CCC di nuovo contro le impronte digitali

Il più noto gruppo di hacker europeo dimostra ancora una volta la insicurezza delle tecnologie di protezione a base di tratti biometrici: basta qualche foto, un software gratuito e il gioco (anzi, il crack) è fatto

Roma – Il CCC ( Chaos Computer Club ) sfrutta l’occasione del CCC (Chaos Communication Congress) per presentare un nuovo metodo di violazione delle tecnologie di autenticazione basate su impronte digitali, un sistema economico e pratico che dimostrerebbe per l’ennesima volta l’insicurezza delle protezioni biometriche.

Il CCC è infatti da tempo impegnato a smitizzare la presunta superiorità della biometrica nel campo della sicurezza informatica, un mito che non invecchia mai nemmeno nell’epoca dei lettori di impronte integrati nei telefonini più trendy disponibili sul mercato.

Il nuovo attacco, come sempre diretto nei confronti di un “potente” della politica tedesca ed europea, si basa sull’utilizzo di una fotografia liberamente disponibile al pubblico: gli hacker del CCC hanno integrato la foto con altri scatti presi da altre angolazioni, e alla fine hanno “estratto” l’impronta del dito del ministro della difesa tedesco Ursula von der Leyen grazie al software VeriFinger.

In tal modo, gli esperti del CCC – da sempre impegnati a lanciare allarmi sui pericoli della insicurezza online – sostengono di poter ricreare la copia di un’impronta in grado di ingannare i sistemi di sicurezza a lettura biometrica.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • IgaRyu scrive:
    TrueCrypt
    E' vero che truuecrypt è morto, ma magari la dicesse completa: TrueCrypt è stato stoppato a forza e prima che riuscissero a bloccare i sorgenti è nato un fork opensource che si chiama VeraCrypt.Peraltro sono state risolteeee anche alcune 'debolezze' intrinseche native di TrueCrypt.


    VeraCrypt adds enhanced security to the algorithms used for system and partitions encryption making it immune to new developments in brute-force attacks.VeraCrypt also solves many vulnerabilities and security issues found in TrueCrypt. The following post describes parts of the major enhancements and corrections done so far: https://veracrypt.codeplex.com/discussions/569777#PostContent_1313325As an example, when the system partition is encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with 1000 iterations whereas in VeraCrypt we use 327661. And for standard containers and other partitions, TrueCrypt uses at most 2000 iterations but VeraCrypt uses 655331 for RIPEMD160 and 500000 iterations for SHA-2 and Whirlpool.


    Ma si sa ch3e qui dentro si danno solo le info che fanno piacere solo ad alcuni.I.R.
    • un po di chiarezza scrive:
      Re: TrueCrypt
      - Scritto da: IgaRyu
      E' vero che truuecrypt è morto, ma magari la
      dicesse completa: TrueCrypt è stato stoppato a
      forza e prima che riuscissero a bloccare i
      sorgenti è nato un fork opensource che si chiama
      VeraCrypt.

      Peraltro sono state risolteeee anche alcune
      'debolezze' intrinseche native di
      TrueCrypt.





      VeraCrypt adds enhanced security to the
      algorithms used for system and partitions
      encryption making it immune to new developments
      in brute-force
      attacks.
      VeraCrypt also solves many vulnerabilities and
      security issues found in TrueCrypt. The following
      post describes parts of the major enhancements
      and corrections done so far:
      https://veracrypt.codeplex.com/discussions/569777#

      As an example, when the system partition is
      encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with
      1000 iterations whereas in VeraCrypt we use
      327661. And for standard containers and other
      partitions, TrueCrypt uses at most 2000
      iterations but VeraCrypt uses 655331 for
      RIPEMD160 and 500000 iterations for SHA-2 and
      Whirlpool.






      Ma si sa ch3e qui dentro si danno solo le info
      che fanno piacere solo ad
      alcuni.

      I.R.Che lo SVILUPPO ed il SUPPORTO di TrueCrypt siano stati stoppati a forza lo si era capito già dopo i primi giorni, dopo aver considerato COME sviluppo e supporto erano stati interrotti.Ci fu chi da subito sottolineò che non potevano essere stati gli sviluppatori a suggerire, SPONTANEAMENTE e senza pressioni, di sostituire TC con un prodotto MS proprietario e closed source, nè a proporre un'assolutamene inutile, e per questo più che sospetta, versione 7.2.E' pur vero che questa cosa più viene ripetuta ed evidenziata, meglio è.Ma c'è un'altra cosa da dire: TRUECRIPT VER. 7.1a NON E' AFFATTO MORTO!E non lo sarà fino a quando:1) non si dimostrerà che ha bugs gravi o backdoor (che nella prima metà dell'audit NON sono stati trovati).2) non si dimostrerà che la NSA od altri sanno craccarlo (e invece abbiamo sempre più conferme che NON sono in grado di farlo).3) non si vedrà che non funziona bene sulle nuove versioni dei sistemi operativi (invece funziona benissimo su Windows 8/8.1 e pare anche su Windows 10).Fino ad allora, non ha molto senso cercare un "sucXXXXXre" alla 7.1a.E quando tale sucXXXXXre vorrà proporsi come degno erede, dovrà essere AUDITATO almeno quanto lo è stato TrueCrypt v.7.1a.Questo è il motivo per cui secondo me NON HA SENSO AFFIDARSI OGGI A VERACRYPT:- non è (ancora?) stato minimamente auditato.- ingloba variazioni rispetto alla 7.1a non trascurabili, tanto che il formato dei suoi archivi è incompatibile con quello di TC. Variazioni che nessun auditor ha ancora esaminato.- è nuovissimo ed ancora pochissimo usato e quindi pochissimo collaudato. Potrebbero esserci dei bugs, nella perfetta buona fede dei suoi sviluppatori.- i presunti (e si spera reali!) miglioramenti rispetto a TC non devono far dimenticare che pure senza quelle nuove feature neppure la NSA riesce a craccare TC. Quindi sono miglioramenti che al momento non sono indispensabili.- VeraCrypt è sviluppato da una società privata francese e, per quanto sia open source, io credo che una società privata sia parecchio esposta a pressioni governative (e gli spioni di Stato ci sono in tutti i paesi, non solo negli USA). Senza contare l'ipotesi che quella società un domani non voglia cercare di cominciare a lucrarci in qualche modo (lo si può fare anche con open source, vedi Red Hat), magari abbandonando il supporto alla versione free.Piuttosto di VeraCrypt, se proprio dovessi affidarmi a qualcos'altro oggi guarderei a Ciphershed, che pare fatto su base volontaria e senza agganci commerciali e che parte dichiaratamente come puro clone della 7.1a.Un domani, magari, queste due fork si ricongiungeranno.Ma per ora per quel che mi riguarda anche Ciphershed resta dov'è.Fin che la 7.1a non mostra la corda (e per ora non da segni di cedimento) non ha senso usare altro che TrueCrypt 7.1a.
  • ... scrive:
    Serafino Massoni CADUTA DELL'OCCIDENTE
    Serafino Massoni: la CADUTA DELL'OCCIDENTE[yt]q5ERxT5dMdk[/yt]
  • Gianluca B scrive:
    depistaggio
    criptare tutti e tutto, ma proprio tutto, e magari ogni tanto anche un po' di spazzatura... Un bel passatempo per gli spioni!
  • Oramai scrive:
    Paranoia
    Un signore che forse qualcuno di voi conosce di nome, tal Marco Calamari, anni fa ha esposto in un suo talk alcuni concetti interessanti sull'infosmog, da una breve ricerca ho trovato questo link:http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_corso_pratico_di_paranoia_-_come_cancellare_i_propri_dati_gif/in particolare io ho trovato illuminante la slide sui modelli di minaccia: http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_corso_pratico_di_paranoia_-_come_cancellare_i_propri_dati_gif/sld010.htmIo personalmente mi proteggo solo per i primi due modelli, non ho la forza né il tempo né dati abbastanza sensibili per difendermi dal terzo livello. Credo sia una guerra persa in partenza, piuttosto non salvo in digitale delle cose che ritengo personali.
    • un po di chiarezza scrive:
      Re: Paranoia
      - Scritto da: Oramai
      Un signore che forse qualcuno di voi conosce di
      nome, tal Marco Calamari, anni fa ha esposto in
      un suo talk alcuni concetti interessanti
      sull'infosmog, da una breve ricerca ho trovato
      questo
      link:

      http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_coPeccato che sia un pò vecchiotta e quindi tecnicamente datata, per esempio sulla cancellazione sicura dei dati non fa cenno ai problemi creati dai dispositivi a stato solido (SSD, drive USB, schede SD ...) nè mi pare parli di macchine virtuali che, se criptate con plausible deniability, sono uno dei modi più sicuri, immediati ed alla portata praticamente di tutti per difendere la privacy delle propria attività sul PC.Ce ne vorrebbe una versione aggiornata! ;)

      in particolare io ho trovato illuminante la slide
      sui modelli di minaccia:
      http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_co

      Io personalmente mi proteggo solo per i primi due
      modelli, non ho la forza né il tempo né dati
      abbastanza sensibili per difendermi dal terzo
      livello. Credo sia una guerra persa in partenza,
      piuttosto non salvo in digitale delle cose che
      ritengo
      personali.Per quanto riguarda le minacce di terzo livello (alto), se la ricetta è quella, come leggo, di usare solo software open source auto-ricompilato sarebbe praticamente inattuabile dal 99.999% degli utenti.Non è indispensabile arrivare a tanto, perchè usando:- macchine virtuali criptate (con TrueCrypt 7.1a)- messe in sistemi "live" (anche Live USB)- con i sistemi Live messi in supporti rimovibili di piccola dimensione (chiavette USB) e nascosti dopo l'uso- ed usando ovviamente Tor in navigazionead oggi si può riuscire a sfuggire anche alla sorveglianza stile-NSA, tranne forse in quei pochi casi (terroristi ecc.) che sono sottoposti ad attacchi mirati e particolarmente duri (tipo Tempest o rootkit installati da organizzazioni governative, oltre ovviamente alla tortura).Ovviamente, se la paranoia è tale che si pensa, per esempio, che VMware o VirtualBox abbiano delle backdoor, tanto vale rinunciare in partenza.E dato che in teoria ci possono essere backdoor anche nei BIOS, tanto vale rinunciare al computer!Il non tenere in digitale cose personali secondo me è un rischio: il digitale consente di CRITTOGRAFARE, cosa che il cartaceo o altri supporti non consentono.Personalmente, se avessi un documento davvero riservato non mi fiderei a tenerlo in cartaceo: lo crittograferei con plausible deniability, con algoritmi allo stato dell'arte e una passphrase complessa ed imparata rigorosamente a memoria. E qui, normalmente, non c'è NSA che tenga: possono piangere in turco, ma quell'archivio non lo aprono. Magari fra dieci o vent'anni anni, ma oggi no.Figuriamoci attaccanti che non hanno nè le risorse nè lo skill della NSA ...
      • Oramai scrive:
        Re: Paranoia
        Quoto su tutto. Come dicevo infatti, se ho paura del terzo livello so già di perdere in partenza.

        Il non tenere in digitale cose personali secondo
        me è un rischio: il digitale consente di
        CRITTOGRAFARE, cosa che il cartaceo o altri
        supporti non
        consentono.
        Personalmente, se avessi un documento davvero
        riservato non mi fiderei a tenerlo in cartaceo:
        lo crittograferei con plausible deniability, con
        algoritmi allo stato dell'arte e una passphrase
        complessa ed imparata rigorosamente a memoria. E
        qui, normalmente, non c'è NSA che tenga: possono
        piangere in turco, ma quell'archivio non lo
        aprono. Magari fra dieci o vent'anni anni, ma
        oggi
        no.
        Figuriamoci attaccanti che non hanno nè le
        risorse nè lo skill della NSA
        ...Si, hai ragione, forse non riesco neppure ad immaginare qualcosa di così segreto da voler scampare alla NSA. In ogni caso, se avessi di queste esigenze, io punterei molto sull'autodistruzione del documento in caso di bisogno, perché se il problema per per l'NSA o chi per lei è farsi dare una password come unica soluzione, allora forse avrei più paura. meglio distruggere tutto ed al massimo si vendicano, ma ho una canche in più che se la mettano via.
  • nessuno scrive:
    qualcosa non è chiaro...
    truecrypt era un problema solo che il progetto è stato chiuso e non ho mai capito se una delle versioni è ancora buona.Anche openvpn non è un problema per NSA?
    • un po di chiarezza scrive:
      Re: qualcosa non è chiaro...
      Hai ragione ad avere dei dubbi, quando si leggono cose come "l'oramai defunto software di cifratura di file e dischi TrueCrypt" .... :(TrueCrypt non è "defunto".Lo sviluppo ed il supporto è stato stoppato e ci sono voci sempre più forti che confermano quanto chi sa capire aveva capito da subito: i suoi sviluppatori sono stati pesantemente minacciati (c'è chi dice dalla CIA, che in effetti sarebbe l'agenzia adatta a fare queste cose fuori dagli USA).Ma la collaudata versione 7.1a è ancora disponibile in rete (esempio: https://www.grc.com/misc/truecrypt/truecrypt.htm ) e può (direi: deve!) essere usata come prima.Altro sito con la 7.1a: https://truecrypt.ch/Il vecchio ed ormai cancellato sito di TC, con le sue FAQ e tutorials, è stato fortunatamente salvato in modo quasi integrale ed è disponibile qui:http://andryou.com/truecrypt/La 7.1a ha già passato nel 2014 un parziale audit, resta da vedere se l'audit verrà completato o se la CIA minaccerà anche gli auditor!Ovviamente NON va assolutamente installata la versione tarpata, buggata e spionistica 7.2 che gli sviluppatori sono stati costretti a mettere sul loro vecchio sito (che è, questo si, da considerare "defunto" a tutti gli effetti).Poi ci sono i sucXXXXXri/eredi/fork/cloni di TrueCrypt, dei quali il più promettente, aderente al quasi-auditato 7.1a e presumibilmente più affidabile mi sembra Cyphershed (https://ciphershed.org/ ), mentre di VeraCrypt, nonostante promettano di aver fatto un TC "migliorato", mi fido meno.Ma per il momento la 7.1a, scaricata da uno dei due siti sopra citati, va benissimo, nessun bisogno neppure di cercare frettolosamente dei sucXXXXXri (a quanto pare, la 7.1a funziona senza problemi anche su Windows 10).
      • prova123 scrive:
        Re: qualcosa non è chiaro...
        Premesso che l'ultima versione pulita è la 7.1a (e si puà sempre verificare ...) a livello didattico per migliorare la propria preparazione informatica si può fare una semplicissima prova con la versione 7.2 presente sul sito ufficiale (possibilmente su un obsoleto winxp):1. Scaricare dal sito Microsoft il sw gratuito Process Monitor (ha una buona gestione delle condizioni di filtro degli eventi) http://technet.microsoft.com/it-it/sysinternals/bb896645.aspx2. eseguire i log delle azioni di Truecrypt quando non il PC non è in rete e poi quando è in rete. Dai log si capisce chiaramente cosa fa e cosa non dovrebbe fare se fosse pulito.
        • prova123 scrive:
          Re: qualcosa non è chiaro...
          ... questo è solo un buon inizio per non aspettare il responso di auditori a questo punto più o meno influenzato da NSA, presunti sucXXXXXri di Truecrypt di cui nessuno conosce i programmatori.
          • un po di chiarezza scrive:
            Re: qualcosa non è chiaro...
            - Scritto da: prova123
            ... questo è solo un buon inizio per non
            aspettare il responso di auditori a questo punto
            più o meno influenzato da NSA, presunti
            sucXXXXXri di Truecrypt di cui nessuno conosce i
            programmatori.L'audit di un software open source di sicurezza è importante ed essendo gli auditor gente conosciuta e le loro risultanze pubbliche non vedo tutto questo pericolo di essere "influenzati dalla NSA". Piuttosto, sono convinto che NSA e soci cercheranno di stoppare la seconda ed ultima parte dell'audit, che potrebbe definitivamente accertare che la 7.1a è sostanzialmente sicura. Per cui, piuttosto di un audit "taroccato" dalla NSA mi piuttosto aspetto "nessun audit ulteriore" per una NSA, CIA ecc. che mettono il bastone tra le ruote.E, in effetti, si aspettava la seconda parte dell'audit per l'autunno, ma l'autunno è passato e ancora non si sa nulla.Se il progetto salta, sarò certo che forti "pressioni" saranno state fatte anche sugli auditor.In quanto agli sviluppatori sconosciuti dei presunti sucXXXXXri di TC, questo non è un grosso problema se il software è open source e viene auditato. Questo è il motivo per cui mi fido di più di Ciphershed, che parte come vero clone integrale di TC basato sulla quasi-auditata 7.1a, piuttosto che il molto più rimaneggiato (tanto da avere archivi incompatibili con TC) VeraCrypt.
    • ... scrive:
      Re: qualcosa non è chiaro...
      - Scritto da: nessuno
      truecrypt era un problema solo che il progetto è
      stato chiuso Le due cose sono ovviamente correlate è stato chiuso perchè costa meno cercare di corrompere o minacciare tre persone piuttosto che provare a rompere la crittografia forte.
    • terol scrive:
      Re: qualcosa non è chiaro...
      Ci sono due-tre progetti "fork" di TrueCrypt in via di sviluppo, io ti consiglio Veracrypt, già disponibile. Degli altri non ricordo il nome...OpenVpn da quanto leggo non è stato violato, solo PPTP e L2TP lo sono.
    • IgaRyu scrive:
      Re: qualcosa non è chiaro...
      - Scritto da: nessuno
      truecrypt era un problema solo che il progetto è
      stato chiuso e non ho mai capito se una delle
      versioni è ancora
      buona.Ufficialmente la 7.1 sarebbe l'ultima 'sicura': la 7.1a è sconsigliata perché comparsa lo stesso giorno della chiusura del sito.Personalmente ti consiglio di passare alla fork open source VeraCrypt che trovi qui: https://veracrypt.codeplex.com/Unico problema è che non so se hanno già fatto il convertitore da file crittati TC a quelli di VC, in quanto non sono compatibili per via degli innalzamenti di livelli di sicurezza rispetto a TrueCrypt.Al limite fai come ho fatto io: visto che TrueCrypt e VeraCrypt possono "convivere" sulla stessa macchina, monti il vecchio volume con TC, crei e monti il nuovo volume con VC e poi sposta tutto nel nuovo disco crittato con VeraCrypt.I.R.
      • PinguinoCattivo scrive:
        Re: qualcosa non è chiaro...
        - Scritto da: IgaRyu
        Ufficialmente la 7.1 sarebbe l'ultima 'sicura':
        la 7.1a è sconsigliata perché comparsa lo stesso
        giorno della chiusura del
        sito.No, è la 7.2 quella "sospetta" apparsa come ultima release.La 7.1a è forse quella più affidabile.
        • un po di chiarezza scrive:
          Re: qualcosa non è chiaro...
          - Scritto da: PinguinoCattivo
          - Scritto da: IgaRyu


          Ufficialmente la 7.1 sarebbe l'ultima
          'sicura':

          la 7.1a è sconsigliata perché comparsa lo
          stesso

          giorno della chiusura del

          sito.

          No, è la 7.2 quella "sospetta" apparsa come
          ultima
          release.
          La 7.1a è forse quella più affidabile.Togli pure il "forse" ...La 7.1a è la versione (l'ultima prima della chiusura dello sviluppo e del supporto) che:- la NSA non riesce a craccare (stando ai documenti della stessa NSA rivelati da Snowden)- è stata auditata in una prima fase (e si spera che arrivi anche la seconda fase) senza che bugs gravi siano stati trovati nè ovviamente backdoors.Di VeraCrypt PER ORA mi fido abbastanza poco, il perchè l'ho scritto in altro messaggio.Ma soprattutto va capito che PER ORA non c'è necessità di un sucXXXXXre alla 7.1a, nè VeraCrypt, nè Ciphershed nè altri: la 7.1a probabilmente ci accompagnerà per diversi anni ancora. Poi, fra quattro o cinque anni ci sarà forse (si spera ...) un sucXXXXXre collaudato e soprattutto AUDITATO.
Chiudi i commenti