SPIES STOLE THE KEYS TO THE ENCRYPTION CASTLE:

AMERICAN AND BRITISH spies hacked into the internal computer network of the largest manufacturer of SIM cards in the world, stealing encryption keys used to protect the privacy of cellphone communications across the globe,

[Al3x]

fra SIM card intercettabili, BTS tarocche e hardware spione mi sa che conviene tornare ai pizzini

[[Claudio]]

fra SIM card intercettabili, BTS tarocche e hardware spione mi sa che conviene tornare ai pizzini

Potrebbe essere una soluzione anche tornare al telefono a gettoni

Comunque, alla "questione Lenovo" si aggiunge un nuovo interessante capitolo:

It turns out the vulnerability is easier to exploit than previously known.
A security researcher published new findings showing that a malicious hacker doesn't need the easily-extracted Superfish private key to perform a man-in-the-middle attack on PCs that have the Komodia proxy installed.
That's because the proxy will re-sign invalid certs and make them appear valid to the browser.

VEDI QUI e VEDI QUI.

Ma .... chi la fa .... l'aspetti



oramai da ore

[hashcat]

Comunque, alla "questione Lenovo" si aggiunge un nuovo interessante capitolo:

It turns out the vulnerability is easier to exploit than previously known.
A security researcher published new findings showing that a malicious hacker doesn't need the easily-extracted Superfish private key to perform a man-in-the-middle attack on PCs that have the Komodia proxy installed.
That's because the proxy will re-sign invalid certs and make them appear valid to the browser.

Proprio due giorni fa, su Hacker News, avevo letto un interessante commento che segnalava proprio questa problematica (QUI).

fra SIM card intercettabili, BTS tarocche e hardware spione mi sa che conviene tornare ai pizzini

Potrebbe essere una soluzione anche tornare al telefono a gettoni

Circa una settimana fa su Twitter:

Say what you want about floppy disks, but at least they did not contain chips that could have had their firmware backdoored.

[Ping]

Pensate davvero che ci sia gente con la voglia di penetrare nei pc altrui dall'esterno per mettersi a cercare password finalizzare a decriptare cartelle private?

Perché lo escludi?

[Ping]

Non capisco: il vostro problema è cifrati i dati personali per evitare (per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso .... oppure si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale Ligure??

Pure io non capisco il perchè di questo sarcasmo.

[Fener]

Non capisco: il vostro problema è cifrati i dati personali per evitare (per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso .... oppure si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale Ligure??

Pure io non capisco il perchè di questo sarcasmo.

Ciao Ping, se usi sistemi o software open source, Truecrypt o Keepass, il sarcasmo termina immediatamente... non uso questi software non li ritengo affidabili.

[[Claudio]]

Ciao Ping, se usi sistemi o software open source, Truecrypt o Keepass, il sarcasmo termina immediatamente... non uso questi software non li ritengo affidabili.

C'è stato un momento in cui questa discussione ha preso una piega informativa importante; sarebbe, ora, interessante sapere perché Truecrypt è inaffidabile.
P.S.: se si tratta di una idea personale, basata su ragioni prive di fondamento tecnico, lascia pure stare la spiegazione; alla discussione non apporterebbe nulla di costruttivo e sarebbe completamente inutile.

[Fener]

Non sono un crittoanalista e presumo da come parli che tu sia un quotato crittoanalista, pertanto sei tu che devi darmi una spiegazione tecnica dell’inviolabilità di un programma che dagli stessi sviluppatori è stato definito inaffidabile. Non avendo io le tue competenze mi sono rifatto al giudizio dei progettisti che sicuramente qualcosa in più di te sapranno su un programma che loro stessi hanno creato. Quindi tu devi dare a me e chi legge in questo forum una spiegazione tecnica che dimostri l’inviolabilità di True Cript e soprattutto dimostri che i suoi progettisti non sono competenti come te, visto che tu affermi il contrario di quanto loro affermano. Molto probabilmente hai fatto un’analisi completa del codice sorgente e quindi saprai di cosa parli. Rendi un servizio alla comunità degli sviluppatori.

Keepass non protegge la master key dai keyloggers, non avendo a proprio favore un algoritmo dedicato a tal proposito, i quali rilevano la medesima in fase di digitazione, stranamente o forse no, la master key non è salvabile come file e non importabile in fase di apertura del database, con obbligo di digitazione, se questa è sicurezza...

[[Claudio]]

..... pertanto sei tu che devi darmi una spiegazione tecnica dell’inviolabilità di un programma che dagli stessi sviluppatori è stato definito inaffidabile.

Forse bisognerebbe leggere bene tra le righe; detto che non è ancora stato accertato che il comunicato - e il suo ridicolo suggerimento - sia stato pubblicato dagli sviluppatori di TC (cosi come nessuno può escludere che i suoi sviluppatori siano ancora DIETRO AL PROGETTO).

In ogni caso, allo stato attuale delle cose (ovvero a circa 9 mesi dalla pubblicazione di quel comunicato), nessuno (e ribadisco NESSUNO) ha pubblicato alcunché in tema di comprovata insicurezza di TrueCrypt.

Non sono un crittoanalista .....

Consolati, non lo sono neppure io ..... ma questo non significa nulla: se puoi pubblicare link a studi provenienti da fonti attendibili che dimostrino la tua tesi (ovvero, dimostri che qualcuno è in grado di rompere, ecc. le chiavi crittografiche di TC), sarò lieto di prenderne buona nota (e smettere di utilizzare TrueCrypt) .... altrimenti, parliamo di aria fritta.

Per ora siamo ancora a questo: l'analisi mi sembra chiara, TC non soffre di vulnerabilità.

[Fener]

Allora se non sei un crittoanalista non pretendere altrui risposte tecniche che neanche tu sei in grado di dare, visto e considerato che ti rifai a quanto leggi sulla rete. La tua risposta è forse una risposta tecnica? Impara quando chiedi chiarimenti tecnici a qualcuno ad essere in grado tu per primo a saperli dare, altrimenti l’aria fritta la stai vendendo tu. Mi pare lampante che non hai affatto le idee chiare e non sei assolutamente in grado di portare nella discussione niente di concreto dal punto di vista tecnico, quindi se io dico che True Crypt non è sicuro e mi rifaccio a quanto dichiarato dagli stessi sviluppatori, non vedo perchè il mio parere non sia degno di rispetto quanto il tuo che affermi notizie e cose destituite di qualsiasi fondamento tecnico prese a casaccio nella rete. Non sono un crittoanalista e non lo sei nemmeno tu, quindi di che cosa stiamo parlando?

[Giampy]

Salve,
a proposito di Superfish ho fatto il test https://filippo.io/Badfish/. Con Opera 12 sto a posto mentre sui browser "minori" che sto provando (Maxthon e Midori) ottengo "Yes".

Entrambi i browser minori sono esposti al pericolo Poodle/SSL3. C'entra qualcosa con la questione Superfish? E' questa vulnerabilità che provoca quel "Yes"?

[Ping]

Non sono un crittoanalista e non lo sei nemmeno tu, quindi di che cosa stiamo parlando?

Dai fate i bravi che tra poco torno sull'argomento iniziale.

O vi siete dimenticati che devo proteggere le mie foto ricordo del mare?

[Fener]

Non sono un crittoanalista e non lo sei nemmeno tu, quindi di che cosa stiamo parlando?

Dai fate i bravi che tra poco torno sull'argomento iniziale.

O vi siete dimenticati che devo proteggere le mie foto ricordo del mare?

Non mi sono dimenticato, anzi, attendo una tua decisione in merito al password manager che vuoi utilizzare.