In arrivo il nuovo Internet Explorer

vedo, prevedo...
...una bella pioggia di"NSA Security Enhanced Linux"http://www.nsa.gov/selinux/mah!? chissà!?

Re: vedo, prevedo...
- Scritto da: Anonimo> ...una bella pioggia di> "NSA Security Enhanced Linux"> www.nsa.gov/selinux /> > mah!? chissà!?Secondo me tirano fuori il sage dalle cantine

Re: vedo, prevedo...

Re: vedo, prevedo...

trasparenza?
Sai che bello se dovessero davvero classificare gli interventi sui sistemi informatici pubblici. Chi cavolo saprebbe piu' davvero cosa passa nei cavi della burcrazia. E il voto elettronico? si occuperanno anche di quello?

Perche' non fidarsi?
Queste cose fanno venire i brividi. Ma dov'e' la democrazia in america? Sono tiranneggiati dalla stupidita'? A volte sembra di sentir parlare un dittatore. Possibile che l'america sia minacciata da un'intero pianeta? Ci sara' una ragione? Sara' vero o saranno loro che si stanno preparando a fare qualcosa di piu' che difendersi dal mondo(...)?Una volta non bisognava pensare se eri paranoico, ma se lo eri abbastanza...

SHA-1 è stato crackato! No more secrets.
L'algoritmo di hashing crittografico piu' usato almondo (praticamente ogni documento segretomandato via mail viene firmato digitalmentecon esso), l'SHA-1, e' stato appena crackato daun giapponese, che ne ha scoperto una debolezza.Inutile dire che, come e' sempre successo inprecedenza, la NSA lo sapeva fin dall'inizio.Anzi, come si e' gia' dimostrato probabile,tale algoritmo e' stato progettato fin dall'iniziocon questa debolezza, per poter permetterealla NSA di crackarlo come e quando voleva...http://it.slashdot.org/article.pl?sid=05/02/16/0146218&threshold=-1&tid=93&tid=172&tid=218

Guardate il film
"Nemico pubblico" con Willy Smith e Gene Hackman se potete, è illuminante e non banale.

Re: SHA-1 è stato crackato! No more secr
Varamente si parla di collisioni, cioè possibilità che lo stesso hash esca per input diversi.Ci si attendeva la possibilità di collisioni ogni 2^80 bit, è stato trovato un metodo per dimostrare che in realtà si possono attendere ogni 2^69 bit.Questo viene ad intaccare, pesantemente, l'utilità di sha-1 come hash collision-free, nel senso che le sollisioni, inevitabili (altrimenti servirebbe un hash di 2^n bit dove n è la lunghezza del messaggio per una sicurezza matematica di assenza di collisioni) sono previste in misura 2^21 (azz!) superiore.Nell'articolo di Schneier linkato si dice chiaramente che per quanto è dato sapere la ricerca riguardava solo il modello delle collisioni dell'sha, non la possibilità ben più grave di falsificarlo, quindi che sha ne esce sostanzialmente ridimensionato come appllicabilità nei contesti in cui servano determinate garanzie di relativa assenza di collisioni.SHA tra l'altro è disponibile pubblicamente da lungo tempo, casomai questa non è la dimostrazione di come un prodotto closed (che non è) si riveli buggato intenzionalmente come suggerisci, ma piuttosto è importante notare come un algoritmo visibile per anni da tutta la comunità, studiato dai migliori ed implementato in migliaia di prodotti open e closed possa risultare inaspettatamente ed inavvertitamente fallato!Questo non toglie che non sappiamo se NSA lo sapesse e tacesse fin dall'inizio o da quando... a pensar male, come dice Giulio...

Mac in NSA
"Nell'ottica di questo progetto, dunque, NSA dovrà fornire gli standard tecnici e i software ai quali le diverse agenzie governative dovranno uniformarsi."C'è un bel documento su come impostare i settaggi di Mac OS X Panther per gli utilizzi interni all'NSA.Alcune impostazioni possono essere utili anche ad altri enti o società.

Non sono d'accordo
E' noto che una legge americana proibisce l'uso di tecniche di crittografia che non siano aggirabili o "sfondabili" dal governo.Avete presente il famoso intervento "indebolente" fatto da NSA al glorioso DES?Avete letto dei presunti buchi esistenti nelle versioni di PGP successive all'arresto di Zimmermann?Persino Debian e' distribuito in due versioni (USA e non-USA) perche' contiene sistemi di cifratura non legali negli stati uniti.E' ovvio che gli interventi di NSA sono minimi, si cerca di indebolire un algoritmo quanto basta a renderlo attaccabile con i loro supercomputer e di certo non si sognerebbero mai di fare qualcosa di piu' appariscente.Anche in DES l'intervento era minimo ed era stato "sviato" dall'introduzione delle s-box. Quando e' stato possibile dimostrare che con 2 o 300 dollari si poteva costruire un sistema modulare per il brute forcing del DES, NSA ha ammesso di avere da tempo un computer molto potente dedicato proprio a quello, che in un'ora faceva quello che fuori ha richiesto mesi.Il problema sta nel fatto che Bush e' stato appoggiato e manovrato da NSA fin dall'inizio (ed eravano parecchi a dirlo).Dopo l'11 settembre ha dato addosso alla CIA e ha spostato gradualmente tutti i poteri inm mano all'NSA.Ora si tratta di mantenere questo potere e di certo NSA avra' un bel vantaggio in questo senso se le daranno da gestire le comunicazioni governative.Si e' parlato anche di un colpo di stato, o meglio, di un mini scontro tra NSA e CIA con i rispettivi soldati.Sono solo voci di corridoio e ovviamente vanno prese per tali, ma diciamo che in quest'ottica, analizzando il comportamento dell'amministrazione Bush in questo settore, non si stenta a credere anche a questo.CoD

Re: Non sono d'accordo
Sul retroscena politico non credo che ne sapremo mai abbastanza, più che seguire la filosofia di Giulio del "chi pensa male..." non possiamo fare.Il fatto in questione però va valutato nella sua interezza:a) l'sha è stato ridimensionato come resistenza alle collisioni, non come falsificabilitàb) l'sha è da lungo tempo visibile a tutti, è stato analizzato da tantissimi ricercatori e sviluppatori indipendenti, anche grandissimi nomi, quello che è successo va semplicemente a confermare in modo eclatante quello che i ricercatori di ogni disciplina da sempre sanno: non basta che qualcosa sia visibile perchè venga visto.Questo sfata i miti della visibilità e disponibilità pubblica come garanzia di sicurezza.Attenzione, non sto inneggiando al closed, sto dicendo che la visibilità e verificabilità pubblica in crittografia è considerata un PREREQUISITO della sicurezza, mai un GARANZIA di per se.Ripeto, se poi dietro ci sia una macchinazione dell'NSA è tutt'altro discorso, non si può negare che quest'ente dia lavoro a moltissimi matematici ed altri cervelli fini in grado di fare questo ed altro!

Re: Non sono d'accordo
- Scritto da: Anonimo> E' noto che una legge americana proibisce> l'uso di tecniche di crittografia che non> siano aggirabili o "sfondabili" dal governo.Per quello che ne so, ne era proibita l'esportazione, fino al 2000. I 128 bit sono sempre stati utilizzabili in USA. Poi si sono resi conto che questo danneggiava le loro industrie rispetto a quelle di altri paesi e hanno "rilassato" le restrizioni all'esportazione, tranne ai soliti cattivi (Iran, Iraq, Corea del Nord, Libia ecc.). Adesso non so se dopo l'11/9 ci sia stato un nuovo giro di vite...> > Avete presente il famoso intervento> "indebolente" fatto da NSA al glorioso DES?> Avete letto dei presunti buchi esistenti> nelle versioni di PGP successive all'arresto> di Zimmermann?Per quello che ne so, Zimmermann non è mai stato arrestato, ma solo incriminato e poi assolto... e i presunti buchi di PGP non sono mai stati trovati...> > Persino Debian e' distribuito in due> versioni (USA e non-USA) perche' contiene> sistemi di cifratura non legali negli stati> uniti.Direi il contrario...> > E' ovvio che gli interventi di NSA sono> minimi, si cerca di indebolire un algoritmo> quanto basta a renderlo attaccabile con i> loro supercomputer e di certo non si> sognerebbero mai di fare qualcosa di piu'> appariscente.> > Anche in DES l'intervento era minimo ed era> stato "sviato" dall'introduzione delle> s-box. Mah... le S-box non contengono vulnerabilità, anzi. Si è saputo da pochi anni che NSA aveva progettato le S-box per resistere alla crittanalisi differenziale. Piccolo particolare: la crittanalisi differenziale è stata scoperta dalla comunità scientifica 10 anni dopo.... NSA già la conosceva!! Il loro intervento si è limitato a ridurre i bit della chiave. Il DES è stato studiato al massimo e non contiene debolezze, semplicemente 56 bit sono troppo pochi. NSA ha negato per anni di riuscire a craccare il DES a forza bruta, finché EFF ha costruito una macchina da 200mila dollari in grado di farlo in 2 o 3 giorni. Per cui è certo che NSA poteva già farlo da anni.Quando e' stato possibile dimostrare> che con 2 o 300 dollari 200 o 300mila....si poteva costruire> un sistema modulare per il brute forcing> del DES, NSA ha ammesso di avere da tempo un> computer molto potente dedicato proprio a> quello, che in un'ora faceva quello che> fuori ha richiesto mesi.> > Ora si tratta di mantenere questo potere e> di certo NSA avra' un bel vantaggio in> questo senso se le daranno da gestire le> comunicazioni governative.Probabilmente già le monitorava.... monitorano tutto...Fabio D.

Re: Guardate il film
l' ho visto!!comunque non è recentissimo.. rispetto a quel che hanno (e fanno) adesso ci sono anni-luce

Re: Guardate il film
- Scritto da: HotEngine> "Nemico pubblico" con Willy Smith e Gene> Hackman se potete, è illuminante e> non banale.Uno dei mie film preferiti... Il problema è: il film è troppo avanti o troppo indietro rispetto a quello che la NSA è in grado di fare??Fabio D.

Re: SHA-1 è stato crackato! No more secr
Giapponese l'universitá di Shandong, in Cina? :oPer quanto rotto possa essere il sistema, questo potrebbe comunque essere conveniente.Ad esempio, se é solo un metodo per, partendo da un messaggio dato, ottenere un altro messaggio con la stessa hash (collisione), non ti serve a nulla per recuperare le password.Per recuperare le password (o comunque UNA delle password che accedono all'account) ti serve un metodo per passare dalla hash ad un valore che la produca.Manco a dirsi, la seconda é piú forte della prima :$La convenienza é definita in base al rapporto costo/convenienza.Se usi uno SHA-256, puó essere bucabile in, che so, 2^100, che possono comunque essere sufficienti per i tuoi scopi!

Re: Mac in NSA
> C'è un bel documento su come> impostare i settaggi di Mac OS X Panther per> gli utilizzi interni all'NSA.> Alcune impostazioni possono essere utili> anche ad altri enti o società.Assolutamente si.Considera' pero' che, come avveniva per NT, non sono sempre le versioni retail di cui si parla.

Re: Guardate il film
- Scritto da: HotEngine> "Nemico pubblico" con Willy Smith e Gene> Hackman se potete, è illuminante e> non banale.oppure leggetevi "digital fortress" di Dan Brown. Purtroppo è solo in inglese

Re: Guardate il film
- Scritto da: Anonimo> oppure leggetevi "digital fortress" di Dan> Brown. Purtroppo è solo in inglesedan brown non sa scrivere,in compenso i sui librisono pieni di tecniche utilizzate dalla polizia e servizi segreti in generale....mi viene da pensare che il suo lavoro di scrittore siauna sorta di copertura....

Re: Non sono d'accordo
Prima di credere in tutta questa potenza dell'NSA considerate che per le brigate rosse, nonostante l'aiuto chiesto al'FBI, PGP è stato aperto nel momento in cui hanno svelato le passphrase. Solo il palmarino che aveva una password corta è stato cracckato, con una certa difficoltà.Se l'NSA vuole aprire un archivio, usa sicuramente metodi più subdoli di un brute-force.Un famoso mafioso che usava PGP è stato tradito da un semplice keylogger installato nella sua tastiera.Qualcuno ha detto PGP è stato forzato, niente affatto. Si è attaccato l'anelllo più debole, con successo.

Re: Non sono d'accordo
Che bello discutere un po' :)Ti rispondo: - Scritto da: Fabio D.:> Per quello che ne so, ne era proibita> l'esportazione, fino al 2000. I 128 bit sono> sempre stati utilizzabili in USA. Poi si> sono resi conto che questo danneggiava le> loro industrie rispetto a quelle di altri> paesi e hanno "rilassato" le restrizioni> all'esportazione, tranne ai soliti cattivi> (Iran, Iraq, Corea del Nord, Libia ecc.).> Adesso non so se dopo l'11/9 ci sia stato un> nuovo giro di vite...Credo tu ti riferisca all'ITAR "International Traffic in Arms Regulation".Io mi riferivo a leggi americane... purtroppo non riesco a trovare dove le avevo lette.> i presunti> buchi di PGP non sono mai stati trovati...Hai ragione.Infatti parlavo di presunti buchi.Avrei dovuto specificare meglio che mi riferivo agli esperimenti di Senderek: http://senderek.de/security/key-experiments.htmlZimmermann ha negato tutto, ovviamente... pero' applicando il "teorema di giulio"... :> > Persino Debian e' distribuito in due> > versioni (USA e non-USA) perche'> contiene> > sistemi di cifratura non legali negli> stati> > uniti.> > Direi il contrario...Lo dicevo anch'io ma mi hanno assicurato di no. Non dico che la fonte sia affidabile al 100%.. ovviamente riporto solo cio' che so. > Mah... le S-box non contengono> vulnerabilità, anzi. Si è> saputo da pochi anni che NSA aveva> progettato le S-box per resistere alla> crittanalisi differenziale. Verissimo.Infatti parlavo dello "sviare" l'attenzione, non intendevo dire che le s-box contenessero vulnerabilita', ma parlavo di come l'attenzione della comunita' fosse stata concentrata su questo elemento e i pochi che continuavano a dire "56 bit sono pochi" venivano zittiti con "ma ci sono le s-box a proteggerci" (ok ho semplificato molto, perdonami)> Il loro> intervento si è limitato a ridurre i> bit della chiave. Il DES è stato> studiato al massimo e non contiene> debolezze, semplicemente 56 bit sono troppo> pochi. Nel proporre DES a NSA, IBM aveva pensato a 128 bit che NSA ha prontamente ridotto.E' proprio questo che intendevo quando dicevo:"E' ovvio che gli interventi di NSA sono minimi, si cerca di indebolire un algoritmo quanto basta "> Quando e' stato possibile dimostrare> > che con 2 o 300 dollari > > 200 o 300mila....OOOOPPS. Si' si' scusate.... mi e' sfuggito mila :DBeh 300 dollari per un DES Cracker... magari: ce lo avrei sul comodino come portafortuna :D > > di certo NSA avra' un bel vantaggio in> > questo senso se le daranno da gestire le> > comunicazioni governative.> > Probabilmente già le monitorava....> monitorano tutto...Ecco, su questo mi piacerebbe discutere.Anch'io ho pensato "ma a che serve? dopotutto hanno gia' tutte le spie che vogliono".Date per scontato che sono paranoico... lo sono.Eppure c'e' qualcosa che non mi torna: mi sembra tanto un colpo di mano molto ben congeniato ma non riesco a spiegarmene la necessita'.Idee? Commenti?CoD

Re: Mac in NSA
> C'è un bel documento su come> impostare i settaggi di Mac OS X Panther per> gli utilizzi interni all'NSA.> Alcune impostazioni possono essere utili> anche ad altri enti o società.Puoi darci qualche riferimento per recuperarlo?

Re: Non sono d'accordo
Mi torna in mente una citazione a caso:"Chi controlla il passato, controlla il futuro; chi controlla il presente, controllo il passato"Che c'entra? Beh, se alla NSA mettono una backdoor e d'altro canto spacciano i dati per sicuri contro contraffazioni, i dati possono cambiare convenientemente senza che nessuno lo dubiti, stile "The Net".L'unico dubbio, ovvio, che rimane dopo é, e chi controlla la NSA?Non certo io.

Re: Perche' non fidarsi?
Per le cose che hai detto sarai per sempre bollato come comunista.

Re: Mac in NSA , il documento
- Scritto da: Anonimo> > C'è un bel documento su come> > impostare i settaggi di Mac OS X> Panther per> > gli utilizzi interni all'NSA.> > Alcune impostazioni possono essere utili> > anche ad altri enti o società.> > Puoi darci qualche riferimento per> recuperarlo?il link diretto per il downloadhttp://www.nsa.gov/snac/os/applemac/osx_client_final_v_1_1.pdf