Il CCC ( Chaos Computer Club ) sfrutta l’occasione del CCC (Chaos Communication Congress) per presentare un nuovo metodo di violazione delle tecnologie di autenticazione basate su impronte digitali, un sistema economico e pratico che dimostrerebbe per l’ennesima volta l’insicurezza delle protezioni biometriche.
Il CCC è infatti da tempo impegnato a smitizzare la presunta superiorità della biometrica nel campo della sicurezza informatica, un mito che non invecchia mai nemmeno nell’epoca dei lettori di impronte integrati nei telefonini più trendy disponibili sul mercato.
This image is enough to fake Ursula von der Leyens (secretary of defense) fingerprint. #31c3 pic.twitter.com/OABaTssCxZ
— Johannes Boie (@johannesboie) 27 Dicembre 2014
Il nuovo attacco, come sempre diretto nei confronti di un “potente” della politica tedesca ed europea, si basa sull’utilizzo di una fotografia liberamente disponibile al pubblico: gli hacker del CCC hanno integrato la foto con altri scatti presi da altre angolazioni, e alla fine hanno “estratto” l’impronta del dito del ministro della difesa tedesco Ursula von der Leyen grazie al software VeriFinger.
In tal modo, gli esperti del CCC – da sempre impegnati a lanciare allarmi sui pericoli della insicurezza online – sostengono di poter ricreare la copia di un’impronta in grado di ingannare i sistemi di sicurezza a lettura biometrica.
Alfonso Maruccia
-
qualcosa non è chiaro...
truecrypt era un problema solo che il progetto è stato chiuso e non ho mai capito se una delle versioni è ancora buona.Anche openvpn non è un problema per NSA?nessunoRe: qualcosa non è chiaro...
Hai ragione ad avere dei dubbi, quando si leggono cose come "l'oramai defunto software di cifratura di file e dischi TrueCrypt" .... :(TrueCrypt non è "defunto".Lo sviluppo ed il supporto è stato stoppato e ci sono voci sempre più forti che confermano quanto chi sa capire aveva capito da subito: i suoi sviluppatori sono stati pesantemente minacciati (c'è chi dice dalla CIA, che in effetti sarebbe l'agenzia adatta a fare queste cose fuori dagli USA).Ma la collaudata versione 7.1a è ancora disponibile in rete (esempio: https://www.grc.com/misc/truecrypt/truecrypt.htm ) e può (direi: deve!) essere usata come prima.Altro sito con la 7.1a: https://truecrypt.ch/Il vecchio ed ormai cancellato sito di TC, con le sue FAQ e tutorials, è stato fortunatamente salvato in modo quasi integrale ed è disponibile qui:http://andryou.com/truecrypt/La 7.1a ha già passato nel 2014 un parziale audit, resta da vedere se l'audit verrà completato o se la CIA minaccerà anche gli auditor!Ovviamente NON va assolutamente installata la versione tarpata, buggata e spionistica 7.2 che gli sviluppatori sono stati costretti a mettere sul loro vecchio sito (che è, questo si, da considerare "defunto" a tutti gli effetti).Poi ci sono i sucXXXXXri/eredi/fork/cloni di TrueCrypt, dei quali il più promettente, aderente al quasi-auditato 7.1a e presumibilmente più affidabile mi sembra Cyphershed (https://ciphershed.org/ ), mentre di VeraCrypt, nonostante promettano di aver fatto un TC "migliorato", mi fido meno.Ma per il momento la 7.1a, scaricata da uno dei due siti sopra citati, va benissimo, nessun bisogno neppure di cercare frettolosamente dei sucXXXXXri (a quanto pare, la 7.1a funziona senza problemi anche su Windows 10).un po di chiarezzaRe: qualcosa non è chiaro...
Premesso che l'ultima versione pulita è la 7.1a (e si puà sempre verificare ...) a livello didattico per migliorare la propria preparazione informatica si può fare una semplicissima prova con la versione 7.2 presente sul sito ufficiale (possibilmente su un obsoleto winxp):1. Scaricare dal sito Microsoft il sw gratuito Process Monitor (ha una buona gestione delle condizioni di filtro degli eventi) http://technet.microsoft.com/it-it/sysinternals/bb896645.aspx2. eseguire i log delle azioni di Truecrypt quando non il PC non è in rete e poi quando è in rete. Dai log si capisce chiaramente cosa fa e cosa non dovrebbe fare se fosse pulito.prova123Re: qualcosa non è chiaro...
... questo è solo un buon inizio per non aspettare il responso di auditori a questo punto più o meno influenzato da NSA, presunti sucXXXXXri di Truecrypt di cui nessuno conosce i programmatori.prova123Re: qualcosa non è chiaro...
- Scritto da: nessuno> truecrypt era un problema solo che il progetto è> stato chiuso Le due cose sono ovviamente correlate è stato chiuso perchè costa meno cercare di corrompere o minacciare tre persone piuttosto che provare a rompere la crittografia forte....Re: qualcosa non è chiaro...
Ci sono due-tre progetti "fork" di TrueCrypt in via di sviluppo, io ti consiglio Veracrypt, già disponibile. Degli altri non ricordo il nome...OpenVpn da quanto leggo non è stato violato, solo PPTP e L2TP lo sono.terolRe: qualcosa non è chiaro...
- Scritto da: nessuno> truecrypt era un problema solo che il progetto è> stato chiuso e non ho mai capito se una delle> versioni è ancora> buona.Ufficialmente la 7.1 sarebbe l'ultima 'sicura': la 7.1a è sconsigliata perché comparsa lo stesso giorno della chiusura del sito.Personalmente ti consiglio di passare alla fork open source VeraCrypt che trovi qui: https://veracrypt.codeplex.com/Unico problema è che non so se hanno già fatto il convertitore da file crittati TC a quelli di VC, in quanto non sono compatibili per via degli innalzamenti di livelli di sicurezza rispetto a TrueCrypt.Al limite fai come ho fatto io: visto che TrueCrypt e VeraCrypt possono "convivere" sulla stessa macchina, monti il vecchio volume con TC, crei e monti il nuovo volume con VC e poi sposta tutto nel nuovo disco crittato con VeraCrypt.I.R.IgaRyuRe: qualcosa non è chiaro...
- Scritto da: IgaRyu> Ufficialmente la 7.1 sarebbe l'ultima 'sicura':> la 7.1a è sconsigliata perché comparsa lo stesso> giorno della chiusura del> sito.No, è la 7.2 quella "sospetta" apparsa come ultima release.La 7.1a è forse quella più affidabile.PinguinoCattivoRe: qualcosa non è chiaro...
- Scritto da: PinguinoCattivo> - Scritto da: IgaRyu> > > Ufficialmente la 7.1 sarebbe l'ultima> 'sicura':> > la 7.1a è sconsigliata perché comparsa lo> stesso> > giorno della chiusura del> > sito.> > No, è la 7.2 quella "sospetta" apparsa come> ultima> release.> La 7.1a è forse quella più affidabile.Togli pure il "forse" ...La 7.1a è la versione (l'ultima prima della chiusura dello sviluppo e del supporto) che:- la NSA non riesce a craccare (stando ai documenti della stessa NSA rivelati da Snowden)- è stata auditata in una prima fase (e si spera che arrivi anche la seconda fase) senza che bugs gravi siano stati trovati nè ovviamente backdoors.Di VeraCrypt PER ORA mi fido abbastanza poco, il perchè l'ho scritto in altro messaggio.Ma soprattutto va capito che PER ORA non c'è necessità di un sucXXXXXre alla 7.1a, nè VeraCrypt, nè Ciphershed nè altri: la 7.1a probabilmente ci accompagnerà per diversi anni ancora. Poi, fra quattro o cinque anni ci sarà forse (si spera ...) un sucXXXXXre collaudato e soprattutto AUDITATO.un po di chiarezzaParanoia
Un signore che forse qualcuno di voi conosce di nome, tal Marco Calamari, anni fa ha esposto in un suo talk alcuni concetti interessanti sull'infosmog, da una breve ricerca ho trovato questo link:http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_corso_pratico_di_paranoia_-_come_cancellare_i_propri_dati_gif/in particolare io ho trovato illuminante la slide sui modelli di minaccia: http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_corso_pratico_di_paranoia_-_come_cancellare_i_propri_dati_gif/sld010.htmIo personalmente mi proteggo solo per i primi due modelli, non ho la forza né il tempo né dati abbastanza sensibili per difendermi dal terzo livello. Credo sia una guerra persa in partenza, piuttosto non salvo in digitale delle cose che ritengo personali.OramaiRe: Paranoia
- Scritto da: Oramai> Un signore che forse qualcuno di voi conosce di> nome, tal Marco Calamari, anni fa ha esposto in> un suo talk alcuni concetti interessanti> sull'infosmog, da una breve ricerca ho trovato> questo> link:> > http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_coPeccato che sia un pò vecchiotta e quindi tecnicamente datata, per esempio sulla cancellazione sicura dei dati non fa cenno ai problemi creati dai dispositivi a stato solido (SSD, drive USB, schede SD ...) nè mi pare parli di macchine virtuali che, se criptate con plausible deniability, sono uno dei modi più sicuri, immediati ed alla portata praticamente di tutti per difendere la privacy delle propria attività sul PC.Ce ne vorrebbe una versione aggiornata! ;)> > in particolare io ho trovato illuminante la slide> sui modelli di minaccia:> http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_co> > Io personalmente mi proteggo solo per i primi due> modelli, non ho la forza né il tempo né dati> abbastanza sensibili per difendermi dal terzo> livello. Credo sia una guerra persa in partenza,> piuttosto non salvo in digitale delle cose che> ritengo> personali.Per quanto riguarda le minacce di terzo livello (alto), se la ricetta è quella, come leggo, di usare solo software open source auto-ricompilato sarebbe praticamente inattuabile dal 99.999% degli utenti.Non è indispensabile arrivare a tanto, perchè usando:- macchine virtuali criptate (con TrueCrypt 7.1a)- messe in sistemi "live" (anche Live USB)- con i sistemi Live messi in supporti rimovibili di piccola dimensione (chiavette USB) e nascosti dopo l'uso- ed usando ovviamente Tor in navigazionead oggi si può riuscire a sfuggire anche alla sorveglianza stile-NSA, tranne forse in quei pochi casi (terroristi ecc.) che sono sottoposti ad attacchi mirati e particolarmente duri (tipo Tempest o rootkit installati da organizzazioni governative, oltre ovviamente alla tortura).Ovviamente, se la paranoia è tale che si pensa, per esempio, che VMware o VirtualBox abbiano delle backdoor, tanto vale rinunciare in partenza.E dato che in teoria ci possono essere backdoor anche nei BIOS, tanto vale rinunciare al computer!Il non tenere in digitale cose personali secondo me è un rischio: il digitale consente di CRITTOGRAFARE, cosa che il cartaceo o altri supporti non consentono.Personalmente, se avessi un documento davvero riservato non mi fiderei a tenerlo in cartaceo: lo crittograferei con plausible deniability, con algoritmi allo stato dell'arte e una passphrase complessa ed imparata rigorosamente a memoria. E qui, normalmente, non c'è NSA che tenga: possono piangere in turco, ma quell'archivio non lo aprono. Magari fra dieci o vent'anni anni, ma oggi no.Figuriamoci attaccanti che non hanno nè le risorse nè lo skill della NSA ...un po di chiarezzaRe: Paranoia
Quoto su tutto. Come dicevo infatti, se ho paura del terzo livello so già di perdere in partenza.> > Il non tenere in digitale cose personali secondo> me è un rischio: il digitale consente di> CRITTOGRAFARE, cosa che il cartaceo o altri> supporti non> consentono.> Personalmente, se avessi un documento davvero> riservato non mi fiderei a tenerlo in cartaceo:> lo crittograferei con plausible deniability, con> algoritmi allo stato dell'arte e una passphrase> complessa ed imparata rigorosamente a memoria. E> qui, normalmente, non c'è NSA che tenga: possono> piangere in turco, ma quell'archivio non lo> aprono. Magari fra dieci o vent'anni anni, ma> oggi> no.> Figuriamoci attaccanti che non hanno nè le> risorse nè lo skill della NSA> ...Si, hai ragione, forse non riesco neppure ad immaginare qualcosa di così segreto da voler scampare alla NSA. In ogni caso, se avessi di queste esigenze, io punterei molto sull'autodistruzione del documento in caso di bisogno, perché se il problema per per l'NSA o chi per lei è farsi dare una password come unica soluzione, allora forse avrei più paura. meglio distruggere tutto ed al massimo si vendicano, ma ho una canche in più che se la mettano via.Oramaidepistaggio
criptare tutti e tutto, ma proprio tutto, e magari ogni tanto anche un po' di spazzatura... Un bel passatempo per gli spioni!Gianluca BRe: depistaggio
oltre la password anche il keyfile ... forse si ... ma nache no ... :Dprova123Re: depistaggio
Nessuno Sarà Anonimo, questo è quanto la GamesForce ha deciso.xcasoSerafino Massoni CADUTA DELL'OCCIDENTE
Serafino Massoni: la CADUTA DELL'OCCIDENTE[yt]q5ERxT5dMdk[/yt]...Re: Serafino Massoni CADUTA DELL'OCCIDENTE
La caduta l'hai fatta tu di testa dal seggiolone da bambino, per questo sei rimasto così, XXXXX!...Re: Serafino Massoni CADUTA DELL'OCCIDENTE
[yt]Ks4bD2RL3dM[/yt]...TrueCrypt
E' vero che truuecrypt è morto, ma magari la dicesse completa: TrueCrypt è stato stoppato a forza e prima che riuscissero a bloccare i sorgenti è nato un fork opensource che si chiama VeraCrypt.Peraltro sono state risolteeee anche alcune 'debolezze' intrinseche native di TrueCrypt.>>>VeraCrypt adds enhanced security to the algorithms used for system and partitions encryption making it immune to new developments in brute-force attacks.VeraCrypt also solves many vulnerabilities and security issues found in TrueCrypt. The following post describes parts of the major enhancements and corrections done so far: https://veracrypt.codeplex.com/discussions/569777#PostContent_1313325As an example, when the system partition is encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with 1000 iterations whereas in VeraCrypt we use 327661. And for standard containers and other partitions, TrueCrypt uses at most 2000 iterations but VeraCrypt uses 655331 for RIPEMD160 and 500000 iterations for SHA-2 and Whirlpool.>>>Ma si sa ch3e qui dentro si danno solo le info che fanno piacere solo ad alcuni.I.R.IgaRyuRe: TrueCrypt
- Scritto da: IgaRyu> E' vero che truuecrypt è morto, ma magari la> dicesse completa: TrueCrypt è stato stoppato a> forza e prima che riuscissero a bloccare i> sorgenti è nato un fork opensource che si chiama> VeraCrypt.> > Peraltro sono state risolteeee anche alcune> 'debolezze' intrinseche native di> TrueCrypt.> > >>>> VeraCrypt adds enhanced security to the> algorithms used for system and partitions> encryption making it immune to new developments> in brute-force> attacks.> VeraCrypt also solves many vulnerabilities and> security issues found in TrueCrypt. The following> post describes parts of the major enhancements> and corrections done so far:> https://veracrypt.codeplex.com/discussions/569777#> > As an example, when the system partition is> encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with> 1000 iterations whereas in VeraCrypt we use> 327661. And for standard containers and other> partitions, TrueCrypt uses at most 2000> iterations but VeraCrypt uses 655331 for> RIPEMD160 and 500000 iterations for SHA-2 and> Whirlpool.> > >>>> > Ma si sa ch3e qui dentro si danno solo le info> che fanno piacere solo ad> alcuni.> > I.R.Che lo SVILUPPO ed il SUPPORTO di TrueCrypt siano stati stoppati a forza lo si era capito già dopo i primi giorni, dopo aver considerato COME sviluppo e supporto erano stati interrotti.Ci fu chi da subito sottolineò che non potevano essere stati gli sviluppatori a suggerire, SPONTANEAMENTE e senza pressioni, di sostituire TC con un prodotto MS proprietario e closed source, nè a proporre un'assolutamene inutile, e per questo più che sospetta, versione 7.2.E' pur vero che questa cosa più viene ripetuta ed evidenziata, meglio è.Ma c'è un'altra cosa da dire: TRUECRIPT VER. 7.1a NON E' AFFATTO MORTO!E non lo sarà fino a quando:1) non si dimostrerà che ha bugs gravi o backdoor (che nella prima metà dell'audit NON sono stati trovati).2) non si dimostrerà che la NSA od altri sanno craccarlo (e invece abbiamo sempre più conferme che NON sono in grado di farlo).3) non si vedrà che non funziona bene sulle nuove versioni dei sistemi operativi (invece funziona benissimo su Windows 8/8.1 e pare anche su Windows 10).Fino ad allora, non ha molto senso cercare un "sucXXXXXre" alla 7.1a.E quando tale sucXXXXXre vorrà proporsi come degno erede, dovrà essere AUDITATO almeno quanto lo è stato TrueCrypt v.7.1a.Questo è il motivo per cui secondo me NON HA SENSO AFFIDARSI OGGI A VERACRYPT:- non è (ancora?) stato minimamente auditato.- ingloba variazioni rispetto alla 7.1a non trascurabili, tanto che il formato dei suoi archivi è incompatibile con quello di TC. Variazioni che nessun auditor ha ancora esaminato.- è nuovissimo ed ancora pochissimo usato e quindi pochissimo collaudato. Potrebbero esserci dei bugs, nella perfetta buona fede dei suoi sviluppatori.- i presunti (e si spera reali!) miglioramenti rispetto a TC non devono far dimenticare che pure senza quelle nuove feature neppure la NSA riesce a craccare TC. Quindi sono miglioramenti che al momento non sono indispensabili.- VeraCrypt è sviluppato da una società privata francese e, per quanto sia open source, io credo che una società privata sia parecchio esposta a pressioni governative (e gli spioni di Stato ci sono in tutti i paesi, non solo negli USA). Senza contare l'ipotesi che quella società un domani non voglia cercare di cominciare a lucrarci in qualche modo (lo si può fare anche con open source, vedi Red Hat), magari abbandonando il supporto alla versione free.Piuttosto di VeraCrypt, se proprio dovessi affidarmi a qualcos'altro oggi guarderei a Ciphershed, che pare fatto su base volontaria e senza agganci commerciali e che parte dichiaratamente come puro clone della 7.1a.Un domani, magari, queste due fork si ricongiungeranno.Ma per ora per quel che mi riguarda anche Ciphershed resta dov'è.Fin che la 7.1a non mostra la corda (e per ora non da segni di cedimento) non ha senso usare altro che TrueCrypt 7.1a.un po di chiarezzaGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 30 dic 2014Ti potrebbe interessare