Dubbi di backdoor NSA su Vista SP1

Un esperto di sicurezza fa notare che il Service Pack implementa lo stesso motore per la generazione di numeri casuali recentemente sospettato di contenere una backdoor di NSA. Di default, tuttavia, non è attivato

Roma – Il celebre guru della sicurezza Bruce Schneier segnala sul proprio blog che il Service Pack 1 per Windows Vista, di cui Microsoft ha recentemente rilasciato una release candidate, contiene un secondo motore per la generazione dei numeri pseudocasuali che a suo dire potrebbe mettere a rischio la privacy degli utenti.

Il nuovo random number generator di Vista è denominato Dual_EC-DRBG , ed è lo stesso in cui lo scorso mese alcuni esperti di sicurezza, tra cui lo stesso Schneier, hanno identificato quella che molti sospettano si tratti di una chiave d’accesso segreta : in altre parole, una backdoor che permetterebbe all’intelligence americana, NSA in particolare, di decodificare qualsiasi contenuto cifrato.

Schneier ha però specificato che, di default, Dual_EC-DRBG è disattivato : il motore dei numeri casuali predefinito, anche in Windows Vista SP1, resta il CTR_DRBG , che a parere degli esperti non contiene potenziali backdoor.

“Dual_EC_DRBG viene utilizzato solo se il programmatore lo richiama espressamente”, ha spiegato in questo commento Jesse Viviano, un lettore del blog di Schneier. “L’unico modo per essere sicuri che Dual_EC_DRBG non venga usato (da un’applicazione, NdR) è effettuare un’analisi del codice”.

Dual_EC_DRBG fa parte di uno standard recentemente pubblicato da NIST (National Institute of Standards and Technology). Ad oggi, il famoso ente americano deve ancora fornire un chiarimento sulle inquietanti scoperte fatte dalla comunità di esperti di sicurezza.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • CCC scrive:
    Privatizzazione & Globalizzazione...
    Di che ci si stupisce???Non si sente altro che dire "privatizziamo la PA" (da cui l'outsourcing anche dell'IT)...Non si sente altro che "oh che bella la globalizzazione, più sviluppo per tutti" (da cui ecco i dati che finiscono all'estero)...Non si sente altro che "bisogna accettare di perdere un pò di privacy e di diritti per poter lottare efficacemente contro il terrorismo, i pedofili, i pirati informatici e multimediali" (da cui tutta la restante mer.a repressiva/coercitiva che ci sta sommergendo)...
  • Lillo scrive:
    Non ci credo
    Non credo queste sparizioni siano casuali...Ormai Stato ed economia vanno a braccetto contro i diritti della gente.Ho un amico che si è ammalato ed ha fatto domanda di invalidità, non ha mai messo firme su autorizzazioni a ricevere riviste, pubblicità strane né tanto meno inerenti la sua patologia...Prima ancora di avere il responso dalla ASL con la percentuale di invalidità si è visto recapitare a casa una rivista periodica informativa su protesi, sedie a rotelle, stampelle e pappagalli, con marchi, pubblicità varie, ecc.Da dove avranno preso i suoi dati? Come avranno saputo che ha un grave problema di salute, se non lo ha confidato manco a sua madre (che abita in un'altra città)?
    • pentolino scrive:
      Re: Non ci credo
      quello che citi è incredibile ma non stento a crederci.Piuttosto mi chiedo che cavolo ci facessero quei dati su un server nell' IOWA! Questo mi fa riflettere sul crescente outsourcing e in generale sull' uso di software closed da parte della pubblica amministrazione di qualunque stato; cosa ne sappiamo se i nostri dati rimangono confinati nell' ambito richiesto oppure fanno dei giri strani? Ci fidiamo di Microsoft, Apple, Google e compagnia bella? Mah...
      • Wargames scrive:
        Re: Non ci credo
        Di Microsoft & Google sí... perché pagano bene i dipendenti!:-DMa delle ditte in outsourcing assolutamente NO visto come trattano i propri dipendenti. E in Italia questo vale ancora di piú!!
        • pentolino scrive:
          Re: Non ci credo
          - Scritto da: Wargames
          Di Microsoft & Google sí... perché pagano bene i
          dipendenti!
          :-Deh beh! :-D
          Ma delle ditte in outsourcing assolutamente NO
          visto come trattano i propri dipendenti. E in
          Italia questo vale ancora di
          piú!!ma straquoto!
        • supernaicol scrive:
          Re: Non ci credo

          Di Microsoft & Google sí... perché pagano bene i dipendenti!Penso anch'io che le perdite di dati dipendano quasi sempre da dipendenti disonesti, ma non sono assolutamente d'accordo con la tua presunzione che l'onestà dipenda dalla ricchezza: il proverbio dice "l'occasione fa l'uomo ladro", non la necessità, e non credo esistano troppi jean valjeant in giro. Personalmente conosco gente coi soldi che escono dal... naso che se ricevono per sbaglio un euro in più di resto dal cassiere stan zitti e intascano.
      • pippo75 scrive:
        Re: Non ci credo

        Piuttosto mi chiedo che cavolo ci facessero quei
        dati su un server nell' IOWA! non lo so, potrebbero aver fatto un sito e il concorso è stato vinto da una ditta con il server in quel posto?
        riflettere sul crescente outsourcing e in
        generale sull' uso di software closed da parte
        della pubblica amministrazione ho perso il pezzo dove si parla di closed source, non è che puoi darmi una mano a cercarlo?
        • pentolino scrive:
          Re: Non ci credo
          - Scritto da: pippo75
          ho perso il pezzo dove si parla di closed source,
          non è che puoi darmi una mano a
          cercarlo?infatti non c'è; era una considerazione generale. Io sono preoccupato di entrambe le cose e lo facevo presente; poi il problema segnalato dall' articolo è l' outsourcing e su questo siamo d' accordo
    • Sdrandis scrive:
      Re: Non ci credo
      Forse appena OT, però sulla scia degli scandali sulla privacy volevo far notare a chi non lo sa che in Italia abbiamo un codice della privacy "avanzatissimo", uno dei "migliori al mondo" (traduzione: un mostro partorito in perfetto stile bipartisan).Ebbene, se un'azienda (anche una ditta individuale) non è in regola con il DPS (Documento Programmatico sulla Sicurezza) a seconda dell'irregolarità si rischiano multe draconiane e financo la galera.Poi siccome siamo in Italì non sai mai se sei in regola, perché le norme sono estremamente soggette a interpretazione, e spesso vige il principio che la norma è severissima, ma "tanto mica ti controllano", e quindi ognuno fa quel che vuole. Ma ogni tanto un funzionario si sveglia e decide di controllare, e allora a chi tocca son guai (perché nessuno sa se è in regola o meno).Non staremo qui ad esporre le castronerie, anche informatiche, contenute nel DPS, se no il pranzo ci esce fuori dalle orecchie.E perché non andare a vedere cosa ne è del rispetto di queste norme negli enti pubblici? (ospedali anyone?)Se tu, privato cittadino oppure imprenditore, sgarri e per caso ti beccano sei morto; mentre il nostro amato Stato sgarra molto spesso, guarda caso non si "auto-becca" mai (le poche volte che lo fa per distrazione poi si auto-assolve) e quindi rimane sempre vivo e vegeto. Se un giornalista riesce ad entrare in un tribunale e ha accesso ai dati sensibili di centinaia di cittadini e trasmette la "bravata" in TV il giorno dopo che succede? Nulla.Oppure vogliamo parlare delle norme sulla sicurezza sul lavoro? All'avanguardia in Europa e nel mondo, e poi non controlla nessuno (vedi molti incidenti sui cantieri edili o anche la tragedia di Torino) perché non ci sono ispettori ecc. (a me però dicono che di gente ce ne sarebbe anche troppa, è che deve stare tutta in ufficio al calduccio).Ah, anche qui provate ad andare in giro per le scuole italiane, dove vanno ogni giorno i nostri figli: a norma ce ne sarà 1 su 10. E anche qui vige la stessa farsa: se beccano un'azienda privata media o piccola con irregolarità sulla sicurezza la aprono in due (a quelle grandi ovviamente non fanno quasi mai nulla, vedi i numerosi scandali impuniti sugli incidenti presso i vari poli chimici ecc.), quando poi crolla una scuola e schiaccia dei bambini il tempo passa beato, gli uccellini cinguettano e dopo qualche anno tutti coloro che avevano firmato i progetti, costruito la scuola, vidimato, garantito (e anche incassato, perché no) vengono assolti, magari con medaglia al merito./RANT_MODED.
Chiudi i commenti