San Francisco (USA) – Una nuova versione del browser Microsoft Internet Explorer, la 7.0, è in fase di elaborazione con notevole anticipo sulla roadmap prevista fino ad oggi. Lo ha dichiarato ieri il chairman Microsoft Bill Gates parlando alla RSA Conference 2005 che si tiene in questi giorni nella Silicon Valley.
Gates ha spiegato che entro l’estate sarà disponibile la beta di IE 7.0, browser che secondo quanto dichiarato dal manager Microsoft risponderà alle crescenti esigenze di sicurezza avvertite dagli utenti. “Browsing – ha dichiarato Gates – è decisamente un punto debole”.
L’annuncio di Gates dunque non solo conferma i rumors secondo cui il nuovo Internet Explorer non avrebbe atteso il rilascio della prossima versione di Windows, Longhorn , ma sottolinea anche l’intenzione dell’azienda di rispondere il più rapidamente possibile alla minaccia rappresentata dalla rapida diffusione di Firefox , il browser di Mozilla Foundation che sta guadagnandosi ampi consensi.
Il nuovo browser girerà sui computer dotati di Windows XP con Service Pack 2.
Novità in arrivo anche per l’antispyware annunciato di recente dall’azienda , un software che secondo Microsoft servirà a tutti coloro che hanno una licenza di Windows. Il tool di protezione, infatti, sarà con ogni probabilità gratuito e potrà essere scaricato anche nella sua versione finale direttamente dal sito Microsoft dopo aver dato prova di essere in possesso di una copia originale del sistema operativo.
“Lo spyware – ha spiegato Gates – è qualcosa che dobbiamo affrontare subito. Abbiamo deciso che tutti i licenziatari di Windows debbano avere questa funzionalità. Sono entusiasta che abbiamo ora questa tecnologia e che sia in grado di rispondere a necessità urgenti dei nostri utenti”.
Anche la versione finale del programma consentirà agli utenti di segnalare al network “Spy Net” le informazioni relative agli “attacchi” subiti e sventati. “Abbiamo circa mezzo milione di segnalazioni al giorno – ha dichiarato Gates – questi sono i dati che utilizziamo per anticipare queste minacce”.
Una versione a pagamento dell’antispyware sarà offerta da Microsoft alle imprese e sarà dotata di funzionalità aggiuntive.
Infine, Gates ha presentato la release finale di ISA Server 2004 Enterprise Edition , la soluzione firewall di Windows Server System, nonché la preparazione di Microsoft Update , versione aggiornata del servizio di Windows Update pensato per Office e le altre applicazioni Microsoft basate su Windows. A marzo inizierà un mese di testing del nuovo servizio.
-
Re: Mac in NSA , il documento
- Scritto da: Anonimo
C'è un bel documento su come
impostare i settaggi di Mac OS X
Panther per
gli utilizzi interni all'NSA.
Alcune impostazioni possono essere utili
anche ad altri enti o società.
Puoi darci qualche riferimento per
recuperarlo?il link diretto per il downloadhttp://www.nsa.gov/snac/os/applemac/osx_client_final_v_1_1.pdf -
Re: Perche' non fidarsi?
Per le cose che hai detto sarai per sempre bollato come comunista. -
Re: Non sono d'accordo
Mi torna in mente una citazione a caso:"Chi controlla il passato, controlla il futuro; chi controlla il presente, controllo il passato"Che c'entra? Beh, se alla NSA mettono una backdoor e d'altro canto spacciano i dati per sicuri contro contraffazioni, i dati possono cambiare convenientemente senza che nessuno lo dubiti, stile "The Net".L'unico dubbio, ovvio, che rimane dopo é, e chi controlla la NSA?Non certo io. -
Re: Mac in NSA
C'è un bel documento su come
impostare i settaggi di Mac OS X Panther per
gli utilizzi interni all'NSA.
Alcune impostazioni possono essere utili
anche ad altri enti o società.Puoi darci qualche riferimento per recuperarlo? -
Re: Non sono d'accordo
Che bello discutere un po' :)Ti rispondo: - Scritto da: Fabio D.:
Per quello che ne so, ne era proibita
l'esportazione, fino al 2000. I 128 bit sono
sempre stati utilizzabili in USA. Poi si
sono resi conto che questo danneggiava le
loro industrie rispetto a quelle di altri
paesi e hanno "rilassato" le restrizioni
all'esportazione, tranne ai soliti cattivi
(Iran, Iraq, Corea del Nord, Libia ecc.).
Adesso non so se dopo l'11/9 ci sia stato un
nuovo giro di vite...Credo tu ti riferisca all'ITAR "International Traffic in Arms Regulation".Io mi riferivo a leggi americane... purtroppo non riesco a trovare dove le avevo lette.
i presunti
buchi di PGP non sono mai stati trovati...Hai ragione.Infatti parlavo di presunti buchi.Avrei dovuto specificare meglio che mi riferivo agli esperimenti di Senderek: http://senderek.de/security/key-experiments.htmlZimmermann ha negato tutto, ovviamente... pero' applicando il "teorema di giulio"... :
Persino Debian e' distribuito in due
versioni (USA e non-USA) perche'
contiene
sistemi di cifratura non legali negli
stati
uniti.
Direi il contrario...Lo dicevo anch'io ma mi hanno assicurato di no. Non dico che la fonte sia affidabile al 100%.. ovviamente riporto solo cio' che so.
Mah... le S-box non contengono
vulnerabilità, anzi. Si è
saputo da pochi anni che NSA aveva
progettato le S-box per resistere alla
crittanalisi differenziale. Verissimo.Infatti parlavo dello "sviare" l'attenzione, non intendevo dire che le s-box contenessero vulnerabilita', ma parlavo di come l'attenzione della comunita' fosse stata concentrata su questo elemento e i pochi che continuavano a dire "56 bit sono pochi" venivano zittiti con "ma ci sono le s-box a proteggerci" (ok ho semplificato molto, perdonami)
Il loro
intervento si è limitato a ridurre i
bit della chiave. Il DES è stato
studiato al massimo e non contiene
debolezze, semplicemente 56 bit sono troppo
pochi. Nel proporre DES a NSA, IBM aveva pensato a 128 bit che NSA ha prontamente ridotto.E' proprio questo che intendevo quando dicevo:"E' ovvio che gli interventi di NSA sono minimi, si cerca di indebolire un algoritmo quanto basta "
Quando e' stato possibile dimostrare
che con 2 o 300 dollari
200 o 300mila....OOOOPPS. Si' si' scusate.... mi e' sfuggito mila :DBeh 300 dollari per un DES Cracker... magari: ce lo avrei sul comodino come portafortuna :D
di certo NSA avra' un bel vantaggio in
questo senso se le daranno da gestire le
comunicazioni governative.
Probabilmente già le monitorava....
monitorano tutto...Ecco, su questo mi piacerebbe discutere.Anch'io ho pensato "ma a che serve? dopotutto hanno gia' tutte le spie che vogliono".Date per scontato che sono paranoico... lo sono.Eppure c'e' qualcosa che non mi torna: mi sembra tanto un colpo di mano molto ben congeniato ma non riesco a spiegarmene la necessita'.Idee? Commenti?CoD -
Re: Non sono d'accordo
Prima di credere in tutta questa potenza dell'NSA considerate che per le brigate rosse, nonostante l'aiuto chiesto al'FBI, PGP è stato aperto nel momento in cui hanno svelato le passphrase. Solo il palmarino che aveva una password corta è stato cracckato, con una certa difficoltà.Se l'NSA vuole aprire un archivio, usa sicuramente metodi più subdoli di un brute-force.Un famoso mafioso che usava PGP è stato tradito da un semplice keylogger installato nella sua tastiera.Qualcuno ha detto PGP è stato forzato, niente affatto. Si è attaccato l'anelllo più debole, con successo. -
Re: Guardate il film
- Scritto da: Anonimo
oppure leggetevi "digital fortress" di Dan
Brown. Purtroppo è solo in inglesedan brown non sa scrivere,in compenso i sui librisono pieni di tecniche utilizzate dalla polizia e servizi segreti in generale....mi viene da pensare che il suo lavoro di scrittore siauna sorta di copertura.... -
Re: Guardate il film
- Scritto da: HotEngine
"Nemico pubblico" con Willy Smith e Gene
Hackman se potete, è illuminante e
non banale.oppure leggetevi "digital fortress" di Dan Brown. Purtroppo è solo in inglese -
Re: Mac in NSA
C'è un bel documento su come
impostare i settaggi di Mac OS X Panther per
gli utilizzi interni all'NSA.
Alcune impostazioni possono essere utili
anche ad altri enti o società.Assolutamente si.Considera' pero' che, come avveniva per NT, non sono sempre le versioni retail di cui si parla. -
Re: SHA-1 è stato crackato! No more secr
Giapponese l'universitá di Shandong, in Cina? :oPer quanto rotto possa essere il sistema, questo potrebbe comunque essere conveniente.Ad esempio, se é solo un metodo per, partendo da un messaggio dato, ottenere un altro messaggio con la stessa hash (collisione), non ti serve a nulla per recuperare le password.Per recuperare le password (o comunque UNA delle password che accedono all'account) ti serve un metodo per passare dalla hash ad un valore che la produca.Manco a dirsi, la seconda é piú forte della prima :$La convenienza é definita in base al rapporto costo/convenienza.Se usi uno SHA-256, puó essere bucabile in, che so, 2^100, che possono comunque essere sufficienti per i tuoi scopi! -
Re: Guardate il film
- Scritto da: HotEngine
"Nemico pubblico" con Willy Smith e Gene
Hackman se potete, è illuminante e
non banale.Uno dei mie film preferiti... Il problema è: il film è troppo avanti o troppo indietro rispetto a quello che la NSA è in grado di fare??Fabio D. -
Re: Guardate il film
l' ho visto!!comunque non è recentissimo.. rispetto a quel che hanno (e fanno) adesso ci sono anni-luce -
Non sono d'accordo
E' noto che una legge americana proibisce l'uso di tecniche di crittografia che non siano aggirabili o "sfondabili" dal governo.Avete presente il famoso intervento "indebolente" fatto da NSA al glorioso DES?Avete letto dei presunti buchi esistenti nelle versioni di PGP successive all'arresto di Zimmermann?Persino Debian e' distribuito in due versioni (USA e non-USA) perche' contiene sistemi di cifratura non legali negli stati uniti.E' ovvio che gli interventi di NSA sono minimi, si cerca di indebolire un algoritmo quanto basta a renderlo attaccabile con i loro supercomputer e di certo non si sognerebbero mai di fare qualcosa di piu' appariscente.Anche in DES l'intervento era minimo ed era stato "sviato" dall'introduzione delle s-box. Quando e' stato possibile dimostrare che con 2 o 300 dollari si poteva costruire un sistema modulare per il brute forcing del DES, NSA ha ammesso di avere da tempo un computer molto potente dedicato proprio a quello, che in un'ora faceva quello che fuori ha richiesto mesi.Il problema sta nel fatto che Bush e' stato appoggiato e manovrato da NSA fin dall'inizio (ed eravano parecchi a dirlo).Dopo l'11 settembre ha dato addosso alla CIA e ha spostato gradualmente tutti i poteri inm mano all'NSA.Ora si tratta di mantenere questo potere e di certo NSA avra' un bel vantaggio in questo senso se le daranno da gestire le comunicazioni governative.Si e' parlato anche di un colpo di stato, o meglio, di un mini scontro tra NSA e CIA con i rispettivi soldati.Sono solo voci di corridoio e ovviamente vanno prese per tali, ma diciamo che in quest'ottica, analizzando il comportamento dell'amministrazione Bush in questo settore, non si stenta a credere anche a questo.CoD-
Re: Non sono d'accordo
Sul retroscena politico non credo che ne sapremo mai abbastanza, più che seguire la filosofia di Giulio del "chi pensa male..." non possiamo fare.Il fatto in questione però va valutato nella sua interezza:a) l'sha è stato ridimensionato come resistenza alle collisioni, non come falsificabilitàb) l'sha è da lungo tempo visibile a tutti, è stato analizzato da tantissimi ricercatori e sviluppatori indipendenti, anche grandissimi nomi, quello che è successo va semplicemente a confermare in modo eclatante quello che i ricercatori di ogni disciplina da sempre sanno: non basta che qualcosa sia visibile perchè venga visto.Questo sfata i miti della visibilità e disponibilità pubblica come garanzia di sicurezza.Attenzione, non sto inneggiando al closed, sto dicendo che la visibilità e verificabilità pubblica in crittografia è considerata un PREREQUISITO della sicurezza, mai un GARANZIA di per se.Ripeto, se poi dietro ci sia una macchinazione dell'NSA è tutt'altro discorso, non si può negare che quest'ente dia lavoro a moltissimi matematici ed altri cervelli fini in grado di fare questo ed altro! -
Re: Non sono d'accordo
- Scritto da: Anonimo
E' noto che una legge americana proibisce
l'uso di tecniche di crittografia che non
siano aggirabili o "sfondabili" dal governo.Per quello che ne so, ne era proibita l'esportazione, fino al 2000. I 128 bit sono sempre stati utilizzabili in USA. Poi si sono resi conto che questo danneggiava le loro industrie rispetto a quelle di altri paesi e hanno "rilassato" le restrizioni all'esportazione, tranne ai soliti cattivi (Iran, Iraq, Corea del Nord, Libia ecc.). Adesso non so se dopo l'11/9 ci sia stato un nuovo giro di vite...
Avete presente il famoso intervento
"indebolente" fatto da NSA al glorioso DES?
Avete letto dei presunti buchi esistenti
nelle versioni di PGP successive all'arresto
di Zimmermann?Per quello che ne so, Zimmermann non è mai stato arrestato, ma solo incriminato e poi assolto... e i presunti buchi di PGP non sono mai stati trovati...
Persino Debian e' distribuito in due
versioni (USA e non-USA) perche' contiene
sistemi di cifratura non legali negli stati
uniti.Direi il contrario...
E' ovvio che gli interventi di NSA sono
minimi, si cerca di indebolire un algoritmo
quanto basta a renderlo attaccabile con i
loro supercomputer e di certo non si
sognerebbero mai di fare qualcosa di piu'
appariscente.
Anche in DES l'intervento era minimo ed era
stato "sviato" dall'introduzione delle
s-box. Mah... le S-box non contengono vulnerabilità, anzi. Si è saputo da pochi anni che NSA aveva progettato le S-box per resistere alla crittanalisi differenziale. Piccolo particolare: la crittanalisi differenziale è stata scoperta dalla comunità scientifica 10 anni dopo.... NSA già la conosceva!! Il loro intervento si è limitato a ridurre i bit della chiave. Il DES è stato studiato al massimo e non contiene debolezze, semplicemente 56 bit sono troppo pochi. NSA ha negato per anni di riuscire a craccare il DES a forza bruta, finché EFF ha costruito una macchina da 200mila dollari in grado di farlo in 2 o 3 giorni. Per cui è certo che NSA poteva già farlo da anni.Quando e' stato possibile dimostrare
che con 2 o 300 dollari 200 o 300mila....si poteva costruire
un sistema modulare per il brute forcing
del DES, NSA ha ammesso di avere da tempo un
computer molto potente dedicato proprio a
quello, che in un'ora faceva quello che
fuori ha richiesto mesi.
Ora si tratta di mantenere questo potere e
di certo NSA avra' un bel vantaggio in
questo senso se le daranno da gestire le
comunicazioni governative.Probabilmente già le monitorava.... monitorano tutto...Fabio D.
-
-
Mac in NSA
"Nell'ottica di questo progetto, dunque, NSA dovrà fornire gli standard tecnici e i software ai quali le diverse agenzie governative dovranno uniformarsi."C'è un bel documento su come impostare i settaggi di Mac OS X Panther per gli utilizzi interni all'NSA.Alcune impostazioni possono essere utili anche ad altri enti o società. -
Re: SHA-1 è stato crackato! No more secr
Varamente si parla di collisioni, cioè possibilità che lo stesso hash esca per input diversi.Ci si attendeva la possibilità di collisioni ogni 2^80 bit, è stato trovato un metodo per dimostrare che in realtà si possono attendere ogni 2^69 bit.Questo viene ad intaccare, pesantemente, l'utilità di sha-1 come hash collision-free, nel senso che le sollisioni, inevitabili (altrimenti servirebbe un hash di 2^n bit dove n è la lunghezza del messaggio per una sicurezza matematica di assenza di collisioni) sono previste in misura 2^21 (azz!) superiore.Nell'articolo di Schneier linkato si dice chiaramente che per quanto è dato sapere la ricerca riguardava solo il modello delle collisioni dell'sha, non la possibilità ben più grave di falsificarlo, quindi che sha ne esce sostanzialmente ridimensionato come appllicabilità nei contesti in cui servano determinate garanzie di relativa assenza di collisioni.SHA tra l'altro è disponibile pubblicamente da lungo tempo, casomai questa non è la dimostrazione di come un prodotto closed (che non è) si riveli buggato intenzionalmente come suggerisci, ma piuttosto è importante notare come un algoritmo visibile per anni da tutta la comunità, studiato dai migliori ed implementato in migliaia di prodotti open e closed possa risultare inaspettatamente ed inavvertitamente fallato!Questo non toglie che non sappiamo se NSA lo sapesse e tacesse fin dall'inizio o da quando... a pensar male, come dice Giulio... -
Guardate il film
"Nemico pubblico" con Willy Smith e Gene Hackman se potete, è illuminante e non banale. -
SHA-1 è stato crackato! No more secrets.
L'algoritmo di hashing crittografico piu' usato almondo (praticamente ogni documento segretomandato via mail viene firmato digitalmentecon esso), l'SHA-1, e' stato appena crackato daun giapponese, che ne ha scoperto una debolezza.Inutile dire che, come e' sempre successo inprecedenza, la NSA lo sapeva fin dall'inizio.Anzi, come si e' gia' dimostrato probabile,tale algoritmo e' stato progettato fin dall'iniziocon questa debolezza, per poter permetterealla NSA di crackarlo come e quando voleva...http://it.slashdot.org/article.pl?sid=05/02/16/0146218&threshold=-1&tid=93&tid=172&tid=218 -
Perche' non fidarsi?
Queste cose fanno venire i brividi. Ma dov'e' la democrazia in america? Sono tiranneggiati dalla stupidita'? A volte sembra di sentir parlare un dittatore. Possibile che l'america sia minacciata da un'intero pianeta? Ci sara' una ragione? Sara' vero o saranno loro che si stanno preparando a fare qualcosa di piu' che difendersi dal mondo(...)?Una volta non bisognava pensare se eri paranoico, ma se lo eri abbastanza... -
trasparenza?
Sai che bello se dovessero davvero classificare gli interventi sui sistemi informatici pubblici. Chi cavolo saprebbe piu' davvero cosa passa nei cavi della burcrazia. E il voto elettronico? si occuperanno anche di quello? -
Re: vedo, prevedo...
-
Re: vedo, prevedo...
-
Re: vedo, prevedo...
- Scritto da: Anonimo
...una bella pioggia di
"NSA Security Enhanced Linux"
www.nsa.gov/selinux /
mah!? chissà!?Secondo me tirano fuori il sage dalle cantine -
vedo, prevedo...
...una bella pioggia di"NSA Security Enhanced Linux"http://www.nsa.gov/selinux/mah!? chissà!?