MakerBot, estrusione di brevetti?

Re: Test del setup TrueCrypt-7.2
- Scritto da: vrioexo
Perché la storia la scrivono i vincitori così
come gli standard crittografici. Perché uno
standard viene dichiarato tale solo se chi lo
approva ha la certezza di essere il primo (e
probabilmente l'unico) a portelo violare sul
medio periodo. Perché quando uno standard viene
approvato dal Governo USA vuol dire che è stato
ritenuto abbastanza 'elastico' da poter essere
implementato sia bene che male con tutte le
possibili conseguenze del caso: implementazioni
forti (America/Inghilterra) e potenzialmente
deboli per gli altri (resto del
mondo).Quindi tutte le universita' di matematiche del pianeta a parte quelle usa sono composte da stupidi.Ok.Mo me lo segno...

Re: Test del setup TrueCrypt-7.2
- Scritto da: vrioexo
- Scritto da: TrapKiller

Infatti io l'ho data corretta, scrivendo "IN

PRATICA, riformattandole".

Non ho scritto che basta fare il format normale.

No, non voglio far polemica :) ma l'informazione
NON è stata data correttamente; chiunque abbia
gli occhi attaccati alla testa può confermarlo.
Hai affermato che le informazioni presenti sulle
chiavette USB sono (parole tue, non
mie):

'...impossibili da cancellare con sicurezza se
non, in pratica,
riformattandole.'Scusami, neanch'io voglio fare polemica, ma quel "in pratica" dovrebbe essere rivelatore.C'è anche da dire che pure i 7000 caratteri in certi casi non sono abbastanza per stare a dettagliare tutto.E, comunque, concordo che hai fatto bene a precisare.Ma, senza voler fare polemica, è la tua successiva affermazione su US-DoD7 e Guttman-35 che è VERAMENTE CATTIVA INFORMAZIONE.Perchè leggendo ciò (prima affermato e qui riaffermato categoricamente), uno pensa che basti usare Eraser o tools simili e fare 7 passate di DoD o 35 di Guttman su un dispositivo a stato solido (con programmi pensati per dischi magnetici!) per pulirlo dai vecchi dati.Cosa che non è supportata neppure dalla ricerca fatta e citata nel link che ho dato.E mi chiedo come tu faccia ad essere certo che è una "non problematica", visto anche che si parla di funzioni a basso livello e che una cella "vuota" potrebbe essere così vista a livello logico (gli SSD funzionano così) pur essendo ancora "piena" a livello fisico.Hai scritto tu un tool che VERIFICA a basso livello che le celle sono azzerate? Chissà perchè, sono scettico ... ;)Mi ricorda un pò quel tale che voleva convincermi che lui aveva inventato un metodo per criptare il disco e che era sicuro quanto e più la criptazione di TrueCrypt, e si inalberava se io dicevo che di certi metodi artigianali non mi fido. Purtroppo per lui, trovai pure dei vecchi post su un forum dove altri sottolineavano le falle del suo metodo. Mi rispose "beh, quella era una versione vecchia, ora va molto meglio!". Si, certo ... :DEcco, senza offesa vorrei che TU dicessi come sei certo che quelle celle vengono azzerate con tools fatti per i dischi magnetici, non che IO debba trovare un tool che le legge! Perchè se un tale tool esiste (e certamente esiste, io non ce l'ho ma le migliori polizie certamente si) allora vuol dire che TU l'hai usato ed hai verificato a basso livello che sono azzerate.Perchè se invece NON ce l'hai e NON l'hai usato per verificarlo beh ... allora staresti solo tirando a caso, sulla base di un wishful-thinking!

- Scritto da: TrapKiller

Se anche la Live USB venisse trovata,

tutti gli archivi e tracce critiche sarebbero

contenuti e nascosti nella VM che sta nel

volume hidden.

Perciò, esperti di forensic analysis ...

PRRRRRRRRR!!!

:D

- Scritto da: TrapKiller
Ce ne sono alcuni che sono veramente bravi e
competenti, anche qui in Italia: il loro lavoro
però è grandemente facilitato dalla sciatta
ignoranza informatica dell'utente medio, certo
com'è di eliminare in modo definitivo tutte le
tracce utilizzando gli strumenti di pulizia
integrati in Windows (...per poi magari
ritrovarsi ad avere a che fare con gli strumenti
di...Polizia!
(rotfl))No, il loro lavoro in realtà è facilitato dal fatto che, molto semplicemente, la gente NON SI DIFENDE. Punto e basta.Soprattutto con la crittografia. Qualcuno ha capito di dover usare Tor, anche se magari ogni tanto se ne dimentica, ma c'è una quantità enorme di gente che si tiene archivi critici IN CHIARO.Non posso addirittura leggere cose come "al momento della perquisizione l'indagato ha cercato di fuggire portando via i dischi, sui quali poi è stato trovato materiale incriminante"! Un comportamento come quello è stupidità pura. Bastava usare un archivio hidden di TrueCrypt e non solo i "normali" inquirenti ma pure la forensic analysis si attaccava al tram (almeno per gli archivi in sè, per le tracce bisogna vedere)!Quindi, con utenti del genere figuriamoci se la gente pensa alle tracce di navigazione, di apertura archivi, di visualizzazione multimediale ecc. e conosce programmi free di pulizia e controllo come Eraser, USBDeview, USBOblivion, Privazer, ShellBagsView o ShellBag Analyzer and Cleaner.Per non parlare della virtualizzazione, dell'uso di Live CD e Live USB e dell'opportunità di tenere gli archivi criptati su supporti facilmente occultabili.E questo è solo l'aspetto tecnico.Poi c'è quello comportamentale (prepararsi anticipatamente "giustificazioni" plausibili nel caso che si venga comunque "beccati", non esporsi e non farsi tracciare in modo non anonimo sui forum e social networks ecc.), dove l'utente medio è altrettanto all'età della pietra.La forensic analysis ha sucXXXXX solo contro chi non si difende, per quanto bravo un esperto di TC può ricavare poco o nulla se l'utente di tracce significative non ne ha lasciate: ciò che non c'è, non può essere trovato!Perchè invece una situazione così deprimente, quando chiunque avrebbe gli strumenti per difendersi (e senza dover essere un esperto di informatica)? Perchè la gente ragiona con l'illusione "figurati se vengono a cercare me!".E quando invece li vanno a cercare, per loro è troppo tardi.

Re: Test del setup TrueCrypt-7.2
- Scritto da: vrioexo
- Prima parte -


- Scritto da: vrioexo


non fidatevi di AES

- Scritto da: TrapKiller

Perchè?

Perché la storia la scrivono i vincitori così
come gli standard crittografici.Su questo ti ha già risposto krane e mi basterebbe quotare lui.Aggiungo solo che non mi sembra che nè Snowden nè Schneier o altri crittografi abbiano mai avanzato grossi dubbi su AES.Tra l'altro, dimentichi che più che dall'ALGORITMO i rischi vengono dall'IMPLEMENTAZIONE dell'algoritmo. E questo vale per AES, Twofish, Serpent ecc.E, in ogni caso, usando in TC la concatenazione AES+Twofish+Serpent il problema è risolto: se AES fosse "backdoorato" (cosa che ritengo alquanto improbabile) gli altri due algoritmi renderebbero ciò inutile. Se invece AES è, pulito, la criptazione efficace diventa addirittura tripla (e per quello che ho visto le prestazioni restano buone).
- Scritto da: TrapKiller

Vero, ma bisogna tener presente pure
l'usabilità,

che in questo caso coincide con
la"ricordabilità"


della password

Il giusto compromesso fra sicurezza ed usabilità
è un gestore di password scritto da una persona
competente e con codice sorgente disponibile per
le eventuali verifiche del caso oppure in
alternativa, avendone le competenze - è
consigliabile scriverselo da soli (che è - e
sempre sarà - la soluzione
migliore).Eh no, mi spiace.Se devo usare un prodottino, scritto pure da una persona competente e open source ma che usano in quattro gatti e non è mai stato auditato, allora preferisco tenermi A MENTE l'unica passphrase da 64 caratteri che mi serve.Anche perchè qual'è l'alternativa? Usare un password manager, come tu auspichi.E come lo proteggi? Con una master password, DA TENERE A MENTE.E come deve essere la master password? Sufficientemente complessa e lunga, diciamo che 64 caratteri vanno bene?Ma allora TANTO VALE TENERE A MENTE LA PASSPHRASE DA 64 DI TRUECRYPT!E se invece uno dice che la master password può essere più corta, tipo 15 caratteri, abbassa immediatamente la sua sicurezza.
Stessa password su tutti i contenitori? ma che
scherziamo?Non capisco davvero la necessità di usare password diverse per tutti i contenitori criptati.Qual'è il reale vantaggio, nel 90% dei casi?Diciamo che uno è un jihadista, in un contenitore ci mette piani per attentati, in un altro la lista di tutti i possibili bersagli, in un altro ancora come fabbricare le bombe e nel quarto testi propagandistici. La decrittazione di uno solo di questi è già motivo sufficiente per finire sotto proXXXXX, non fa tanta differenza se dopo aver violato la password del primo contenitore con quella aprono pure gli altri contenitori.Ed ho fatto un esempio a tuo favore, con un jihadista "ordinato", per altre cose illegali (es. razzismo o pedoXXXXX) cambia ancora meno essere trovati con 1000 documenti in un contenitore o 1000+1000+1000 in tre contenitori: per un proXXXXX bastano e avanzano i primi 1000.
Tu parti dal presupposto di dover ricordare tutto
tramite passphrase, io invece parto dalla
soluzione opposta: non aver la necessità di
ricordare nulla se non una singola master
password.Guarda che non si scappa: o hai una master password complessa e lunga COME la password di TC, quindi una passphrase, o stai abbassando il tuo livello di sicurezza.
Per qualcuno il metodo della password
unica da ricavare tramite associazioni mentali
valida per tutti i contenitori andrà sicuramente
bene: di certo non sono tra questi...la soluzione
da te proposta è anche estremamente rischiosa se
disgraziatamente ti scordi la password da 64
caratteri (ipotesi non tanto peregrina) perdi
l'acXXXXX ai dati sui tutti volumi
cifrati...!Io ne uso una da dieci anni, ogni due o tre anni, per sicurezza, ne cambio una parte, la re-imparo e ricripto con quella.E nessuno troverà mai sui miei supporti un password manager craccabile perchè avevo usato una master password da 15 caratteri!O, meglio, troverà solo il password manager che contiene le password non critiche, tanto che potrei perfino fornire io stesso spontaneamente la master password (con l'unico rischio di trovare un inquirente milanista che mi prende in antipatia vedendo che ho salvato la password di un forum dell'Inter! ;) ).

L'unico posto sicuro per la password di TC?

(...) Il vostro CERVELLO! Non c'è altro

posto. Tenete programmi come Psafe per
proteggere

le password non così critiche

Ti potrà sembrare incredibile...ma all'NSA usano
i gestori di password assieme alla biometria e ad
altri metodi di identificazione...Ma chissene di cosa fa al suo interno la NSA!A parte che la NSA ha dato ad un contractor esterno (!!!), Snowden, l'acXXXXX a praticamente tutti gli archivi, quindi tanto furbi poi non erano, che usino anche password manager non vuol dire che per OGNI uso un password manager sia il meglio.Anch'io uso un password manager, ma certamente NON per la password di TC (che per me è la VERA "master password", perchè è entro TC che tengo le cose più critiche).Impossibile ricordarsi una password di oltre 64 caratteri? Mica vero.Si parla di passphrase, una cosa molto più facile da ricordare (per il soggetto!) di una password senza senso compiuto.Esempio breve inventato al volo: "Chelsea Bretagne-215 morning! Mars$ 2111$18%32 sgavizzo CathOlic". Sono giusto 64 caratteri.Come uno se la potrebbe ricordare? Facilmente se la passphrase gli ricorda una cosa precisa, che però ad altri non dice nulla:- una vacanza a Londra, in un albergo a Chelsea, l'albergo si chiamava Hotel de Bretagne e lui aveva la stanza 215, condivisa con la fidanzata- una notte d'amore meravigliosa, gli occhi di lei ("Mars", dal film "Occhi di Laura Mars") il mattino (morning) dopo- era il 21 luglio del 1990 -
19900721 -
mettiamo due separatori -
1990$07%21 -
aggiungiamo un 1 in più ad ogni cifra -
2111$18%32- l'affettuoso soprannome datogli dalla fidanzata ("sgavizzo", parola che non si trova sul vocabolario)- CathOlic: si erano conosciuti al mare, sulla spiaggia di Cattolica, la "O" maiuscola ricorda il soleL'ho inventata in due minuti, si può ovviamente fare di meglio, metterci altre parole (es. soprannomi, parole inventate da bambini ...) che hanno senso solo per il soggetto, altri separatori ecc.Ma già con una cosa simile, vallo a trovare il decrittatore che la scopre, a maggior ragione in tempi "umani"!
Non posso parlare per i PC degli altri ma il mio
parte virtualizzato ed è configurato per loggare
- e laggare! :D - il meno possibile: e comunque
essendo la sessione di lavoro virtuale gli
eventuali residui di log scompaiono al riavvio.Si, la virtualizzazione è la soluzione, meglio se protetta da TrueCrypt.