I browser verranno ulteriormente messi sotto torchio, nella prossima edizione del Pwn2Own che partirà nei primi giorni di marzo. Il celebre raduno hacker premierà gli esperti di sicurezza utilizzando un sistema di valutazione completamente rivisto.
La gara ospitata dal CanSecWest non si limiterà a premiare l’exploit più veloce, ma introdurrà un sistema a punti che riconoscerà creatività e impegno degli hacker partecipanti. Il ricercatore con il maggior numero di punti accumulati nei tre giorni vincerà i 60mila dollari in palio, il secondo classificato porterà a casa 30mila dollari e il terzo 15mila.
Gli sfidanti potranno tentare più volte e attaccare i browser su più fronti. 10 crediti saranno assegnati agli exploit sfruttati subito, il primo giorno, mentre gli attacchi del secondo e terzo giorno guadagneranno bonus minori. La scoperta di una nuova vulnerabilità “0-day” frutterà ben 32 punti.
I soldi in palio vengono offerti da Google: Microsoft, Mozilla e Apple non hanno ancora formulato offerte. Il colosso di Mountain View ha deciso di quadruplicare il primo premio finale rispetto allo scorso anno, ma chiede agli hacker di concentrarsi sulla sandbox di Chrome ed è pronto ad offrire altri 20mila dollari per ogni forzatura del suo browser.
Roberto Pulito
-
OTP
generate su carta... bisogna solo avere la prontezza di distruggere il foglietto quando è ora...Re: OTP
- Scritto da: Shrike> generate su carta... bisogna solo avere la> prontezza di distruggere il foglietto quando è> ora...si va bene per cifrare un numero di telefono o altra stringa corta, ma se devi cifrare tanta roba che ti porti un elenco del telefono di foglietti? e poi inserisci mille pagine di dati su carta a mano tramite tastiera? (si potrebbe velocizzare la cosa memorizzando i dati casuali su carta utilizzando dei codici a barre facilmente leggibili da uno scanner, ma il problema viene solo attenuato non risolto).Distruggere per distruggere a questo punto tieni un sacchetto di termite sopra i tuoi dischi e la inneschi con un nastro di magnesio avvolto sopra ad una resistenza; all'occorrenza spingi un bottone e buonanotte ai suonatori, non c'è metodo del tubo di gomma che tenga una volta che i dati non esistono più.Re: OTP
ROTFL... ma secondo intendevo che uno si cifra i suoi dati e poi si stampa il contenuto cifrato su carta? Su carta hai solo l'elenco di 10-20 password valide solo una volta e solo in quella sequenza...http://it.wikipedia.org/wiki/One-time_passwordRe: OTP
- Scritto da: Shrike> ROTFL... ma secondo intendevo che uno si cifra i> suoi dati e poi si stampa il contenuto cifrato su> carta?no, sembrava tu intendessi che uno si cifra e decifra i suoi dati utilizzando una mole di dati random su carta delle stesse dimensioni dei dati da cifrare/decifrare e poi ne facessi lo xor bit a bit> Su carta hai solo l'elenco di 10-20 password> valide solo una volta e solo in quella> sequenza...> http://it.wikipedia.org/wiki/One-time_passwordsembrava tu stessi parlando di one time pad e non di one time password; anche perchè non capisco cosa cambi utilizzare delle one time password rispetto a questa legge; al tribunale non interessa che sistema di cifratura usi, se gli passi la roba decifrata bene, altrimenti in galerapassword
Quindi difatto chi dimentica la password di un proprio dispositivo cifrato, magari anni prima, rischia di venire arrestato!L'articolo, tralatro, riferice di un caso di operazioni finanziarie fraudolente e non di reati che destano grande allarme sociale o pericolo.In una rete aziendale un dipendente potrebbe creare un dispositivo cifrato che se rinvenuto in fase di indagini potrebbe creare dei grossi problemi all'amministratore dell' azienda.Se questa norma venisse applicata "su larga scala" renderebbe troppo pericoloso l'impiego della cifratura relegandola ai criminali che, comunque, la impiegherebbero come rischio minore.Re: password
- Scritto da: gaspare> In una rete aziendale un dipendente potrebbe> creare un dispositivo cifrato che se rinvenuto in> fase di indagini potrebbe creare dei grossi> problemi all'amministratore dell'> azienda.In una rete aziendale alcuni dati devono venire cifrati per legge.E non passa giorno che non arrivi una mezza dozzina di ticket del tipo: "ho dimenticato la password".Potrebbe anche essere che questa norma serva per aggirare l'articolo 18.Essendo illegale dimenticare la password, questo potrebbe diventare giusta causa per un licenziamento.Adesso lo scrivo al sindacato.Re: password
- Scritto da: panda rossa> - Scritto da: gaspare> > > In una rete aziendale un dipendente potrebbe> > creare un dispositivo cifrato che se> rinvenuto> in> > fase di indagini potrebbe creare dei grossi> > problemi all'amministratore dell'> > azienda.> > In una rete aziendale alcuni dati devono venire> cifrati per> legge.> E non passa giorno che non arrivi una mezza> dozzina di ticket del tipo: "ho dimenticato la> password".> > Potrebbe anche essere che questa norma serva per> aggirare l'articolo> 18.> Essendo illegale dimenticare la password, questo> potrebbe diventare giusta causa per un> licenziamento.> > Adesso lo scrivo al sindacato.Scrivi anche che cazzeggi durante l'orario di lavoro.Re: password
- Scritto da: ruppolo> > Scrivi anche che cazzeggi durante l'orario di> lavoro.E' la dimostrazione che i server che amministro funzionano bene.O la password o la democrazia...
O la password o la democrazia.Una delle due e' destinata a scomparire.Re: O la password o la democrazia...
la democrazia non è mai esistita, una parvenza di democrazia è strumentale alla gestione di enormi masse di persone senza che queste ultime si sentano sotto il giogo di qualcuno.Re: O la password o la democrazia...
- Scritto da: panda rossa> O la password o la democrazia.> Una delle due e' destinata a scomparire.Parole sante, e visto che la seconda non esiste realmente ho paura che quella che scomparirà sarà la prima!:)Re: O la password o la democrazia...
- Scritto da: panda rossa> O la password o la democrazia.> Una delle due e' destinata a scomparire.Perchè, pensi di ancora di vivere in un sistema Democratico?Non viviamo in stati dispotici solo perchè la Storia dimostra che negli stati dispotici le 'caste' che comandano fanno meno soldi che non negli stati cosiddetti 'liberi', ma questa non è democrazia, o lo ' solo al 30%.Non me la ricordo
(da leggersi con la voce di schettino)"... non me la ricordo,è buio..."Re: Non me la ricordo
- Scritto da: Kerteh> (da leggersi con la voce di schettino)> > "... non me la ricordo,> è buio..."Vada a bordo XXXXX! :DRe: Non me la ricordo
- Scritto da: tucumcari> - Scritto da: Kerteh> > (da leggersi con la voce di schettino)> > > > "... non me la ricordo,> > è buio..."> Vada a bordo XXXXX!> :Dno non mi pare che sia quella la passwordpassword?
Quale password? :D"plausible deniability"http://en.wikipedia.org/wiki/Plausible_deniability :pRe: password?
http://it.wikipedia.org/wiki/Metodo_del_tubo_di_gommaSanto Truecrypt
ma soprattutto santa Plausible Deniability!Approposito, per usa con soddisfazione quest'ottimo programma: hai considerato una donazione (anche minima) verso chi ha a cuore la tua privacy?Credo che in futuro la questione sarà sempre più rilevante, considerando la preoccupante velocità con la quale i paesi occidentali stiano importando il modello di "democrazia" cinese...Re: Santo Truecrypt
http://it.wikipedia.org/wiki/Metodo_del_tubo_di_gommaRe: Santo Truecrypt
- Scritto da: Videoteca Nemesi> http://it.wikipedia.org/wiki/Metodo_del_tubo_di_goguarda che parliamo degli USA mica dell'Iranla tortura non è ancora prevista per i reati comuni e si spera non lo sarà maima a quel punto avremo altro a cui pensare che proteggere i nostri hard disk e si suppone pure che qualche piccola rivoluzione scoppieràRe: Santo Truecrypt
- Scritto da: collione> - Scritto da: Videoteca Nemesi> >> http://it.wikipedia.org/wiki/Metodo_del_tubo_di_go> > guarda che parliamo degli USA mica dell'Iran> > la tortura non è ancora prevista per i reati> comuni e si spera non lo sarà> maibhe è prevista in circostanze eccezionali a discrezione del presidente o chi per lui (patrioct act); inoltre anche quando non era prevista non si son mai fatti problemi a torturare, subappalltando in egitto o al sicuro da occhi indiscreti dentro guantanamo> ma a quel punto avremo altro a cui pensare che> proteggere i nostri hard disk e si suppone pure> che qualche piccola rivoluzione> scoppierànon finchè non mancano panem et circensesRe: Santo Truecrypt
- Scritto da: Videoteca Nemesi> http://it.wikipedia.org/wiki/Metodo_del_tubo_di_goLa critica mossa al diniego plausibile è un no-sense.Per essere torturati affinchè venga rivelata la password si deve essere nella situazione nella quale il nemico sospetti l'utilizzo di sistemi di cifratura ulteriori o complessi. Truecrypt, come altri sistemi di cifratura degni di questo nome, implementa una serie di tecniche che rende impossibile l'identificazione tramite crittoanalisi di un contenitore nascosto all'interno del cifrato.Ma se si é torturati a prescindere, ovvero nel caso in cui il nemico sospetti o meno la presenza di dati nascosti, il problema non sono più i dati o la cifratura ma la certezza che in ogni caso si verrà torturati. In questo caso il diniego plausibile c'entra ben poco.Mentre nel caso specifico, qualora un giudice richiedesse per sentenza la rivelazione della password, il diniego plausibile si dimostrerà utilissimo. P.S. Purtroppo leggendo il tuo nick mi rendo conto che probabilmente sto solo perdendo tempo a risponderti...Re: Santo Truecrypt
> P.S. Purtroppo leggendo il tuo nick mi rendo> conto che probabilmente sto solo perdendo tempo a> risponderti...D'altronde se capisse qualcosa di informatica non sarebbe un videotecaro...Leggiti la risposta al mio primo post sulle one-time-password se vuoi farti una risata :)articolo impreciso
da ArsTechinica: "Fifth Amendment issues can also arise if acknowledging ownership of a laptop or the existence of relevant documents is itself incriminating. But the police had recorded a phone call between Fricosu and her husband in which she seemed to acknowledge ownership of the laptop and to reference incriminating material on it. Blackburn ruled that barring prosecutors from using the fact that she was able to decrypt the laptop as evidence against her in court would satisfy the Fifth Amendment concerns with compelled disclosure."ovvero il giudice riconosce il valore del quinto emendamento, ma ha ritenuto che in questo caso non è applicabile, in quanto la donna si è già autoaccusata in una conversazione telefonica col maritopraticamente "se ci hai già detto che c'hai i dati criptati pieni di prove incriminanti, come cacchio fai ad appellarti al quinto emendamento?"Re: articolo impreciso
- Scritto da: collione> da ArsTechinica: "Fifth Amendment issues can also> arise if acknowledging ownership of a laptop or> the existence of relevant documents is itself> incriminating. But the police had recorded a> phone call between Fricosu and her husband in> which she seemed to acknowledge ownership of the> laptop and to reference incriminating material on> it. Blackburn ruled that barring prosecutors from> using the fact that she was able to decrypt the> laptop as evidence against her in court would> satisfy the Fifth Amendment concerns with> compelled> disclosure."> > ovvero il giudice riconosce il valore del quinto> emendamento, ma ha ritenuto che in questo caso> non è applicabile, in quanto la donna si è già> autoaccusata in una conversazione telefonica col> marito> > praticamente "se ci hai già detto che c'hai i> dati criptati pieni di prove incriminanti, come> cacchio fai ad appellarti al quinto> emendamento?"ed io che ti credevo un Collione... ;)Re: articolo impreciso
nominalmente e' come dici, il punto "scardinante" e' l'esistenza di evidenza precedente, se questa evidenza non c''e il 5 emendamento dovrebbe consentire di rifiutare la password. il punto pero' e' che ora si apre la porta ad un generalizzato obbligo di dare la password, visto che si tratta di valutare quanta evidenza precedente ci sia per decidere se l'obbligo di rivelare la password sussista. di qui il senso dell'articolo.sovvertite le regole base
ma non c'era quel discorso per il quale l'accusato non puo essere costretto a rivelare prove contro se stesso?Re: sovvertite le regole base
- Scritto da: attonito> ma non c'era quel discorso per il quale> l'accusato non puo essere costretto a rivelare> prove contro se> stesso?si ma loro fanno come gli pareA questo punto ...
ci saranno i delinquenti che faranno da tana libera tutti, basta che avranno documenti ad hoc per autoaccusarsi ... più idioti di così si muore!L'immancabile XKCD
XKCD ha una risposta per tutto:[img]http://imgs.xkcd.com/comics/security.png[/img]Meglio del tubo di gomma.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 25 gen 2012Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 25 gen 2012Link copiato negli appunti
