Roma – Il generico appuntamento per il mese di ottobre è stato confermato con una data precisa: Netflix sarà disponibile in Italia dal 22 ottobre per la fruizione a mezzo set-top box e smart TV, Apple TV e Google Chromecast, tablet e smartphone, computer e console videoludiche.
Sappiamo cosa significa. Tra poco inizieremo a farlo. #CiaoNetflix ???? pic.twitter.com/V1mNixkzzD
– Netflix Italia (@NetflixIT) 28 Settembre 2015
I prezzi annunciati sono una conferma: il piano Base, che consente una sessione di streaming per volta, è offerto a 7,99 euro al mese; il piano Standard prevede due sessioni di streaming contemporanee e alta definizione e viene proposto a 9,99 euro al mese; il piano Premium, per la visione in Ultra HD 4K, connessione permettendo, consente di fruire di quattro sessioni contemporanee e ha un prezzo di 11,99 euro.
Le partnership con Vodafone e TIM consentiranno agli utenti di approfittare di agevolazioni: l’una ha promesso la possibilità di pagare Netflix in bolletta, a prezzi promozionali in pacchetto con con le offerte di connettività in fibra ottica o 4G; l’altra, oltre al pagamento in bolletta, annuncerà la propria offerta per la fruizione di Netflix attraverso il set-top box TIMvision.
Dal 22 Ottobre non sarà più la solita storia. #CiaoNetflix ???? pic.twitter.com/z2yvx1A0Fr
– Netflix Italia (@NetflixIT) 30 Settembre 2015
L’offerta di programmi, doppiati e sottotitolati per la localizzazione in italiano, prevedono serie esclusive (ad esempio Daredevil e Jessica Jones di Marvel, Sense8 , Marco Polo ) e film originali Netflix (ed esempio Crouching Tiger , Hidden Dragon: The Green Legend , Jadotville , The Ridiculous Six e War Machine di Brad Pitt, oltre al primo lungometraggio originale Netflix, Beasts of No Nation ), ma dovrà naturalmente fare i conti con le dinamiche del mercato della distribuzione.
Gaia Bottà
leggi i 103 commenti
-
auditing fallito
Cito l' articolo:"l'auditing nel codice di TrueCrypt non ha potuto identificarli e deve quindi essere considerato come un proXXXXX di verifica imperfetto"In pratica l' audit ha fatto ca**re. Continua:"Le due vulnerabilità (critiche) scovate da Forshaw necessitano dell'acXXXXX diretto al PC, e permettono di ottenere privilegi di amministratore sul sistema abusando la gestione delle lettere assegnate alle unità di storage (CVE-2015-7358) o della gestione non corretta degli Impersonation Token (CVE-2015-7359)."Bel lavoro del c***o i signori dell' audit, bravi 'o veramente.-
Re: auditing fallito
- Scritto da: tristezza
Cito l' articolo:
"l'auditing nel codice di TrueCrypt non ha potuto
identificarli e deve quindi essere considerato
come un proXXXXX di verifica
imperfetto"
In pratica l' audit ha fatto ca**re. Continua:
"Le due vulnerabilità (critiche) scovate da
Forshaw necessitano dell'acXXXXX diretto al PC, e
permettono di ottenere privilegi di
amministratore sul sistema abusando la gestione
delle lettere assegnate alle unità di storage
(CVE-2015-7358) o della gestione non corretta
degli Impersonation Token
(CVE-2015-7359)."
Bel lavoro del c***o i signori dell' audit, bravi
'o
veramente.Ma hai letto qual'è in realtà la "criticità" delle "nuove vulnerabilità" o non riesci ad andare oltre al sottotitolo?-
Re: auditing fallito
E tu riesci a capire che un auditing come quello si è lasciato parecchie vulnerabilità non ancora venute fuori?-
Re: auditing fallito
- Scritto da: rosmarino
E tu riesci a capire che un auditing come quello
si è lasciato parecchie vulnerabilità non ancora
venute
fuori?Intanto dopo l'audit (riuscito) ha passato un altro esame SENZA alcuna vulnerabilità grave trovata (come altri hanno già fatto notare)!Per cui, più si va avanti e minore è la probabilità che vi restino bachi gravi.Va benissimo così, magari avere tutti gli altri SW altrettanto auditati e testati senza trovare bugs gravi!
-
-
-
Re: auditing fallito
L' importante è che ci sia scritto "True". -
Re: auditing fallito
Considerereo' l'audit fallito solo nel momento in cui riusciranno ad estrarre i dati senza bisogno della passphase; il programma con cui ci accedi avendo una passphrase valida e' secondario.
-
-
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: Smasher
In sostanza, adesso sappiamo che James Forshaw
non lavora per la NSA ... ma per il GCHQ! Adesso
ci sentiamo più sicuri!
:DLa "Context Information Security" per cui lavora Forshaw ha un ufficio a Cheltenham proprio nella sede principale del GCHQ... mica pizza e fichi ... quindi adesso è evidente chi sta sviluppando Veracrypt.https://it.wikipedia.org/wiki/Government_Communications_Headquartershttps://www.thebureauinvestigates.com/2015/02/27/gchq-may-be-exploiting-bank-of-england-cybersecurity-regime-for-spying-agenda-experts-warn/-
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: prova123
- Scritto da: Smasher
In sostanza, adesso sappiamo che James
Forshaw
non lavora per la NSA ... ma per il GCHQ!
Adesso
ci sentiamo più sicuri!
:D
La "Context Information Security" per cui lavora
Forshaw ha un ufficio a Cheltenham proprio nella
sede principale del GCHQ... mica pizza e fichi
... quindi adesso è evidente chi sta sviluppando
Veracrypt.
https://it.wikipedia.org/wiki/Government_Communica
https://www.thebureauinvestigates.com/2015/02/27/gSsssst! Zitto!Che poi dicono che sei paranoico! :D-
Re: Questa notizia RAFFORZA TrueCrypt.
Beh, sì, in effetti chi pensa sia possibile inserire backdoor in un software open source che chiunque può controllare un po' paranoico lo è.-
Re: Questa notizia RAFFORZA TrueCrypt.
abbiamo già visto innumerevoli casi in cui il codice open non viene verificato perchè "tanto tutti lo possono verificare". Ovviamente il sw open è incommensurabilmente meglio del closed, sia ben chiaro.-
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: prova123
abbiamo già visto innumerevoli casi in cui il
codice open non viene verificato perchè "tanto
tutti lo possono verificare". Ovviamente il sw
open è incommensurabilmente meglio del closed,
sia ben
chiaro.Infatti è per quel motivo che è indispensabile un AUDIT PUBBLICO degli open source, non basta affidarsi alla SPERANZA che qualcuno di buona volontà (e non si sa quanto competente) si sia messo lì a guardare il codice per cercarvi delle vulnerabilità, per il fatto stesso che era possibile farlo.Ma vedo che ora secondo alcuni qui non basta più neppure l'audit dell'open source!Nulla di sorprendente, di gente farlocca e/o in malafede è pieno il mondo. Soprattutto in malafede, su un argomento come questo.C'è un sacco di gente che, anche "professionalmente", ha tutto l'interesse a che non venga usato un tool crittografico inviolabile "di massa" e quindi a spargere FUD su di esso.Se qualcuno pensa ingenuamente che di tale gente non ce ne possa essere pure qui su PI, ci ripensi ... -
Re: Questa notizia RAFFORZA TrueCrypt.
Gente di cui giustappunto abbiamo l'identikit! (rotfl)[img]http://orig07.deviantart.net/84df/f/2007/067/1/3/agent_smith_in_pencil_by_iamrafsusername.jpg[/img] -
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: Smasher
- Scritto da: prova123
abbiamo già visto innumerevoli casi in cui il
codice open non viene verificato perchè
"tanto
tutti lo possono verificare". Ovviamente il
sw
open è incommensurabilmente meglio del
closed,
sia ben
chiaro.
Infatti è per quel motivo che è indispensabile un
AUDIT PUBBLICO degli open source, non basta
affidarsi alla SPERANZA che qualcuno di buona
volontà (e non si sa quanto competente) si sia
messo lì a guardare il codice per cercarvi delle
vulnerabilità, per il fatto stesso che era
possibile
farlo.
Ma vedo che ora secondo alcuni qui non basta più
neppure l'audit dell'open
source!
Nulla di sorprendente, di gente farlocca e/o in
malafede è pieno il mondo. Soprattutto in
malafede, su un argomento come
questo.
C'è un sacco di gente che, anche
"professionalmente", ha tutto l'interesse a che
non venga usato un tool crittografico inviolabile
"di massa" e quindi a spargere FUD su di
esso.
Se qualcuno pensa ingenuamente che di tale gente
non ce ne possa essere pure qui su PI, ci ripensi
...Bell' audit dimmer**
-
-
-
-
-
Re: sicuro sicuro?
L' audit di un software morto fatto su un SO morto (XP). Buona fortuna.-
Re: sicuro sicuro?
- Scritto da: NSA
L' audit di un software morto fatto su un SO
morto (XP). Buona
fortuna.- Scritto da: NSA
L' audit di un software morto fatto su un SO
morto (XP). Buona
fortuna.Se l'audit non è riuscito a trovare niente di grave neppure su un colabrodo come XP, mi sento ancora più sicuro quando monto TC sui Windows più recenti! E, del resto, il codice esaminato è lo stesso indipendentemente dalla versione di Windows.Se TrueCrypt è "morto", ogni altro tool crittografico che c'è in giro merita di essere considerato morto, sepolto e decomposto.Lo "zombie" TC resterà in giro ancora a lungo, nonostante i tentativi di XXXXrgli le gambe.Grazie per gli auguri, anche se non sono io ad averne bisogno.-
Re: sicuro sicuro?
Cosa c***o te ne fai della crittografia se hai un SO che invia tutto (cifrato per giunta) al produttore? Ma poi sei ridicolo se pensi che un audit certifichi la totale sicurezza di un software, convinzione puerile è dire poco.-
Re: sicuro sicuro?
- Scritto da: truedeath
Cosa c***o te ne fai della crittografia se hai un
SO che invia tutto (cifrato per giunta) al
produttore? Ma poi sei ridicolo se pensi che un
audit certifichi la totale sicurezza di un
software, convinzione puerile è dire
poco.Vaneggiamenti o FUD interessato?Suppongo la seconda.In quanto alla puerilità, se c'è qualcosa di meglio di un audit pubblico indipendente fatto su un open source, dimmi allora cos'è.Ti lascio dieci anni per pensarci, ripasso di qui nel 2025, visto che di tempo da perdere con certi ... non he ho.-
Re: sicuro sicuro?
- Scritto da: Smasher
- Scritto da: truedeath
Cosa c***o te ne fai della crittografia se hai
un
SO che invia tutto (cifrato per giunta) al
produttore? Ma poi sei ridicolo se pensi che un
audit certifichi la totale sicurezza di un
software, convinzione puerile è dire
poco.
Vaneggiamenti o FUD interessato?Di fatto non esistono software 100% sicuri, meno ancora se il progetto è abbandonato. Se a te sta bene per me è ok.
Suppongo la seconda.
In quanto alla puerilità, se c'è qualcosa di
meglio di un audit pubblico indipendente fatto su
un open source, dimmi allora
cos'è.Amico mio sono troppo vecchio per fidarmi di un software sviluppato da gente sconosciuta che si è data misteriosamente alla fuga, auditato quando già abbandonato, prevalentemente progettato per un SO colabrodo per giunta non più supportato, sotto una licenza non libera.Anche accettando per buono l' auditing resta pur sempre un software non più supportato.
Ti lascio dieci anni per pensarci, ripasso di qui
nel 2025, visto che di tempo da perdere con certi
... non he
ho.Vai a perdere tempo con i cadaveri a quanto pare è la cosa che ti riesce meglio. -
Re: sicuro sicuro?
- Scritto da: gravedigger
- Scritto da: Smasher
- Scritto da: truedeath
Cosa c***o te ne fai della crittografia se hai
un
SO che invia tutto (cifrato per giunta) al
produttore? Ma poi sei ridicolo se pensi che
un
audit certifichi la totale sicurezza di un
software, convinzione puerile è dire
poco.
Vaneggiamenti o FUD interessato?
Di fatto non esistono software 100% sicuri, meno
ancora se il progetto è abbandonato. Se a te sta
bene per me è
ok.
Suppongo la seconda.
In quanto alla puerilità, se c'è qualcosa di
meglio di un audit pubblico indipendente fatto
su
un open source, dimmi allora
cos'è.
Amico mio sono troppo vecchio per fidarmi di un
software sviluppato da gente sconosciuta che si è
data misteriosamente alla fuga, auditato quando
già abbandonato, prevalentemente progettato per
un SO colabrodo per giunta non più supportato,
sotto una licenza non libera.fino al giorno prima spalavano XXXXX su bitlocker, il giorno dopo "buongiorno, noi ci ritiriamo e non manterremo piu Truecrypt, consigliamo a tutti di passare a bitlocker, un ottimo strumento di cifratura".se no sai leggere tra le righe e' solo un problema tuo.personalmente (COMPLOTTO!) interpreto la cosa come segue:"ragazzi, i tizi dell'NSA ci hanno minacciato di farci la pelle, e capite da soli che il nostro XXXX e' piu' importante della vostra privacy, onde per cui leviamo le tende, ma almeno vi mettiamo una pulce nell'orecchio dicendovi di fidarvi di cio' che fino a ieri vi dicevamo essere una schifezza". -
Re: sicuro sicuro?
Qualcosa di più concreto oltre alle chiacchiere da bar? -
Re: sicuro sicuro?
- Scritto da: colmar
- Scritto da: prezzemolo
Cosa che ha fatto si che ogni osservatore che
non
fosse un beota
Una causa legale minacciata da un concorrente o
la violazione di una licenza, l'
intelligentissimo complottista winaro non la
enuncia fra le tante possibili ipotesi.
Effettivamente è troppo stupido e
sensazionalista. Per carità va bene diffidare,
però il ventaglio delle ipotesi rimane molto più
ampio della solita teoria del
complotto.
abbia capito subito che erano
stati forzati ad
abbandonarlo.
Perspicace come una cozza su uno scoglio.ROTFL!Ecco perchè c'è il detto "stupido come un linaro"! :DUna causa fatta da un concorrente? Sulla base DI CHE? Se fosse una scopiazzatura di codice l'avrebbero fatta già dieci anni fa, visto che è open source. Cervellino ...Violazione di una licenza? QUALE, visto che è tutto visibile e verificabile da dieci anni e nessuna violazione è stata denunciata, neppure nessuna denuncia contro ignoti?E, guarda caso, tutto ciò avviene proprio pochi mesi dopo che scoppia il Datagate, la gente comincia a cercare tool crittografici e TrueCrypt passa con sucXXXXX la prima fase dell'audit, candidandosi a diventare IL tool crittografico per uso privato per resistere anche alla NSA. E proprio allora, prima della seconda fase dell'audit (che fortunatamente viene poi fatta), gli sviluppatori "spontaneamente" abbandonano. Che coincidenza, eh?E abbandonano non dicendo "abbiamo problemi legali, dobbiamo chiudere" (come sarebbe nella pur incredibile ipotesi di Cervellino) ma dicendo "dato che l'abbiamo fatto su XP e che XP sta per essere abbandonato (lasciate pure perdere che TrueCrypt funzioni perfettamente da anni pure su Vista, Seven e Win8 e mai abbiamo detto che era solo per XP) e che dato che POTREBBERO esserci dei bug (non sappiamo se e quali, ma chissà mai che ...), allora abbandoniamo, vi lasciamo una del tutto inutile versione 7.2 (anzi, una che nel frattempo "chiama casa", ma non fateci caso, non preoccupatevi ...) e vi consigliamo ... il fantastico Bitlocker!". Ecco perchè c'è il detto "stupido come un linaro": perchè cìè gente che è in grado di credere perfino a questo.
-
-
-
-
-
Re: Questa notizia RAFFORZA TrueCrypt.
Ti piace? Usalo, ma non rompere i faraglioni alla gente e smettila di urlare. -
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: Smasher
Bottom line: se questa è la vulnerabilità che i
cari Spioni britannici sono riusciti ad
evidenziare, dopo il fallimento del tentativo di
stoppare TrueCrypt minacciando gli sviluppatori e
spargendo valanghe di FUD, allora possiamo dire
che TrueCrypt è riuscito a superare pure un
SECONDO AUDITo magari, visto che la fonte (gli spioni) deve far credere per forza di cose il contrario di quello che è... quando dice "ci sono solo due bug non gravi", magari significa che...
la crittografia dei dischi è
insensata comunqueintendi il disco che occupa con l'OS?-
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: hhhh
- Scritto da: Smasher
Bottom line: se questa è la vulnerabilità
che
i
cari Spioni britannici sono riusciti ad
evidenziare, dopo il fallimento del
tentativo
di
stoppare TrueCrypt minacciando gli
sviluppatori
e
spargendo valanghe di FUD, allora possiamo
dire
che TrueCrypt è riuscito a superare pure un
SECONDO AUDIT
o magari, visto che la fonte (gli spioni) deve
far credere per forza di cose il contrario di
quello che è...
quando dice "ci sono solo due bug non gravi",
magari significa
che...Veramente lui DICE che sono due bug gravi ("critici") quando operativamente NON LO SONO AFFATTO.Se abbandoni incustodito il tuo PC con montato un volume TC, che è il presupposto per sfruttare le "due vulnerabilità", QUELLA è la cosa grave, altro che preoccuparsi delle "vulnerabilità informatiche": sei tu che hai GIA' aperto come una cozza la tua privacy, perfino tua nonna ottantenne allora riesce a violartela senza essere un hacker!Ma usando queste due vulnerabilità spacciate per "critiche" sembra proprio che cerchino di indurre gli utenti a spostarsi da TrueCrypt per andare verso "nuovi" strumenti sui quali ci sono interrogativi grossi come una casa, come VeraCrypt (che ha prontamente detto "ehi, noi quelle due bruttissime vulnerabilità le abbiamo già tappate!").Tutto molto, ma molto ma MOLTO SOSPETTO.
la crittografia dei dischi è
insensata comunque
intendi il disco che occupa con l'OS?Esatto.GIà dall'inizio aveva ben poco senso usare con TrueCrypt la crittografia dell'intero disco (FDE) perchè:1) è più esposta (rispetto ai singoli volumi criptati) ad attacchi "cold boot", perchè con singoli volumi la password viene esplicitamente cancellata dalla RAM non appena li si smonta ma la cosa non è vera per la FDE.2) non è comunque possibile nascondere ad un esame della forensics la presenza di una partizione nascosta sul disco, non più di quanto sia possibile nascondere che un file pseudo-casuale su una partizione visibile può essere un possibile archivio TC. Quindi inutile cercare di far finta di non usare TrueCrypt, praticamente non si riesce a farlo in modo plausibile, neppure con la FDE, e del resto TrueCrypt non è per nulla illegale. La vera difesa è invece la plausible deniability, ovvero usare i file hidden.3) adesso inoltre, dopo le pesantissime variazioni fatte ai meccanismi di boot con gli ultimi BIOS UEFI, non c'è da fidarsi di una feature, la FDE di TrueCrypt, creata al tempo dei BIOS "classici". Non c'è da fidarsi per principio, anche se la FDE apparisse ancora funzionante: troppa differenza nella tecnologia tra ante-UEFI e post-UEFI.Ma il bello è che non serve affatto usare la FDE, basta usare la CRITTOGRAFIA DEI SINGOLI VOLUMI (che è anche molto meglio gestibile, per backup e spostamento degli archivi). E questa funziona bene anche negli ultimi Windows (in Linux non lo so, dato che Linux ha solitamente e scioccamente snobbato TC non ci metto la mano sul fuoco che funzioni bene anche nelle ultime versioni delle distro).-
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: Smasher
Veramente lui DICE che sono due bug gravi
("critici") quando operativamente NON LO SONO
AFFATTO.sì vabbè, lui dice che sono gravi, ma tutti sanno che non sono gravi (anche senza essere esperti lo si evince), quindi potrebbe fare il triplo gioco:"dico che sono gravi per fargli rispondere subito che non sono gravi (e farli sentire furbi), così la gente pensa che è sicuro e che stavo cercando di non fare usare il prodotto con le mie affermazioni"Stiamo parlando di spioni/bugiardi di professione, quanto ho detto è assolutamente possibile.Ad ogni modo finché non mi <b
indicano </b
un bug grave per me è a posto.
Se abbandoni incustodito il tuo PC con montato un
volume TC, che è il presupposto per sfruttare le
"due vulnerabilità", QUELLA è la cosa gravebeh, se hai un server in una sala macchine gestita da terzi la cosa può diventare rilevante.
in Linux non lo
so, dato che Linux ha solitamente e scioccamente
snobbato TC Beh, loro (quelli di TC) non hanno snobbato Linux: funziona egregiamente sia in lettura che in scrittura, sia in versione 32 bit che 64 bit.Un mio collega mi ha segnalato un problema nel creare un disco nuovo su una partizione molto grande: rimaneva in hang e non procedeva alla creazione del disco... alla fine ha risolto creandola sotto Windows.-
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: hhhh
- Scritto da: Smasher
Veramente lui DICE che sono due bug gravi
("critici") quando operativamente NON LO SONO
AFFATTO.
sì vabbè, lui dice che sono gravi, ma tutti sanno
che non sono gravi (anche senza essere esperti lo
si evince), quindi potrebbe fare il triplo
gioco:
"dico che sono gravi per fargli rispondere subito
che non sono gravi (e farli sentire furbi), così
la gente pensa che è sicuro e che stavo cercando
di non fare usare il prodotto con le mie
affermazioni"
Stiamo parlando di spioni/bugiardi di
professione, quanto ho detto è assolutamente
possibile.Certo, potrebbero fare addirittura il quadruplo o quintuplo gioco, però ...Nei fatti io avverto una grande voglia di spingere la gente a NON usarlo o a passare a VeraCrypt.Cosa che mi fa drizzare le orecchie.
Beh, loro (quelli di TC) non hanno snobbato
Linux: funziona egregiamente sia in lettura che
in scrittura, sia in versione 32 bit che 64
bit.
Un mio collega mi ha segnalato un problema nel
creare un disco nuovo su una partizione molto
grande: rimaneva in hang e non procedeva alla
creazione del disco... alla fine ha risolto
creandola sotto
Windows.E' ottimo che funzioni bene anche sui Linux recenti (anche se non lo meriterebbero ...).-
Re: Questa notizia RAFFORZA TrueCrypt.
100% sicuro non è mai esistito, detto questo da buon fanboy non hai focalizzato la questione centrale: fosse veramente a prova di spionaggio, quanto tempo durerà prima che microsoft rompa la reteocompatibilità? Dopotutto sono c**o e camicia com NSA, volendo basterebbe la solita telefonatina come è sempre accaduto.Per assurdo, fosse veramente a prova di agenzia a tre lettere basterebbe un minuto ai signori di Redmond per farlo fuori... e invece non lo fanno... capisci a me.Cioè ti dicono "aggiorna a windoze 10", "compra papple", "truecrypt è sicuro", "linux è un cancro" e cazz*** del genere. Ti fidi? Male. -
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: chrono
100% sicuro non è mai esistito, detto questo da
buon fanboy non hai focalizzato la questione
centrale: fosse veramente a prova di spionaggio,
quanto tempo durerà prima che microsoft rompa la
reteocompatibilità? Dopotutto sono c**o e camicia
com NSA, volendo basterebbe la solita
telefonatina come è sempre
accaduto.Divertente fare morphing, vero? ;)
Per assurdo, fosse veramente a prova di agenzia a
tre lettere basterebbe un minuto ai signori di
Redmond per farlo fuori... e invece non lo
fanno... capisci a
me.Si, perchè MS (soprattutto dopo il flop di Win8) ha interesse a schifare ancor di più gli utenti dimostrandosi prona ad NSA ed allontanandoli da Windows, vero?E oltretutto dopo Snowden e lo scandalo NSA, vero?Li ripaga la NSA,vero?Ah, per inciso: se la MS fosse così pappa e ciccia con la NSA, come mai non ha messo delle backdoor in Windows ma si è limitata a ritardare per qualche settimana alcune patch?Ma che testa, e pensare che ci credi veramente alla fuffa che spari ...
Cioè ti dicono "aggiorna a windoze 10", "compra
papple", "truecrypt è sicuro", "linux è un
cancro" e cazz*** del genere. Ti fidi?
Male.Se non è sicuro TC, l'UNICO OPEN SOURCE AUDITATO, non è sicuro NULLA.Genietto ... -
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: Smasher
- Scritto da: chrono
100% sicuro non è mai esistito, detto questo da
buon fanboy non hai focalizzato la questione
centrale: fosse veramente a prova di spionaggio,
quanto tempo durerà prima che microsoft rompa la
reteocompatibilità? Dopotutto sono c**o e
camicia
com NSA, volendo basterebbe la solita
telefonatina come è sempre
accaduto.
Divertente fare morphing, vero? ;)
Per assurdo, fosse veramente a prova di agenzia
a
tre lettere basterebbe un minuto ai signori di
Redmond per farlo fuori... e invece non lo
fanno... capisci a
me.
Si, perchè MS (soprattutto dopo il flop di Win8)
ha interesse a schifare ancor di più gli utenti
dimostrandosi prona ad NSA ed allontanandoli da
Windows,
vero?Ma smettila, quanti winari usano la crittografia dei volumi, ma per piacere. Non sanno nemmeno cos' è un volume. Truecrypt salva microsoft dal fallimento hahahahah.
E oltretutto dopo Snowden e lo scandalo NSA, vero?
Li ripaga la NSA,vero?
Ah, per inciso: se la MS fosse così pappa e
ciccia con la NSA, come mai non ha messo delle
backdoor in Windows ma si è limitata a ritardare
per qualche settimana alcune
patch?Chi me lo garantisce TU??? HAHAHAHAHA
Ma che testa, e pensare che ci credi veramente
alla fuffa che spari
...La fuffa sta nel tuo SO.
Cioè ti dicono "aggiorna a windoze 10", "compra
papple", "truecrypt è sicuro", "linux è un
cancro" e cazz*** del genere. Ti fidi?
Male.
Se non è sicuro TC, l'UNICO OPEN SOURCE AUDITATO,
non è sicuro
NULLA.
Genietto ...Auditato alla razzo di cinofilo. -
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: chrono
Per assurdo, fosse veramente a prova di agenzia a
tre lettere basterebbe un minuto ai signori di
Redmond per farlo fuori... e invece non lo
fanno... capisci a
me.
Cioè ti dicono "aggiorna a windoze 10", "compra
papple", "truecrypt è sicuro", "linux è un
cancro" e cazz*** del genere. Ti fidi?
Male.Non pensi come una spia ;)Per gli spioni, il miglior risultato possibile è far usare al 'nemico' qualcosa di compromesso PUR convincendolo che NON è compromesso, in modo da poterlo spiare quando è convinto di parlare al sicuro, ovvero quando dice/fa le cose più importanti.Questo lo si ottiene convincendo in modo diretto (come fa il tizio qui sopra) o indiretto che un determinato tool è sicuro quando invece non lo è.Ora, supponiamo che TC sia davvero sicuro.Tu dici: "allora gli spioni di stato chiedono a MS di non farlo andare più".No, non è logico (non offenderti, sul serio): così facendo si otterrebbe meno di metà del risultato: la gente passerebbe ad altro (non necessariamente sicuro/insicuro) e si sarebbe da capo.Per ottenere il miglior risultato possibile andrebbe chiesto a MS di monitorare il proXXXXX di TC a basso livello e intercettare il momento in cui le chiavi sono in chiaro (o in cui si digita la password, ma quella l'utente la può cambiare, mentre le chiavi no, gli toccherebbe rifare il disco per intero per come funziona TC).Poi con le solite chiamate a casa il dato viene trasmesso ai server di MS che lo gira agli spioni.Questa sarebbe la strategia corretta.Il problema di questa strategia è che se MS viene scoperta non può dire "era un bug" perché è una procedure ben definita e scritta ad hoc.Quindi perderebbe la possibilità di esportare in tutti i paesi che hanno le palle (russia/cina, ...) e a nulla servirebbe dire "ma siamo stati obbligati". -
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: hhhh
- Scritto da: chrono
Per assurdo, fosse veramente a prova di
agenzia
a
tre lettere basterebbe un minuto ai signori
di
Redmond per farlo fuori... e invece non lo
fanno... capisci a
me.
Cioè ti dicono "aggiorna a windoze 10",
"compra
papple", "truecrypt è sicuro", "linux è un
cancro" e cazz*** del genere. Ti fidi?
Male.
Non pensi come una spia ;)
Per gli spioni, il miglior risultato possibile è
far usare al 'nemico' qualcosa di compromesso PUR
convincendolo che NON è compromesso, in modo da
poterlo spiare quando è convinto di parlare al
sicuro, ovvero quando dice/fa le cose più
importanti.
Questo lo si ottiene convincendo in modo diretto
(come fa il tizio qui sopra) o indiretto che un
determinato tool è sicuro quando invece non lo
è.
Ora, supponiamo che TC sia davvero sicuro.
Tu dici: "allora gli spioni di stato chiedono a
MS di non farlo andare
più".
No, non è logico (non offenderti, sul serio):
così facendo si otterrebbe meno di metà del
risultato: la gente passerebbe ad altro (non
necessariamente sicuro/insicuro) e si sarebbe da
capo.
Per ottenere il miglior risultato possibile
andrebbe chiesto a MS di monitorare il proXXXXX
di TC a basso livello e intercettare il momento
in cui le chiavi sono in chiaro (o in cui si
digita la password, ma quella l'utente la può
cambiare, mentre le chiavi no, gli toccherebbe
rifare il disco per intero per come funziona
TC).
Poi con le solite chiamate a casa il dato viene
trasmesso ai server di MS che lo gira agli
spioni.
Questa sarebbe la strategia corretta.
Il problema di questa strategia è che se MS viene
scoperta non può dire "era un bug" perché è una
procedure ben definita e scritta ad
hoc.
Quindi perderebbe la possibilità di esportare in
tutti i paesi che hanno le palle (russia/cina,
...) e a nulla servirebbe dire "ma siamo stati
obbligati".Spiegazione ineccepibile.E la parte finale spiega pure perchè è del tutto improbabile (checchè ne pensino parecchi scioccherelli) che MS metta backdoor o cose veramente violanti la privacy in Windows, dato che se scoperta (e le "gole profonde" esistono, vedi Snowden) si giocherebbe una bella fetta del mercato mondiale.Quindi al massimo si limiteranno a fare come si sa che hanno già fatto, ovvero ritardare alcune patch a vantaggio della NSA. Ma diventa per loro sempre più pericoloso fare anche "solo" questo, che è già parecchio grave e giustamente criticato.Altro discorso è usare Windows 10 per "profilazione commerciale", cosa fastidiosa ma in gran parte gestibile (nessuno obbliga ad usare Cortana o ad usare un account Microsoft in cloud o a fare spesa sullo Store), altra ancora è imporre gli update senza che l'utente possa stopparli (a me da moltissimo fastidio non poter decidere io).In nessuno di questi casi c'è alcun indizio che MS venga a sfruculiare i dati privati sul disco, cosa che aprirebbe a class action a non finire, altro che Volkswagen.Il che non toglie che MS, con queste "novità" (malissimo spiegate) di Windows 10 abbia dato la stura a infiniti sospetti (e una volta tanto è più colpa di MS che dei paranoici), dimostrando di non aver appreso appieno le lezioni di Windows 8 (tipo: "sui PC alla gente delle 'app' frega ben poco, perchè non è uno smartphone" e "molti di coloro che hanno un PC vorrebbero poterlo gestire loro e non farlo aggiornare da remoto come fosse uno smartphone, appunto perchè non lo è").Pare che gli utenti corporate li ascolteranno, resta da vedere come tratteranno gli utenti privati.Spero che in MS rinsaviscano definitivamente. -
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: chrono
100% sicuro non è mai esistito, detto questo da
buon fanboy non hai focalizzato la questione
centrale: fosse veramente a prova di spionaggio,
quanto tempo durerà prima che microsoft rompa la
reteocompatibilità? Dopotutto sono c**o e camicia
com NSA, volendo basterebbe la solita
telefonatina come è sempre
accaduto.
Per assurdo, fosse veramente a prova di agenzia a
tre lettere basterebbe un minuto ai signori di
Redmond per farlo fuori... e invece non lo
fanno... capisci a
me.
Cioè ti dicono "aggiorna a windoze 10", "compra
papple", "truecrypt è sicuro", "linux è un
cancro" e cazz*** del genere. Ti fidi?
Male.MS deve stare MOLTO attenta a quello che fa con NSA, dopo lo scandalo innescato da Snowden.Tu la fai troppo facile. Se sgarrano sulla privacy e vengono scoperti, adesso rischiano azioni legali dagli Stati, azioni legali dai privati e perdita di quote di mercato (di cui non hanno proprio bisogno).
-
-
-
Re: Questa notizia RAFFORZA TrueCrypt.
E questa funziona
bene anche negli ultimi Windows (in Linux non lo
so, dato che Linux ha solitamente e scioccamente
snobbato TC non ci metto la mano sul fuoco che
funzioni bene anche nelle ultime versioni delle
distro).TC 7.1a command line funziona da dio su linux (debian 7.9 e 8.2).
-
-
-
Re: Questa notizia RAFFORZA TrueCrypt.
Che pizza di post... truecrypt è morto, pace all' anima sua.-
Re: Questa notizia RAFFORZA TrueCrypt.
- Scritto da: Yawn
Che pizza di post... truecrypt è morto, pace all'
anima
sua.Più che altro, pace all'anima tua se usi oggi qualsiasi altro tool ...
-
-
Re: Articolo interessante del Telegraph
- Scritto da: Smasher
Eccellente segnalazione.
Ma se neppure un audit probebilmente OSTILE
riesce a trovare altro che vulnerabilità poco
gravi e operativamente irrilevanti come queste,
allora TrueCrypt pare ancora più affidabile di
quanto risultasse dall'audit concluso in
aprile!Tranquillo che quando qualcuno troverà una vulnerabilità vera in TC, si guarderà bene dal divulgarla: la venderà ai soliti spioni (che la pagherebbero oro). Questi ultimi a quel punto metteranno in moto la solita macchina conta-balle per convincere la gente che ora TC è sicurissimo. -
ma secondo voi
cosa si e' fumato prova123? ne vorrei un po' anch'io :D scrive e si risponde da solo, in un guazzabuglio di verita', FUD, distorsioni e XXXXXXX ... boh :) magari faro' un post-repulisti...-
Re: ma secondo voi
prova123 non è tuo cuggino? Siete molto simili voi due. -
Re: ma secondo voi
- Scritto da: bubba
cosa si e' fumato prova123? ne vorrei un po'
anch'io :D
scrive e si risponde da solo, in un guazzabuglio
di verita', FUD, distorsioni e XXXXXXX ... boh :)
magari faro' un
post-repulisti...vorrei ricordarti che un fanboy dello Spectrum.questo dovrebbe spiegare tutto :D(ora m'azzanna con la litania del proXXXXXre più veloce :'( )-
Re: ma secondo voi
- Scritto da: hhhh
- Scritto da: bubba
cosa si e' fumato prova123? ne vorrei un po'
anch'io :D
scrive e si risponde da solo, in un
guazzabuglio
di verita', FUD, distorsioni e XXXXXXX ...
boh
:)
magari faro' un
post-repulisti...
vorrei ricordarti che un fanboy dello Spectrum.
questo dovrebbe spiegare tutto :D:D si spiega non poco in effetti.. ... ma cmq non capisco tutto questo impegno su "Gombloddo dell'ordine Mondiale contro truecrypt" & co... quando la notizia e' altra.. e le cose da raccontare/su cui farsi domande vanno in altre direzioni. Beh, vedremo. Magari stasera quando il provolo si sara' stancato :) -
Re: ma secondo voi
- Scritto da: hhhh
(ora m'azzanna con la litania del proXXXXXre più
veloce :'(
)Il proXXXXXre più veloce è solo la punta dell'iceberg ... :D-
Re: ma secondo voi
- Scritto da: prova123
Il proXXXXXre più veloce è solo la punta
dell'iceberg ...
:DLa palette di colori e la libertà nell'usarli sullo schermo è il punto di forza!p.s.non hai nemmeno il cuoricino dedicato al tuo sistema, come puoi competere? (c64)-
Re: ma secondo voi
- Scritto da: hhhh
La palette di colori e la libertà nell'usarli
sullo schermo è il punto di
forza!
Ed era qui che ti aspettavo ... :Dhttp://www.archeologiainformatica.it/2014/03/06/retroprogrammers-corner-zx-spectrum-nirvana-addio-color-clash-benvenuto-multicolor-e-gira-anche-su-un-vero-zx-spectrum/ -
Re: ma secondo voi
è un motore open che gioca con il pennello elettronico e può cambiare gli attributi ogni 2 scanlines. I sorgenti sono in assembler, bisogna solo avere voglia di mettersi lì e studiarsi il codice che non è lunghissimo. Ho dato una occhiata veloce (nirvana.asm) ed ho visto che non fa uso di istruzioni complesse di spostamenti di blocchi di memoria (ldir, lddr & co.). Per comodità si potrebbe eseguire la demo con un emulatore ed analizzare il comportamento con il debugger integrato.Una gran furbata tecnica.http://www.retrogamesmachine.com/2013/12/06/ciao-ciao-colour-clash-ora-ce-nirvana/?doing_wp_cron=1443646945.3750519752502441406250 -
Re: ma secondo voi
anche col vdc 8563 negli "ultimi" anni ci hanno dato giu' :) .... certo un uscita RGBI(praticam CGA) non aiuta (essendo i monitor ormai rarita'.. ma hackando hanno +- sistemato anche quello.. il bit intensity praticamente)...hacking sul vdc era gia stato fatto ai bei tempi... ma molto oltre Basic8 (interessantissimo eh) non si era andati... -
Re: ma secondo voi
Forse non si era andati oltre perchè il chip aveva problemi di timing per cui non potevano scendere oltre quelle tempistiche. :) -
Re: ma secondo voi
- Scritto da: panda rossa
- Scritto da: prova123
Lo facevo anche io, ma lavorando solo sul border.
Arrivare a farlo anche con gli attributi e'
assolutamente da
paura.
Con un mio amico avevamo fatto una intro delle nostre cassette con le scritte scorrevoli sul bordo superiore dello schermo. i caratteri erano composti da rettangoli, ma il testo erano normali stringhe alfanumeriche.
Mi sorprende che funzioni con l'emulatore: forse
quello che ha usato nel video e' un emulatore
veramente ben fatto, perche' andare ad emulare
anche il tempo di scansione del pennello e
allinearlo all'interrupt, vuol dire aver fatto un
emulatore fatto
bene.
Io l'ho provato con Fuse open source per molte piattaforme e funziona benissimo. Non appena ho tempo provo la demo con ZXDS l'emulatore spectrum per nintendo DS.
Ho dato una
occhiata veloce (nirvana.asm) ed ho visto
che
non
fa uso di istruzioni complesse di
spostamenti
di
blocchi di memoria (ldir, lddr & co.).
Ma infatti spostera solo un byte alla volta
laddove
serve.
Per
comodità si potrebbe eseguire la demo con un
emulatore ed analizzare il comportamento con
il
debugger
integrato.
Perderesti l'effetto. Quella roba funziona solo
se gira in
realtime.
In single step, vedresti solo uno dei due colori.
Si è vero è una funzionalità dinamica, ma permette di vedere come fa fisicamente.
Una gran furbata tecnica.
Se non avessi visto non ci avrei creduto.
Ma com'e' che siamo finiti a parlare di
archeologia in un articolo di
truecrypt?
Perche' PI non ci fa un bell'articolo su questo
NIRVANA?Sarebbe bello anche se PI mettesse l'icona col cuoricino (zxspectrum) :) -
Re: ma secondo voi
PS: Ho fatto girare la demo con ZXDS l'emulatore spectrum per nintendo DS ... funziona perfettamente! :) -
Re: ma secondo voi
Lanci l'emulatore, in alto a sinistra premi sulla icona "IO", poi premi "Load File" e ad questo punto si apre il suo "esplora risorse". Con le freccette ed il tasto A selezioni il file da lanciare.Fa tutto da solo, non è necessario digitare LOAD "". -
Re: ma secondo voi
aaaah ... devi avere una scheda per homebrew come ad esempio la ezflash (anche se vecchia va bene lo stesso) e l'emulatore ZXDS. Il file nirvana.tap bisogna metterlo sulla sdcard. Lo "esplora risorse" è dell'emulatore ZXDS, non del DS. -
Re: ma secondo voi
non sdcard, ma la microsd della scheda homebrew (dove si mette l'emulatore spectrum)
-
-
-
-
-
dm-crypt/LUKS e buonanotte popolo
https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.mdLa licenza truecrypt mi ha sempre tenuto lontano dal loro software:https://en.wikipedia.org/wiki/TrueCrypt#License_and_source_modeldiffidenza ampiamete ripagata.-
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: tangente
https://gitlab.com/cryptsetup/cryptsetup/blob/mast
La licenza truecrypt mi ha sempre tenuto lontano
dal loro
software:
https://en.wikipedia.org/wiki/TrueCrypt#License_an
diffidenza ampiamete ripagata.Mi chiedevo quando sarebbe apparso il primo DISINFORMATORE.Eccolo qui.La licenza di TrueCrypt non ha e non ha mai avuto nulla a che fare con la sua robustezza crittografica, ha avuto (e ha quanto ha tuttora) a che fare solo con la stupidità di una parte della "comunità Linux", che per sciocchi motivi di "purezza di licenza" si è privata (e a quanto pare vuole continuare a privarsi!) del miglior strumento crittografico apparso negli ultimi decenni (ancor migliore dopo l'audit che ha superato), insistendo ad andare con cose come LUKS non solo mai auditate ma pure del tutto prive della feature più importante dopo la robustezza dell'algoritmo: la plausible deniability, ovvero i volumi hidden.Contenti loro, resta solo da dire loro: auguri! :D-
Re: dm-crypt/LUKS e buonanotte popolo
Auguri a voi che usate un cadavere.-
Re: dm-crypt/LUKS e buonanotte popolo
Infatti, cluetrip + windoze prorpio 'na bella accoppiata.
-
-
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: Smasher
- Scritto da: tangente
https://gitlab.com/cryptsetup/cryptsetup/blob/mast
La licenza truecrypt mi ha sempre tenuto lontano
dal loro
software:
https://en.wikipedia.org/wiki/TrueCrypt#License_an
diffidenza ampiamete ripagata.
Mi chiedevo quando sarebbe apparso il primo
DISINFORMATORE.
Eccolo qui.
La licenza di TrueCrypt non ha e non ha mai avuto
nulla a che fare con la sua robustezza
crittografica, ha avuto (e ha quanto ha tuttora)
a che fare solo con la stupidità di una parte
della "comunità Linux", che per sciocchi motivi
di "purezza di licenza" si è privata (e a quanto
pare vuole continuare a privarsi!) del miglior
strumento crittografico apparso negli ultimi
decenni (ancor migliore dopo l'audit che ha
superato), insistendo ad andare con cose come
LUKS non solo mai auditate ma pure del tutto
prive della feature più importante dopo la
robustezza dell'algoritmo: la plausible
deniability, ovvero i volumi
hidden.Hidden un par de °°https://www.schneier.com/paper-truecrypt-dfs.htmlhttps://www.schneier.com/paper-truecrypt-dfs.pdfLo so che è bello giocare all' ispettore gadget, ma le cose sono un po' diverse nel mondo degli adulti.
Contenti loro, resta solo da dire loro: auguri! :D-
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: cifrario
https://www.schneier.com/paper-truecrypt-dfs.htmlche ovvietà... -
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: cifrario
Hidden un par de °°
https://www.schneier.com/paper-truecrypt-dfs.html
https://www.schneier.com/paper-truecrypt-dfs.pdf
Lo so che è bello giocare all' ispettore gadget,
ma le cose sono un po' diverse nel mondo degli
adulti.LOL!Questo DISINFORMATORE (o magari è lo stesso di prima in morphing) cita nel 2015 (DUEMILAQUINDICI) un paper DEL 2008 (DUEMILAOTTO!), sulla versione 5.1a (CINQUE PUNTO UNO "A", ADESSO SIAMO ALLA SETTE PUNTO UNO "A")!E chiunque conosca il percorso di sviluppo di TrueCrypt sa che quella vulnerabilità è stata RISOLTA già dalla versione 6 (SEI!).Nice try ... ;)-
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: Smasher
E chiunque conosca il percorso di sviluppo di
TrueCrypt sa che quella vulnerabilità è stata
RISOLTA già dalla versione 6
(SEI!).Il fatto che sull'OS ospite rimangano ovunque tracce del file system hidden non è risolvibile in alcun modo da TC stesso.Ma non è nemmeno un bug di TC per inciso, è così e basta per forza di cose (gli OS e i programmi installati loggano di tutto)... se uno vuole un volume davvero hidden prima di montarlo deve staccare gli altri HD ed usare una live per bootare.. altro modo non c'è (no, nemmeno la macchina virtuale, visto che mappa tutto e logga tutto) -
Re: dm-crypt/LUKS e buonanotte popolo
E' un fanboy inutile raziocinare. -
Re: dm-crypt/LUKS e buonanotte popolo
E con i moderni filesystems e i dischi SSD tamponare i leaks è ancora più difficile. -
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: hhhh
- Scritto da: Smasher
E chiunque conosca il percorso di sviluppo di
TrueCrypt sa che quella vulnerabilità è stata
RISOLTA già dalla versione 6
(SEI!).
Il fatto che sull'OS ospite rimangano ovunque
tracce del file system hidden non è risolvibile
in alcun modo da TC
stesso.
Ma non è nemmeno un bug di TC per inciso, è così
e basta per forza di cose (gli OS e i programmi
installati loggano di tutto)... se uno vuole un
volume davvero hidden prima di montarlo deve
staccare gli altri HD ed usare una live per
bootare.. altro modo non c'è (no, nemmeno la
macchina virtuale, visto che mappa tutto e logga
tutto)Ehm ... ci sono diverse cose da dire:1) E' vero, è una caratteristica non tanto di TC quanto degli OS, anche se non si risolve nel modo che tu dici (poi ci arrivo). Questo è comunque quanto scriveva Schneier già NEL 2008, nel documento citato, dopo la presentazione della versione 6.0: "TrueCrypt version 6.0 was released in July 2008. We have not analyzed version 6.0, but observe that TRUECRYPT V6.0 DOES TAKE NEW STEPS TO IMPROVE TRUECRYPTS DENIABILITY PROPERTIES (e.g., via the creation of deniable operating systems, which we also RECOMMEND in Section 5)". Nei fatti, Schneier non è mai tornato addosso a TC rimproverandogli delle carenze.2) E infatti questo è quanto scrive NEL 2015 Schneier commentando l'esito dell'audit: "'That doesn't mean Truecrypt is perfect. The auditors did find a few glitches and some incautious programming -- leading to a couple of issues that could, in the right circumstances, cause Truecrypt to give less assurance than we'd like it to'. NOTHING THAT WOULD MAKE ME NOT USE THE PROGRAM, THOUGH." ( https://www.schneier.com/blog/archives/2015/04/truecrypt_secur.html )Questo per la brillante idea di citare un vecchissimo studio di Schneier sui "bug di TrueCrypt" allo scopo di denigrare quel tool ...Vengo alla questione di "nascondere l'uso di un volume hidden". E' una falsa questione, per come è messa.Ogni SO su disco loggherà sempre, più o meno, le operazioni fatte. Una LiveCD senza hard disk collegati al PC non può loggare, è vero, ma è decisamente "overkill" e soprattutto è scomoda ed inutile, ai fini pratici. C'è da dire innanzitutto che TC, almeno, per default non logga sulle operazioni di montaggio volumi che fa, dato che per default è attivato "never save history" (ed è da lasciare così!). Se io apro un archivio TC che sta in C:docsfile1.docx (finto file Word, in realtà TC), in Windows nelle Shellbags resta l'acXXXXX alla directory C:docs, neanche al file file1.docx. Mentre da TC non resta nulla di loggato su file1.docx, men che meno che è stato aperto nel volume hidden. Ma non neppure questo è importantissimo, non è fondamentale che si nascondano i file di TC (a patto che si usino i non rintracciabili volumi hidden, fingendo di usare gli outer!).Ora il volume hidden viene montato come F: ed usato e nelle Shellbags ci finiscono eventuali riferimenti alle directory del disco F:. Chiaramente, se uno usa un programma che va su un archivio di quel disco questo loggherà tanto quanto se andasse su un normale disco C: o D:. Nomi degli ultimi file usati, thumbnails, cose che poi restano negli swap file ecc. E questo è inaccettabile perchè sono tracce significative delle operazioni fatte.Come fare ad evitare questa situazione disdicevole? Usando una MACCHINA VIRTUALE CRITTOGRAFATA. Oh, yes.Se io ho una macchina virtuale CONTENUTA in un archivio hidden TrueCrypt le uniche tracce che rimarranno nel SO operativo ospite saranno il disco e la directory del lancio della VM (es.: F:VM) e, se il VM Manager logga, magari anche il preciso file di attivazione della VM (es.: F:VMvm1.vmx).Resta cioè SOLO la traccia che dice che ho lanciato una VM di nome vm1 da una directory sul disco F:. Dopo di che IL BUIO, perchè si può DISATTIVARE IL LOG DELLA VM (con VMWare Workstation è facile, credo meno se si usa la molto meno professionale Virtualbox) e DISATTIVARE OGNI FILE DI SWAP (in Windows è facilissimo, Linux forse è più complicato da gestire), basta avere quegli 8 GB di RAM che oggi stanno diventando la base minima per ogni PC.A questo punto, OGNI ATTIVITA' che verrà fatta NELLA VM resta nel file hidden, quindi CRITTOGRAFATA all'origine.Nulla finisce in chiaro sul disco del PC e non devo neppure preoccuparmi di cache e swap in chiaro.Sul SO ospite resta al massimo la traccia minimale e di per sè non significativa dell'attivazione della VM su un dato disco (e nessuna operazione fatta entro la VM). Se mi ricordo di usare, dopo, un tool come Shellbag Analyzer + Cleaner, non resta neppure questa traccia.Ma, se non la cancello, è grave far sapere che ho lanciato una VM da un disco F:? E perchè dovrebbe essere grave? Posso aver inserito un disco esterno ed averlo montato come F: e su questa c'era una VM. E dov'è ora questa VM? Sorry, l'ho cancellata, era una VM di prova e non mi serviva più. Non trovate tracce della cancellazione? Mah, io ogni tanto faccio pulizia con programmi di cleaning, sarà per quello ...E se poi si usa anche USBOblivion, che cancella le tracce dei dispositivi USB inseriti (utilissimo anche quando Windows si incasina nell'assegnazione delle lettere ai dischi esterni!), si rende ancora meno ricostruibile ciò che è sucXXXXX.La voglio vedere la forensics arrabattarsi per dimostrare che ho lanciato una VM da un posto ... che non si riesce a dimostrare qual'era! E senza avere la benchè minima traccia rilevabile di COSA ho fatto DENTRO a quella VM!E fino a quando non diverrà reato il semplice lanciare una VM e poi non renderla disponibile a richiesta, ogni spione si può tranquillamente attaccare al tram.Almeno fino a quando non diverremo una dittatura. -
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: Smasher
La voglio vedere la forensics arrabattarsi per
dimostrare che ho lanciato una VM da un posto ...
che non si riesce a dimostrare qual'era! E senza
avere la benchè minima traccia rilevabile di COSA
ho fatto DENTRO a quella
VM!
E fino a quando non diverrà reato il semplice
lanciare una VM e poi non renderla disponibile a
richiesta, ogni spione si può tranquillamente
attaccare al
tram.
Almeno fino a quando non diverremo una dittatura.Anzi, adesso che ci penso: se si usa una VM criptata entro una Live USB, fatta partire con uno obe-time boot e impostata in modo da non vedere neppure il disco del PC ospite, sullo stesso PC ospite non rimane proprio NULLA, neanche la traccia dell'attivazione della VM nè dell'uso della Live USB stesa!Per trovare una traccia (comunque non significativa, come detto sopra) dovrebbero prima trovare la chiavetta, ma una chiavetta USB la si nasconde facilmente. -
Re: dm-crypt/LUKS e buonanotte popolo
Ah, adesso ci arrampichiamo sugli specchi eh? Prima non erano un problema i leaks, adesso invece c' è montare macchine virtuali e ca**te varie. HAHAHAHA siete uno spasso voi fanboy. -
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: fossa biologica
Ah, adesso ci arrampichiamo sugli specchi eh?
Prima non erano un problema i leaks, adesso
invece c' è montare macchine virtuali e ca**te
varie. HAHAHAHA siete uno spasso voi
fanboy.Pensavi che non essere beccabile dalle agenzie di spionaggio internazionali fosse una cosa facile da 2 minuti ? -
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: fossa biologica
Ah, adesso ci arrampichiamo sugli specchi eh?
Prima non erano un problema i leaks, adesso
invece c' è montare macchine virtualiPeraltro ha scritto due km di messaggio ma quello che ha detto non è vero: certo, la macchina ospitante non vede il file system hidden della macchina virtuale, ma ci sono 1) i log dell'OS per l'unità mappata (nome, numero di serie, ultimo utilizzo, ... )... in fase di analisi la trovano e ti chiedono dov'è il disco (o in quale c'è l'hidden service). Poi puoi chiamare in causa la solita innocenza fino a prova contraria, ma qui si parlava di deniability e con questi log sfuma: non puoi negare che c'era un altro volume.2) il programma che fa girare la VM (qualunque esso sia) a sua volta logga (e pure tantissimo) e lo fa sull'OS ospitante in svariati posti.3) altra roba che non ho voglia di raccontareNon ci sono ca**i, se vuoi la deniability devi bootare senza HD, fine. -
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: Smasher
A differenza di ciò che scrivi, il PC ospite
"VEDE" il file hidden nel momento in cui è
montato (e l'ho scritto con tanto di esempi),
altrimenti non servirebbe a
nulla!Parlavo dell'ospitante (ospite ed ospitante purtroppo in italiano hanno in certi casi lo stresso significato)
Ma nel momento in cui ciò che c'è in quel file
hidden altro non è che una VM (oltre
eventualmente ad altri archivi non privati e non
critici), ciò è
irrilevante.
Ovviamente, NON vede il file system interno della
VM e QUESTO fa tutta la differenza del
mondo.è quello che ho scritto: l'ospitante (suona male, ma per evitare confusione uso questo termine) non vede il file system, ma per forza di cose deve mappare il device, visto che è solo l'ospitante ad avere acXXXXX al ferro.E questo viene loggato.
Il fatto di aver lanciato una VM da un disco F:
non solo non è un reato ma non è neppure un reato
aver montato una unità con F: e non ricordarsi
quale unità eraNon ho scritto che è reato. Ho scritto che perdi la plausible deniability.Non è più plausibile che uno che fa partire una macchina virtuale da un volume TC e che poi monta un device che non si trova, NON stia nascondendo qualcosa. ra partirai con la solita solfa che blablabla non vai a proXXXXX e blablabla ancora. Non mi interessa, non è quello che ho detto. <b
Se hai a che fare con malavitosi o con governi 'poco gentili', finisci male.E l'obiettivo della plausible deniability è proprio non finire male in questo scenario. Nasce per quello lo hanno scritto gli autori stessi!Quindi fallisce </b
.
comunque se lo si vuole USBOblivion cancella
tutte le informazioni, così come ci sono cleaner
(tipo Shellbags Analyzer and Cleaner) che
cancellano le info sulle directory accedute.una cosa è fare wipe di un file, un'altra è fare wipe di una parte del registro o di un file di log del sistema o dei metadati: è praticamente impossibile.
Questo almeno su Windows, mentre Linux è un
sistema che logga parecchio e forse (sorpresa!)
causa almeno in questo più problemi di privacy
del famigerato
Winzozz.forse dimentichi che linux puoi configurarlo avendo la certezza che non logghi, mentre Winzozz no perché non hai alcun controllo a riguardo?
Vedi anche quelli che non usano Tor perchè "tanto
non c'è garanzia che la NSA non lo sappia
craccare"!
E così si fanno XXXXXXX.poi ci sono i furbi che si fidano ciecamente di TOR e scaricano l'aggiornamento di TOR tramite TOR stesso: casualmente l'exit point gli fornisce una versione dell'exe modificata 'on the fly' (sucXXXXX con exit point russi) e si beccano il malware degli spioni.
Per quanto riguarda la plausible deniability, se
il capo di accusa è "lei pare aver usato una VM
che non riusciamo a trovare e dato che usa
TrueCrypt potrebbe averla messa in uno hidden",
allora direi che con certi inquirenti già il
fatto in sè di usare TrueCrypt è "sospetto"!no, io uso TC per i miei documenti privati all'interno di un file e per i porni ( ovviamente legali) in dischi esterni.Cosa ci sarebbe di sospetto? Do le password e verificano.Tra l'altro tutti i dischi sono pieni fino all'orlo perché sono abituato a riempirli sin dal primo giorno con backup degli altri dischi (backup che cancello man mano che ho bisogno di spazio). quindi non c'è alcuna possibilità che usi un volume hidden.TRUE deniability.
VMWare Workstation su Windows consente di non far
loggare la VM che non si vuole sia loggata. hai mai usato uno strumento di basso livello (ovviamente sull'ospitante) che monitora quali file vengono scritti durante le sessioni? Fallo.Altra cosa, sai cosa sono gli alternate stream?Fatti una bella ricerca. -
Re: dm-crypt/LUKS e buonanotte popolo
- Scritto da: Smasher
La mia precedente risposta è stata
misteriosamente censurata, ci
riprovo.l'avevo già letta grazie, e ho anche scritto una risposta illustrando per quale motivo non regge.Ora sinceramente non so perché sia stata rimossa (la tua e di conseguenza la mia), ma non ho voglia di riscriverla. -
Re: dm-crypt/LUKS e buonanotte popolo
E con i moderni filesystems e i dischi SSD tamponare i leaks è ancora più difficile.
-
-
-
-
-
Re: Articolo interessante del Telegraph
- Scritto da: prova123
Ecco perchè Truecrypt sembra avere
debolezze che l'audit non ha
manifestato...essendo open sono tute verificabili, dubito che se le sia inventate.Casomai sono irrilevanti visto che il per-requisito è essere dentro la macchina.-
Re: Articolo interessante del Telegraph
Dettaglio non trascurabile se l'unica possibilità è quella di avere a disposizione il computer incustodito con il volume TC montato ... operativamente truecrypt è sicuro senza il minimo problema.-
Re: Articolo interessante del Telegraph
Inoltre la sua frase "Even though my #truecrypt bugs weren't back doors it's clear that it was possible to sneak them past an audit " suona un pò come il mettere le mani avanti per un futuro audit di Veracrypt.Visto il personaggio, la sua storia e la sua brillante affermazione di veracrypt non c'è assolutamente da fidarsi nemmeno se lo dice l'audit. Per il momento truecrypt non ha eredi.
-
-
-
Re: Articolo interessante del Telegraph
PS: I 100000$ non se li è potuti spendere in caramelle e mign*tte, ma "The company created cash bounties in June to incentivise experts to uncover holes in their security before they can be exploited by fraudsters". ... e se qualcuno ti da 100000 dollari per mettere su una attività, chi è in realtà il proprietario ? :DPoi è uno che interviene ai diversi Black Hat ... vabbè abbiamo inquadrato la situazione.-
Re: Articolo interessante del Telegraph
Però bisogna dire che ha un discreto senso dell'umorismo ...https://mobile.twitter.com/tiraniddo/status/414383360359018496 -
Re: Articolo interessante del Telegraph
Però bisogna dire che ha un discreto senso dell'umorismo ...https://mobile.twitter.com/tiraniddo/status/414383360359018496
-
-
Le due vulnerabilità
sono trascurabili in quanto oltre ad avere l'acXXXXX diretto al pc con utente amministratore (come da articolo) ma bisogna aggiungere che il volume truecrypt deve essere montato. Esiste da molto tempo una utility che permette di leggere la password in RAM di un volume truecrypt montato.Quindi l'unica vulnerabilità dal punto di vista dell'utente è quella di essere "amministratore" e lasciare incustodito il PC con il volume truperypt montato, altrimenti non c'è niente da fare. Non c'è motivo di valutare alternative. Truecript funziona benissimo con gli OS esistenti ed in alternativa si pùò tranquillamente utilizzare in macchine virtuali che personalmente preferisco. Il progetto indipendente Truecrypt l'hanno fatto chiudere. Adesso James Forshaw ricercatore di Google (e google lavora negli usa ed ancora non l'hanno fatto chiudere) parla di altre fantomatiche vulnerabilità pericolose. Visto la sua attività non è credibile in quanto lavora per il governo americano perchè ci si dovrebbe fidare di Veracrypt ? VeraCrypt ha avuto l'audit ? e chi sono i componenti della commissione ?... prima fanno chiudere il progetto e poi lo danno in mano a google ...-
Re: Le due vulnerabilità
Ad oggi veracrypt non ha audit è c'è solo una vaga di idea di farlo senza una data definita:http://sourceforge.net/p/veracrypt/discussion/general/thread/a2884a30/Veracrypt può aspettare.-
Re: Le due vulnerabilità
- Scritto da: prova123
Ad oggi veracrypt non ha audit è c'è solo una
vaga di idea di farlo senza una data
definita:
http://sourceforge.net/p/veracrypt/discussion/gene
Veracrypt può aspettare.quoto... un software auditato contro uno non auditato, con le pressioni che evidentemente ci sono in giro su queste cose... Pensa che nelle email di hacking team, hanno discusso l'argomento e hanno deciso di passare bitlocker (rotfl)(rotfl)(rotfl)h4ck3rz (rotfl)(rotfl)(rotfl)-
Re: Le due vulnerabilità
- Scritto da: hhhh
quoto... un software auditato contro uno non
auditato , con le pressioni che evidentemente cicavatemi gli occhi :S-
Re: Le due vulnerabilità
- Scritto da: Nome e cognome
- Scritto da: hhhh
quoto... un software auditato contro uno
non
auditato , con le pressioni che
evidentemente
ci
cavatemi gli occhi :Smah, è un termine latino, l'ha usato correttamente -
Re: Le due vulnerabilità
- Scritto da: aggro
cavatemi gli occhi :S
mah, è un termine latino, l'ha usato correttamenteE' iscritto alla Crusca: preferiva 'auditatus' col simbolo della parola arcaica in fondo -
Re: Le due vulnerabilità
- Scritto da: panda rossa
- Scritto da: hhhh
- Scritto da: aggro
cavatemi gli occhi :S
mah, è un termine latino, l'ha usato
correttamente
E' iscritto alla Crusca: preferiva
'auditatus'
col simbolo della parola arcaica in
fondo
Com'e' il simbolo della parola arcaica?una panda rossa? :D -
Re: Le due vulnerabilità
- Scritto da: panda rossa
Com'e' il simbolo della parola arcaica?Un ghirigori strano che c'è nella legenda di tutti i vocabolari cartacei...Adesso che i vocabolari sono integrati nei software e non c'è più la leggenda, il simbolo non lo trovo più.Possiamo dire che è diventato arcaico anche let. oltre che fig. -
Re: Le due vulnerabilità
- Scritto da: hhhh
- Scritto da: aggro
cavatemi gli occhi :S
mah, è un termine latino, l'ha usato
correttamente
E' iscritto alla Crusca: preferiva 'auditatus'
col simbolo della parola arcaica in
fondoparole improprie e commenti demenziali, cos'altro ci nascondi?
-
-
-
-
Re: Le due vulnerabilità
- Scritto da: prova123
sono trascurabili in quanto oltre ad avere
l'acXXXXX diretto al pc con utente amministratore
(come da articolo) ma bisogna aggiungere che il
volume truecrypt deve essere montato....e a quel punto l'utente corrente, anche se è 'limitato' può leggere direttamente i dati anche senza avere la chiave (rotfl)(rotfl)(rotfl) -
Re: Le due vulnerabilità
Ma parlano di "lettere dei dischi"?Non vedo un C: da anni... chi se le ricorda più! :DA parte questo, se uno ha acXXXXX fisico al pc, al disco e al profilo di admin, beh tanto vale copiare i dati in chiaro disponibili no?Comunque anche se il progetto è stato "abbandonato" direi che si difende ancora molto bene e che difficilmente verrà superato, se non tra parecchi anni...-
Re: Le due vulnerabilità
ma comunque non utilizzerei mai truecrypt su win10.-
Re: Le due vulnerabilità
- Scritto da: prova123
ma comunque non utilizzerei mai truecrypt su
win10.perché no?Basta usarlo offline e poi riformattare tutto.UEFI compreso.-
Re: Le due vulnerabilità
- Scritto da: hhhh
- Scritto da: prova123
ma comunque non utilizzerei mai truecrypt su
win10.
perché no?
Basta usarlo offline e poi riformattare tutto.
UEFI compreso.Poi tritare bene in modo che passi in un setaccio da 3mm. -
Re: Le due vulnerabilità
- Scritto da: P.I.
- Scritto da: hhhh
- Scritto da: prova123
ma comunque non utilizzerei mai
truecrypt
su
win10.
perché no?
Basta usarlo offline e poi riformattare
tutto.
UEFI compreso.
Poi tritare bene in modo che passi in un setaccio
da
3mm.e le briciole devono essere portate alla temperatura di 1500 gradi centigradi per almeno 10 minuti.
-
-
-
-
Re: Le due vulnerabilità
- Scritto da: prova123
Il progetto indipendente Truecrypt l'hanno fatto
chiudere. Adesso James Forshaw ricercatore di
Google (e google lavora negli usa ed ancora non
l'hanno fatto chiudere) parla di altre
fantomatiche vulnerabilità pericolose. Visto la
sua attività non è credibile in quanto lavora per
il governo americano perchè ci si dovrebbe fidare
di Veracrypt ? VeraCrypt ha avuto l'audit ?Ha avuto una Audi, gruppo VW vai tranquillo :D-
Re: Le due vulnerabilità
Non so se hai letto i commenti su sourceforge a riguardo dello audit di truecrypt e le ombre che hanno cercato di buttarci sopra! (rotfl)Una cosa è certa nel 2015 tedeschi e americani hanno strappato lo scettro alla sceneggiata napoletana, ad oggi siamo solo al terzo posto! :D-
Re: Le due vulnerabilità
- Scritto da: prova123
Una cosa è certa nel 2015 tedeschi e americani
hanno strappato lo scettro alla sceneggiata
napoletana, ad oggi siamo solo al terzo posto!
:DNon dureranno a lungo: siamo campioni del mondo :(-
Re: Le due vulnerabilità
ma i tedeschi quando intraprendono una strada non mollano facilmente. :D -
Re: Le due vulnerabilità
- Scritto da: SalvatoreGX
ma i tedeschi quando intraprendono una strada non
mollano facilmente.
:Dhttps://it.wikipedia.org/wiki/Partita_del_secolo :D
-
-
-
-
Re: Le due vulnerabilità
Ricordate che le vulnerabilita' permettono ad un untente limitato di aquisire i diritti di amministratore;quanti di voi, come me, hanno gia' i diritti di amministratore e disabilitato uac, oppure si loggano di default con l'acconto amministratore?Per loro non e' cambiato nulla.
-
