Re: Backup e crittografia
Inviato: gio feb 19, 2015 10:41 am
TurboLab.it
Il forum italiano su PC, Internet e smartphone
https://turbolab.it/forum/
Backup e crittografia
Pagina 2 di 3
Re: Backup e crittografia
Inviato: gio feb 19, 2015 12:53 pm
Una buona ragione per evitare di produrre e lasciare in giro ....... materiale compromettentespeedyant ha scritto:Magari le vacanze a Finale Ligure erano una copertura...
Per esempio ..... ultimamente, tutti stanno impazzendo per questo:
ecco qui .... giuro ..... sono 50
#050505
#0a0a0a
#0f0f0f
#141414
#191919
#1e1e1e
#232323
#282828
#2d2d2d
#323232
#373737
#3c3c3c
#414141
#464646
#4b4b4b
#505050
#555555
#5a5a5a
#5f5f5f
#646464
#696969
#6e6e6e
#737373
#787878
#7d7d7d
#828282
#878787
#8c8c8c
#919191
#969696
#9b9b9b
#a0a0a0
#a5a5a5
#aaaaaa
#afafaf
#b4b4b4
#b9b9b9
#bebebe
#c3c3c3
#c8c8c8
#cdcdcd
#d2d2d2
#d7d7d7
#dcdcdc
#e1e1e1
#e6e6e6
#ebebeb
#f0f0f0
#f5f5f5
#fafafa
:->
Re: Backup e crittografia
Inviato: gio feb 19, 2015 1:16 pm
Se la prendiamo ridendo o come un gioco con battute va bene cosi, personalmente non gioco e la crittografia la ritengo essenziale e necessaria di questi tempi, e lo sarà sempre di più.[Claudio] ha scritto:Certo ..... gli utenti consumer devono, tutti, iniziare a tremare di paura ....Ping ha scritto:Certo che leggendo certe notizie come queste, passa la voglia di crittografare i dati.
Non capisco: il vostro problema è cifrati i dati personali per evitare (per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso .... oppure si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale Ligure??
"per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso.." hai capito.
"si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale" esatto.
Re: Backup e crittografia
Inviato: gio feb 19, 2015 1:30 pm
Prendila come vuoi .... non fa differenza (almeno per me).Fener ha scritto:Se la prendiamo ridendo o come un gioco con battute va bene cosi ....
Non è esatto: non sono io ad aver capito .... ma è la logica con cui si dovrebbe ragionare (fatto salvo il fatto che non c'è soluzione di garanzia, crittografia o meno)."per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso.." hai capito.
Ti assicuro che a nessun governo (neppure quello siriano) interessano le foto delle vacanze ..... e sono sicuro che (ipotizzando un attacco andato a buon fine) neppure a @PippoDj interesserebbero."si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale"
Questa discussione sta diventando un pò come la storiella biblica della pagliuzza e la trave ...... tutti a improvvisarsi discepoli della sicurezza, ma .....
P.S.: Per inciso, la soluzione è indicata QUI ..... senza doversi sbattere troppo (se non nel capire come si utilizza il tool di crittografia).
Re: Backup e crittografia
Inviato: gio feb 19, 2015 2:02 pm
Purtroppo ti sbagli: nella situazione indicata dall'articolo di Kaspersky (attacchi mirati), una volta compromesso il firmware dell'hard disk (mediante malware veicolato in qualche modo)^ questo può,teoricamente, manipolare i dati presenti sul disco a proprio piacimento quindi, facendo riferimento al tuo esempio, rimpiazzare (o modificare) la copia di Sicurpas originale con una malevola in grado di "registrare" la password immessa dall'utente (magari in una porzione del disco non accessibile / visibile dal sistema operativo) per "sbloccare" il password manager, gli archivi crittografati, etc.Fener ha scritto:Oltre alla pubblicità in loro favore, e questa la comprendo, kaspersky informa che , in alcuni casi può aiutare il gruppo a rompere la cifratura: "Tenendo conto del fatto che il loro impianto GrayFish è attivo fin dall' avvio del sistema, hanno la capacità di catturare la password di crittografia e salvarla in questo nascosto zona.
La password dell'hd cifrato, o partizione cifrata, non dice nulla dei dati cifrati nel sistema con password manager dedicati, e non possono far altro
che rimanere in silenzio, non è di loro competenza.
Game over.
^Trattandosi di attacchi mirati nulla vieta che il firmware malevolo sia già incluso nell'hardware acquistato (ad esempio ordinando un notebook presso Amazon).
Re: Backup e crittografia
Inviato: gio feb 19, 2015 2:50 pm
infatti, bastano esempi come questi per avere la misura di quanto sia grave la questionehashcat ha scritto:Trattandosi di attacchi mirati nulla vieta che il firmware malevolo sia già incluso nell'hardware acquistato
http://www.androidworld.it/2014/06/15/m ... 00-233623/
è difficile arginare o adottare contromisure efficaci contro qualcosa che viene caricato ancor prima del sistema operativo (e quindi virtualmente invisibile).
Re: Backup e crittografia
Inviato: gio feb 19, 2015 3:23 pm
Infatti, Hash ... nulla è vietato (un esempio come un altro).hashcat ha scritto:Trattandosi di attacchi mirati nulla vieta che il firmware malevolo sia già incluso nell'hardware acquistato (ad esempio ordinando un notebook presso Amazon).
E ci si preoccupa di proteggere le foto di Finale Ligure
Dopo il game over verrebbe .... insert coin .....
Re: Backup e crittografia
Inviato: ven feb 20, 2015 1:16 am
Un unico certificato digitale statico installato come "Root Certificate Authority" nei dispositivi Lenovo "affetti"^: splendido![Claudio] ha scritto:Infatti, Hash ... nulla è vietato (un esempio come un altro).
Recentemente è anche stata estratta la chiave privata del certificato digitale utilizzato dall'adware SuperFish craccandone la relativa password (maggiori informazioni QUI). Ciò comporta che, potenzialmente, chiunque è ora in grado di effettuare attacchi MitM nei confronti degli utenti che utilizzano i prodotti Lenovo "affetti" in maniera (a loro) trasparente.
Non finisce qui: la password che "proteggeva" la chiave privata è la stessa adoperata da molti altri software (specialmente della tipologia parental control, sembrerebbe) basati sulla medesima SDK utilizzata da SuperFish (lista parziale: QUI).
Desidererei chiarire che ciò che io riportavo come "nulla vieta che" (dando per scontato che si verificasse con regolarità) non nasce da supposizioni o paranoie personali di alcun genere: è chiaramente menzionato nello studio redatto da Kaspersky ("Equation Group: Questions and Answers") che analizza in dettaglio l'attività del summenzionato gruppo (LINK).
Ne riporto una porzione rilevante:
Questa condotta, in contesti differenti, è già stata documentata in passato molteplici volte in relazione ad operazioni su scala ben più vasta. Wikipedia include una voce specifica per il termine "interdiction" riportando l'accezione relativa allo spionaggio:Kaspersky ha scritto:The attacks that use physical media (CD-ROMs) are particularly interesting because they indicate the use of a technique known as “interdiction”, where the attackers intercept shipped goods and replace them with Trojanized versions.
One such incident involved targeting participants at a scientific conference in Houston. Upon returning home, some of the participants received by mail a copy of the conference proceedings, together with a slideshow including various conference materials. The [compromised ?] CD-ROM used “autorun.inf” to execute an installer that began by attempting to escalate privileges using two known EQUATION group exploits. Next, it attempted to run the group’s DOUBLEFANTASY implant and install it onto the victim’s machine. The exact method by which these CDs were interdicted is unknown. We do not believe the conference organizers did this on purpose. At the same time, the super-rare DOUBLEFANTASY malware, together with its installer with two zero-day exploits, don’t end up on a CD by accident.
Another example is a Trojanized Oracle installation CD that contains an EQUATIONLASER Trojan dropper alongside the Oracle installer.
Ulteriori riferimenti degni di nota:Wikipedia ([url=https://en.wikipedia.org/wiki/Interdiction]LINK[/url]) ha scritto:The term interdiction is also used by the NSA when an electronics shipment is secretly intercepted by an intelligence service (domestic or foreign) for the purpose of implanting bugs before they reach their destination. According to Der Spiegel, the NSA's TAO group is able to divert shipping deliveries to its own "secret workshops" in a method called interdiction, where agents load malware onto the electronics or install malicious hardware that can give US intelligence agencies remote access. The report also indicates that the NSA, in collaboration with the CIA and FBI, routinely and secretly intercepts shipping deliveries for laptops or other computer accessories, such as a computer monitor or keyboard cables with hidden wireless transmitters bugs built-in for easy dropping on video and keylogging.
- Catalog Reveals NSA Has Back Doors for Numerous Devices, Spiegel (LINK) [29/12/2013].
- The NSA Uses Powerful Toolbox in Effort to Spy on Global Networks, Spiegel (LINK) [29/12/2013]
- Glenn Greenwald: how the NSA tampers with US-made internet routers, The Guardian (LINK) [12/03/2014]
^Lenovo ha pubblicato una lista dei modelli che potrebbero essere affetti dall'adware SuperFish:ABSTRACT:
This paper analyzes the catastrophic loss of security that occurs when hard disks are not trustworthy. First, we show that it is possible to compromise the firmware of a commercial off-the-shelf hard drive, by resorting only to public information and reverse engineering. Using such a compromised firmware, we present a stealth rootkit that replaces arbitrary blocks from the disk while they are written, providing a data replacement backdoor. [...] We then demonstrate that a remote attacker can even establish a communication channel with a compromised disk to infiltrate commands and to exfiltrate data. In our example, this channel is established over the Internet to an unmodified web server that relies on the compromised drive for its storage, passing through the original webserver, database server, database storage engine, filesystem driver, and block device driver. Additional experiments, performed in an emulated disk-drive environment, could automatically extract sensitive data such as /etc/shadow (or a secret key file) in less than a minute. This paper claims that the difficulty of implementing such an attack is not limited to the area of government cyber-warfare; rather, it is well within the reach of moderately funded criminals, botnet herders and academic researchers.
- Serie G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- Serie U: U330P, U430P, U330Touch, U430Touch, U530Touch
- Serie Y: Y430P, Y40-70, Y50-70
- Serie Z: Z40-75, Z50-75, Z40-70, Z50-70
- Serie S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Serie Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- Serie MIIX: MIIX2-8, MIIX2-10, MIIX2-11
- Serie YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- Serie E: E10-30
Re: Backup e crittografia
Inviato: ven feb 20, 2015 8:44 am
Che è poi simile a ciò che combina Avast!.hashcat ha scritto:Un unico certificato digitale statico installato come "Root Certificate Authority" nei dispositivi Lenovo "affetti"^: splendido!
Recentemente è anche stata estratta la chiave privata del certificato digitale utilizzato dall'adware SuperFish craccandone la relativa password.
Ciò comporta che, potenzialmente, chiunque è ora in grado di effettuare attacchi MitM nei confronti degli utenti che utilizzano i prodotti Lenovo.
E dopo quelli di Lenovo, saranno felici gli utenti utilizzatori di Avast!
?? il tema della discussione é ancora "protezione dei dati sensibili?"
.... se si ..... anche sui software antivirus, sarebbe da aprire una parentesi .... e, quasi nessun prodotto si salva.E questo per quanto riguarda la produzione PC ...... sarei curioso di capire cosa hanno "impiantato" nei loro prodotti tablet, per esempio (dove il problema è già accentuato grazie alla invadenza delle APP).^Lenovo ha pubblicato una lista dei modelli che potrebbero essere affetti dall'adware SuperFish.
Re: Backup e crittografia
Inviato: ven feb 20, 2015 10:28 am
Beh insomma... a me sembra che tra i due casi ci sia una certa differenza. Non ho nessuna particolare simpatia per Avast o altri antivirus, ma non mi viene in mente un metodo diverso da quello illustrato nell'articolo che potrebbero usare per bloccare i virus contenuti nei messaggi di posta prima che arrivino al client.[Claudio] ha scritto:Che è poi simile a ciò che combina Avast!.hashcat ha scritto:Un unico certificato digitale statico installato come "Root Certificate Authority" nei dispositivi Lenovo "affetti"^: splendido!
Poi è chiaro che chi "sa quello che fa" può decidere di disattivare il controllo della posta elettronica e riconoscere ed eliminare "a mano" i messaggi pericolosi. Ma per il 99,9% degli utenti credo che il sospetto (perché solo di sospetto si tratta) che qualche messaggio possa essere esaminato dai tecnici Avast, sia un prezzo più che ragionevole da pagare... soprattutto tenendo conto delle capacità distruttive dei malware in circolazione.
Eugene H. Spafford ha scritto:The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. Eugene "Gene" Howard Spafford
Re: Backup e crittografia
Inviato: ven feb 20, 2015 12:14 pm
Infatti ho utilizzato il termine simile, ma la questione è sul piatto e non mi sembra il caso di non tenerne conto.PippoDJ ha scritto:Beh insomma... a me sembra che tra i due casi ci sia una certa differenza.
Nessuna simpatia per gli antivirus (è noto che, sui computer, non installo antivirus) ma, al sottoscritto, un metodo diverso di quello illustrato dall'articolo viene in mente; e il risultato è che gli utenti si eviterebbero parecchie rogne se non utilizzassero il mouse come uno "sparatutto" cliccando su ogni cosa capita a tiro.Non ho nessuna particolare simpatia per Avast o altri antivirus, ma non mi viene in mente un metodo diverso da quello illustrato nell'articolo che potrebbero usare per bloccare i virus contenuti nei messaggi di posta prima che arrivino al client.
P.S.: L'ondata sempre più crescente di danni causati da malware come ransomware, cryptowall, cryptolocker, ecc. è figlia, in primis, della indolenza (sicurezza, questa sconosciuta) degli utenti, non della pericolosità dei malware in questione.
Morale:
Detto che quelli di Lenovo e di Avast! (per esempio) probabilmente non sono casi isolati, forse, prima di parlare (e preoccuparsi) di cifratura dei dati ...... in termini di sicurezza sarebbe bene preoccuparsi di altro (o meglio, partire dall'inzio).[Claudio] ha scritto:Questa discussione sta diventando un pò come la storiella biblica della pagliuzza e la trave ...... tutti a improvvisarsi discepoli della sicurezza, ma .....
Re: Backup e crittografia
Inviato: ven feb 20, 2015 12:21 pm
Che poi, volendo, è tutto relativo .... HOW SPIES STOLE THE KEYS TO THE ENCRYPTION CASTLE:[Claudio] ha scritto:Detto che quelli di Lenovo e di Avast! (per esempio) probabilmente non sono casi isolati, forse, prima di parlare (e preoccuparsi) di cifratura dei dati ...... in termini di sicurezza sarebbe bene preoccuparsi di altro (o meglio, partire dall'inzio).
AMERICAN AND BRITISH spies hacked into the internal computer network of the largest manufacturer of SIM cards in the world, stealing encryption keys used to protect the privacy of cellphone communications across the globe,
Re: Backup e crittografia
Inviato: ven feb 20, 2015 1:36 pm
Re: Backup e crittografia
Inviato: sab feb 21, 2015 3:52 pm
Potrebbe essere una soluzione anche tornare al telefono a gettoniAl3x ha scritto:fra SIM card intercettabili, BTS tarocche e hardware spione mi sa che conviene tornare ai pizzini
Comunque, alla "questione Lenovo" si aggiunge un nuovo interessante capitolo:
VEDI QUI e VEDI QUI.It turns out the vulnerability is easier to exploit than previously known.
A security researcher published new findings showing that a malicious hacker doesn't need the easily-extracted Superfish private key to perform a man-in-the-middle attack on PCs that have the Komodia proxy installed.
That's because the proxy will re-sign invalid certs and make them appear valid to the browser.
Ma .... chi la fa .... l'aspetti
oramai da ore
Re: Backup e crittografia
Inviato: sab feb 21, 2015 10:28 pm
Proprio due giorni fa, su Hacker News, avevo letto un interessante commento che segnalava proprio questa problematica (QUI).[Claudio] ha scritto:Comunque, alla "questione Lenovo" si aggiunge un nuovo interessante capitolo:It turns out the vulnerability is easier to exploit than previously known.
A security researcher published new findings showing that a malicious hacker doesn't need the easily-extracted Superfish private key to perform a man-in-the-middle attack on PCs that have the Komodia proxy installed.
That's because the proxy will re-sign invalid certs and make them appear valid to the browser.
Circa una settimana fa su Twitter:[Claudio] ha scritto:Potrebbe essere una soluzione anche tornare al telefono a gettoniAl3x ha scritto:fra SIM card intercettabili, BTS tarocche e hardware spione mi sa che conviene tornare ai pizzini
Mykko Hypponen ha scritto:Say what you want about floppy disks, but at least they did not contain chips that could have had their firmware backdoored.
Re: Backup e crittografia
Inviato: dom feb 22, 2015 11:51 am
Perché lo escludi?gioia271965 ha scritto: Pensate davvero che ci sia gente con la voglia di penetrare nei pc altrui dall'esterno per mettersi a cercare password finalizzare a decriptare cartelle private?
Re: Backup e crittografia
Inviato: dom feb 22, 2015 12:39 pm
Pure io non capisco il perchè di questo sarcasmo.[Claudio] ha scritto:Non capisco: il vostro problema è cifrati i dati personali per evitare (per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso .... oppure si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale Ligure??
Re: Backup e crittografia
Inviato: dom feb 22, 2015 3:12 pm
Ciao Ping, se usi sistemi o software open source, Truecrypt o Keepass, il sarcasmo termina immediatamente... non uso questi software non li ritengo affidabili.Ping ha scritto:Pure io non capisco il perchè di questo sarcasmo.[Claudio] ha scritto:Non capisco: il vostro problema è cifrati i dati personali per evitare (per esempio, in caso di furto del computer, dello smartphone, del tablet) che qualcuno possa ottenerne l'accesso .... oppure si tratta di impedire a governi brutti e cattivi di entrare in possesso delle foto delle vacanze a Finale Ligure??
Re: Backup e crittografia
Inviato: dom feb 22, 2015 5:18 pm
C'è stato un momento in cui questa discussione ha preso una piega informativa importante; sarebbe, ora, interessante sapere perché Truecrypt è inaffidabile.Fener ha scritto:Ciao Ping, se usi sistemi o software open source, Truecrypt o Keepass, il sarcasmo termina immediatamente... non uso questi software non li ritengo affidabili.
P.S.: se si tratta di una idea personale, basata su ragioni prive di fondamento tecnico, lascia pure stare la spiegazione; alla discussione non apporterebbe nulla di costruttivo e sarebbe completamente inutile.
Re: Backup e crittografia
Inviato: lun feb 23, 2015 11:50 am
Keepass non protegge la master key dai keyloggers, non avendo a proprio favore un algoritmo dedicato a tal proposito, i quali rilevano la medesima in fase di digitazione, stranamente o forse no, la master key non è salvabile come file e non importabile in fase di apertura del database, con obbligo di digitazione, se questa è sicurezza...
Re: Backup e crittografia
Inviato: lun feb 23, 2015 1:35 pm
Forse bisognerebbe leggere bene tra le righe; detto che non è ancora stato accertato che il comunicato - e il suo ridicolo suggerimento - sia stato pubblicato dagli sviluppatori di TC (cosi come nessuno può escludere che i suoi sviluppatori siano ancora DIETRO AL PROGETTO).Fener ha scritto: ..... pertanto sei tu che devi darmi una spiegazione tecnica dell’inviolabilità di un programma che dagli stessi sviluppatori è stato definito inaffidabile.
In ogni caso, allo stato attuale delle cose (ovvero a circa 9 mesi dalla pubblicazione di quel comunicato), nessuno (e ribadisco NESSUNO) ha pubblicato alcunché in tema di comprovata insicurezza di TrueCrypt.
Consolati, non lo sono neppure io .....Fener ha scritto:Non sono un crittoanalista .....
ma questo non significa nulla: se puoi pubblicare link a studi provenienti da fonti attendibili che dimostrino la tua tesi (ovvero, dimostri che qualcuno è in grado di rompere, ecc. le chiavi crittografiche di TC), sarò lieto di prenderne buona nota (e smettere di utilizzare TrueCrypt) .... altrimenti, parliamo di aria fritta.Per ora siamo ancora a questo: l'analisi mi sembra chiara, TC non soffre di vulnerabilità.
Re: Backup e crittografia
Inviato: lun feb 23, 2015 4:56 pm
Re: Backup e crittografia
Inviato: lun feb 23, 2015 5:01 pm
a proposito di Superfish ho fatto il test https://filippo.io/Badfish/. Con Opera 12 sto a posto mentre sui browser "minori" che sto provando (Maxthon e Midori) ottengo "Yes".
Entrambi i browser minori sono esposti al pericolo Poodle/SSL3. C'entra qualcosa con la questione Superfish? E' questa vulnerabilità che provoca quel "Yes"?
Re: Backup e crittografia
Inviato: lun feb 23, 2015 5:56 pm
Dai fate i bravi che tra poco torno sull'argomento iniziale.Fener ha scritto: Non sono un crittoanalista e non lo sei nemmeno tu, quindi di che cosa stiamo parlando?
O vi siete dimenticati che devo proteggere le mie foto ricordo del mare?
Re: Backup e crittografia
Inviato: lun feb 23, 2015 6:57 pm
Non mi sono dimenticato, anzi, attendo una tua decisione in merito al password manager che vuoi utilizzare.Ping ha scritto:Dai fate i bravi che tra poco torno sull'argomento iniziale.Fener ha scritto: Non sono un crittoanalista e non lo sei nemmeno tu, quindi di che cosa stiamo parlando?
O vi siete dimenticati che devo proteggere le mie foto ricordo del mare?