Tiscali spara e uccide il baco della Webmail

Il provider sardo ha annunciato l'attivazione del nuovo sistema di Webmail che, a quanto pare, non soffre più del baco di cui Punto Informatico ha dato notizia mercoledì scorso. Insomma, tutto è bene quel che finisce benino


Roma – Mercoledì scorso Punto Informatico riportava la notizia riguardante un serio bug presente nel sistema Webmail di Tiscalinet, una vulnerabilità che poteva compromettere la sicurezza di molti utenti del noto portale di Tiscali.

Con una e-mail, lo stesso mercoledì sera il provider sardo ha comunicato a tutti i suoi utenti di aver attivato un nuovo sistema di Webmail, una versione rinnovata di NetMail. Ecco il testo della lettera.

“Gentile abbonato,
Tiscalinet è lieta di comunicarti l’attivazione del nuovo sistema di NetMail,
che ti offre strumenti più efficienti per l’utilizzo della tua posta elettronica. Le nuove funzionalità ti permetteranno di gestire la NetMail come un normale client di posta. Ecco alcune delle importanti novità:

* gestione e archiviazione della posta in cartelle
* possibilità di inserire risposte automatiche
* filtri sulla posta in arrivo
* ricerca dei messaggi
* correttore ortografico
* elevato grado di sicurezza per garantire al meglio la tutela della
tua privacy sulla rete.

Se già utilizzi NetMail, con la nuova versione avrai perciò più servizi e
maggior sicurezza. E se ancora non hai utilizzato il nostro servizio… provalo!”

Sebbene nella sua lettera non ne faccia riferimento diretto, Tiscali ci ha confermato che con il nuovo sistema di Webmail la falla di sicurezza portata alla luce da Punto Informatico è stata risolta ed ora non è più possibile penetrare nella mailbox di un utente attraverso il suo referrer.

Per un probabile incidente di percorso, martedì la redazione di Punto Informatico non ha purtroppo ricevuto la pronta risposta alle nostre domande da parte dei responsabili alle pubbliche relazioni di Tiscali: nella lettera, di cui abbiamo preso visione soltanto il giorno successivo, essi ci comunicavano la conoscenza del problema da parte di Tiscali e la pronta correzione del bug con l’imminente nuova versione di Netmail.


Nella giornata di ieri Punto Informatico ha posto alcune domande a Gianbattista Giannoccaro, Direttore della Divisione Consumer di Tiscali SPA, per chiarire tutti gli aspetti dell’accaduto.

Punto Informatico : Quando siete venuti a conoscenza del problema?
G. Giannoccaro : Abbiamo individuato per la prima volta il problema lunedì 28 Maggio. Fortunatamente, essendo la qualità per noi un aspetto prioritario, già da tempo stavamo lavorando allo sviluppo di un nuovo sistema basato sulle più avanzate soluzioni tecnologiche. Ogni giorno si trovano nuovi modi per violare i software Internet (e non solo) ma anche nuove tecnologie per difendersi da queste violazioni e la nostra priorità è adottarle immediatamente. L’aver individuato questo baco ci ha portato ad accelerare la messa online del nuovi sistema di qualche giorno e in poco più di 24 ore il problema è stato risolto.

PI :Eravate a conoscenza che chiunque avesse scoperto il baco e fosse in possesso di un Web server (ce n’è uno su ogni Windows 2000 e su ogni Linux) poteva raccogliere gli indirizzi delle mailbox dei vostri utenti semplicemente inviando loro una mail o una newsletter “trappola” e catturando il referrer?
G.G. : Ovviamente l’abbiamo capito solo dopo aver individuato il baco ma a quel punto abbiamo anche verificato che il nuovo software oggi online risolveva completamente questa problematica.

PI : Quando è stato attivato il nuovo sistema di Webmail?
G.G. : Alle 18:30 in punto di ieri (30 Maggio), dopo ben 2 mesi di lavoro preparatorio. Il nuovo sistema fa parte della suite di posta elettronica che abbiamo acquistato da CriticalPath (in precedenza col nome di ISOCOR, società famosa in tutto il mondo per la qualità dei suoi prodotti nel campo della messaggistica su Internet).
I 2 mesi sono stati necessari per la personalizzazione dell’interfaccia utente in stile Tiscali, e per la pianificazione della migrazione dalla vecchia Netmail (copia delle rubriche).
Oltre a risolvere il problema di sicurezza individuato e a garantire la prevenzione di altre problematiche simili, il nuovo sistema offre ai nostri utenti un servizio migliore, con maggiori funzionalità.

PI : Come è stato risolto il problema?
G.G. : Più che risolto direi che è stato eliminato alla radice, sostituendo il prodotto vulnerabile (Visualmail) con la nuova Webmail di CriticalPath.
Questo nuovo prodotto gestisce la sicurezza della sessione in modo differente, utilizzando algoritmi come lo SHA-1 per marcare ogni scambio di informazioni e vincolarlo al browser che ha aperto la sessione, pertanto non è vulnerabile all’attacco sul Http_Referer da voi descritto. Abbiamo testato il sistema e il risultato è che è affidabile.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    3° ECHELON
    ECHELON E' UNA COSA SERIA !l'italia e' inserita nell'area denominata 3° echelon !Lo scopo è la difesa militare .Il paventato controllo privato è pura fantasia.Andate a S.Vito del Normanni (BR) e potrete ammirare la iperbolica antenna di ricezione/trasmissione pansatellitare. Non date retta alle chiacchiere diversive !
  • Anonimo scrive:
    Io rido!!!!!
    La mia opinione è prettamete personale!!Per quanto mi riguarda "fidarsi è bene non fidarsi è meglio" ecco la mia opinione!!! p.s. non è nulla di nuovo!! ma rilfette la realta'!! Ciao Ciao a TUTTI!!!
  • Anonimo scrive:
    No sei ce di`
    Son proprio descpiasciu' de scta situazion, no me piasce nuia che i pode me scpia`. Ma hei rascion de pensa` che dorando chiaes complicades se see rascionevolmente segure. Almanco scpero.Duto ca`, ades voraraee capi` se calchedun riesce a capi` cieche hei scrito, pensao che scta echelon ra riesce a capi` el me dialeto? E vos riuscio a capi' almanco ce dialeto che son drio a scrie?Io` scomenzarei a dora` ciaes complicades cosci` chi maledete i se ra ciapa in zel cu'.;))Ecco qua, basta usare il vecchio e amato dialetto no? ;))) + è sconosciuto meglio è ;=))Forse il mio non è sconosciutissimo, in realtà sembra un po spagnolo (infatti se parlo a gente spagnola in dialetto ci si capisce al volo)....Chi di voi mi sa dire che dialetto è? de hi hi
    • Anonimo scrive:
      Re: No sei ce di`

      Chi di voi mi sa dire che dialetto è? de hi
      hiSembrerebbe della zona del nuorese, ma essendo io campidanese non ci metterei la mano sul fuoco! ;-DAttento, ora che ti ho intercettato dovrai guardarti alle spalle: se vedi un losco figuro in impermeabile il 15 di agosto potrei essere io o uno dei miei amici della CIA!Quindi, vediamo un po'... ho usato le parole sospette: fuoco, losco, figuro, CIA. Cavolo!!! Vuoi vedere che sono io a dovermi guardare alle spalle??? =8-O
      • Anonimo scrive:
        Re: No sei ce di`
        - Scritto da: Gheddafi vs Saddam
        Sembrerebbe della zona del nuorese, ma
        essendo io campidanese non ci metterei la
        mano sul fuoco! ;-Duhhh no no hai sbagliato completamente ;)Alto Veneto (non dico il "paesino"....perchè ho già l'FBI alle calcagna ;)) ).
        Attento, ora che ti ho intercettato dovrai
        guardarti alle spalle: se vedi un losco
        figuro in impermeabile il 15 di agosto
        potrei essere io o uno dei miei amici della
        CIA!Sto già provvedendo a chirurgia plastica e cambio d'identità, non mi prenderete mai!! ;-)
        Cavolo!!! Vuoi vedere che sono io a dovermi
        guardare alle spalle??? =8-O:P
    • Anonimo scrive:
      Re: No sei ce di`
      Fico!Sembra Bellonese con forti ingerenze friulane...hmmm... Ampezzano? :-)- Scritto da: z

      Son proprio descpiasciu' de scta situazion,
      no me piasce nuia che i pode me scpia`. Ma
      hei rascion de pensa` che dorando chiaes
      complicades se see rascionevolmente segure.
      Almanco scpero.
      Duto ca`, ades voraraee capi` se calchedun
      riesce a capi` cieche hei scrito, pensao che
      scta echelon ra riesce a capi` el me
      dialeto? E vos riuscio a capi' almanco ce
      dialeto che son drio a scrie?
      Io` scomenzarei a dora` ciaes complicades
      cosci` chi maledete i se ra ciapa in zel
      cu'.



      ;))

      Ecco qua, basta usare il vecchio e amato
      dialetto no? ;))) + è sconosciuto meglio è
      ;=))
      Forse il mio non è sconosciutissimo, in
      realtà sembra un po spagnolo (infatti se
      parlo a gente spagnola in dialetto ci si
      capisce al volo)....
      Chi di voi mi sa dire che dialetto è? de hi
      hi
      • Anonimo scrive:
        Re: No sei ce di`
        - Scritto da: skull
        Fico!
        Sembra Bellonese con forti ingerenze
        friulane...
        hmmm... Ampezzano? :-)NOOOO mi hai beccato!!! ;-)E vai di seconda plastica facciale + 10 milioni di documenti nuovi ;-)))
    • Anonimo scrive:
      Re: No sei ce di`
      - Scritto da: z

      Son proprio descpiasciu' de scta situazion,direi ligure...Ciauzz
    • Anonimo scrive:
      Re: No sei ce di`
      - Scritto da: z

      Son proprio descpiasciu' de scta situazion,
      no me piasce nuia che i pode me scpia`. Ma
      hei rascion de pensa` che dorando chiaes
      complicades se see rascionevolmente segure.
      Almanco scpero.
      Duto ca`, ades voraraee capi` se calchedun
      riesce a capi` cieche hei scrito, pensao che
      scta echelon ra riesce a capi` el me
      dialeto? E vos riuscio a capi' almanco ce
      dialeto che son drio a scrie?
      Io` scomenzarei a dora` ciaes complicades
      cosci` chi maledete i se ra ciapa in zel
      cu'.



      ;))

      Ecco qua, basta usare il vecchio e amato
      dialetto no? ;))) + è sconosciuto meglio è
      ;=))
      Forse il mio non è sconosciutissimo, in
      realtà sembra un po spagnolo (infatti se
      parlo a gente spagnola in dialetto ci si
      capisce al volo)....
      Chi di voi mi sa dire che dialetto è? de hi
      hi
  • Anonimo scrive:
    echelon contro la crittografia?
    leggo dall'articolo..."echelon può superare qualsiasi protezione crittografica..." e siamo di minchiate? dietro tutto ricordatevi che c'è sempre una teoria matematica che non credo nè echelon nè altri riusciranno a distruggere....echelon sa qual e' la complessita' computazionale minima della fattorizzazione di un numero intero? echelon va oltre la velocità della luce? :)beh...echelon sarà anche preoccupante e vergognoso...ma cmq di fronte a buone protezioni penso possa restarsene ben bene a casa! (openPgP rulez....) bye
    • Anonimo scrive:
      Re: echelon contro la crittografia?
      Intanto sarebbe utile se tutti usassero una qualunque forma di crittografia, anche stupida, per tutte le comunicazioni, e forme piu' avanzate per comunicazioni piu' riservate.
  • Anonimo scrive:
    GRANDE PAOLO
    grazie.
  • Anonimo scrive:
    fottiamoci di criptazione, steganografia et simili
    mah... gli USA hanno troppe cose nascoste..... io sono certo che un quantum pc ce l'abbiano già.. se non anche qualcosa di più... Fino a qualche anno fa se ti trovavano la lista della spesa criptata col pgp ti facevano accertamenti e ti portavano via il pc... ora al massimo vi telefonano a casa e vi dicono "perchè perdi tempo a criptare la lista della spesa??" ormai si sà.... il pgp lo aprono facilmente se non è almeno a MOLTI ma MOLTI byte.... riguardo alle parole chiave... questo è certo... fanno ricerche.... era apparso mi pare l'anno scorso su focus un articolo sui sistemi di intercettazione,e davano Echelon x sicuramente esistente.. non è che focus sia un giornale di grandissima fama, però... pensate pensate.....se io qui scrivo Bomba, sicuramente Echelon (salutatelo, quando scrivete le mail... CIAO ECHELON!!!) leggerà il vostro mess.. se poi scrivo attentato ancora peggio................. Basti pensare che la legge sulla privacy è una cazzata assurda..... basta pagare..... se vuoi paghi e vedi x al massimo un mese il numero di chi ti chiama anche se ha disattivato l'invio del numero... fai una chiamata da cabina, ed ecco.... sanno dove hai comprato la scheda, che chiamate hai fatto, quanto sono durate, da dove....Per nn parlare della backdoor sui modem spped touch home adsl della alcatel.....Pensate, pensate e riflettete! Ciao!
  • Anonimo scrive:
    La crittografia è inutile in questo ambito.
    1) Tutti i sistemi di cifratura oggi in circolazione sono stati debitamente ritoccati ed integrano sistemi di decifratura per terze parti (ovvero per qualcuno che non sia ne il mittente ne il destinatario)....indovinate un po' chi sono le terze parti. Secondo voi perchè è stata eliminata la legge americana per cui era vietato esportare algoritmi forti fuori dai confini americani? Per un improvviso bonismo della casa bianca? Perchè tanto avevano esteso il controllo su tutti i sistemi di cifratura...2) E' possibile forzare qualsiasi algoritmo. Il fattore chiave per forzare (attenzione, forzare, non decifrare) un messaggio criptato è il tempo macchina... inversamente proporzionale alla potenza delle macchine usate per forzare. Ed oggi di potenza ce ne e' fin troppa...C'e' una cosa sola da fare: imporre agli americani e compari pesanti sanzioni internazionali e se non ci vorranno stare....beh.... protezionismo più assoluto della comunità europea nei loro confronti sia a livello commerciale che sociale.Quello che hanno fatto è palesemente la cosa più grave si sia manifestata nel loro comportamento egemonico e devono pagarla cara.
    • Anonimo scrive:
      Re: La crittografia è inutile in questo ambito.
      - Scritto da: Wallace
      1) Tutti i sistemi di cifratura oggi in
      circolazione sono stati debitamente
      ritoccati ed integrano sistemi di
      decifratura per terze parti (ovvero per
      qualcuno che non sia ne il mittente ne il
      destinatario)....indovinate un po' chi sono
      le terze parti. Secondo voi perchè è stata
      eliminata la legge americana per cui era
      vietato esportare algoritmi forti fuori dai
      confini americani? Per un improvviso bonismo
      della casa bianca? Perchè tanto avevano
      esteso il controllo su tutti i sistemi di
      cifratura...Esistono sistemi di cifratura a sorgente aperto e "peer reviewed" - non credo proprio che l'NSA potrebbe avere la complicità di *tutti* i matematici che si occupano di crittografia.Un pò di sana paranoia fa bene, ma il troppo stroppia.L'uso di crittografia pesante non può essere soggetto a restrizioni per un semplice motivo: Chi vuole proprio usarla a fini criminali ecc. potrà disporne comunque. La stessa cosa che vale per le armi da guerra: Il traffico d'armi da guerra è vietato, ma qualunque capo mafioso potrà disporre di lanciamissili e quantaltro, contro pagamento della debita sommetta.Poi, c'è da notare che è molto più facile trafficare qualche MB di dati senza dare all'occhio che non un carrarmato.FD

      2) E' possibile forzare qualsiasi algoritmo.
      Il fattore chiave per forzare (attenzione,
      forzare, non decifrare) un messaggio
      criptato è il tempo macchina... inversamente
      proporzionale alla potenza delle macchine
      usate per forzare. Ed oggi di potenza ce ne
      e' fin troppa...l'"inventore" del PGP ha scritto un saggio molto interessante a proposito... Purtroppo non ho l'url a portata di mano. Per farla breve, penso che sovravaluti di parecchio la potenza degli attuali supercomputer.

      C'e' una cosa sola da fare: imporre agli
      americani e compari pesanti sanzioni
      internazionali e se non ci vorranno
      stare....beh.... protezionismo più assoluto
      della comunità europea nei loro confronti
      sia a livello commerciale che sociale.A mio avviso, un splendido modo per la UE a darsi la zappa sui propri piedi...
      • Anonimo scrive:
        Re: La crittografia è inutile in questo ambito.
        Meno male che gli hai risposto tu... io non sarei stato cosi' gentile....Fabio D.
    • Anonimo scrive:
      Re: La crittografia è inutile in questo ambito.
      - Scritto da: Wallace
      1) Tutti i sistemi di cifratura oggi in
      circolazione sono stati debitamente
      ritoccati ed integrano sistemi di
      decifratura per terze parti (ovvero per
      qualcuno che non sia ne il mittente ne il
      destinatario)....indovinate un po' chi sono
      le terze parti. Secondo voi perchè è stata
      eliminata la legge americana per cui era
      vietato esportare algoritmi forti fuori dai
      confini americani? Per un improvviso bonismo
      della casa bianca? Perchè tanto avevano
      esteso il controllo su tutti i sistemi di
      cifratura...No, perche' ormai erano gia' andati fuori dai confini, e Zimmerman si e' anche fatto 2 anni di galera.
      2) E' possibile forzare qualsiasi algoritmo.
      Il fattore chiave per forzare (attenzione,
      forzare, non decifrare) un messaggio
      criptato è il tempo macchina... inversamente
      proporzionale alla potenza delle macchine
      usate per forzare. Ed oggi di potenza ce ne
      e' fin troppa...NOOOO, e' qui' che sta il gioco, con un algoritmo lineare raddoppiando la velocita' dimezzi il tempo, con uno esponenziale non e' cosi'
      C'e' una cosa sola da fare: imporre agli
      americani e compari pesanti sanzioni
      internazionali e se non ci vorranno
      stare....beh.... protezionismo più assoluto
      della comunità europea nei loro confronti
      sia a livello commerciale che sociale.
      Quello che hanno fatto è palesemente la cosa
      più grave si sia manifestata nel loro
      comportamento egemonico e devono pagarla
      cara.
    • Anonimo scrive:
      Re: La crittografia è inutile in questo ambito.
      - Scritto da: Wallace
      1) Tutti i sistemi di cifratura oggi in
      circolazione sono stati debitamente
      ritoccati ed integrano sistemi di
      decifratura per terze parti (ovvero per
      qualcuno che non sia ne il mittente ne il
      destinatario)....indovinate un po' chi sono
      le terze parti. Secondo voi perchè è stata
      eliminata la legge americana per cui era
      vietato esportare algoritmi forti fuori dai
      confini americani? Per un improvviso bonismo
      della casa bianca? Perchè tanto avevano
      esteso il controllo su tutti i sistemi di
      cifratura...balla... leggi gli altri post.
      2) E' possibile forzare qualsiasi algoritmo.
      Il fattore chiave per forzare (attenzione,
      forzare, non decifrare) un messaggio
      criptato è il tempo macchina... inversamente
      proporzionale alla potenza delle macchine
      usate per forzare. Ed oggi di potenza ce ne
      e' fin troppa...ok... facciamo un po' di conti ? un algoritmo di cifratura di oggi e' a 128 bit, quindi questo vuol dire che ci sono 2^128340282366920938463463374607431768211456chiavi differenti per criptare un messaggio. Ora ammettiamo che un computer superpotente sia in grado di craccare un algoritmo a 56 bit (che e' l'algoritmo del vecchio passwd unix, un computer da casa di oggi prova tutte le combinazioni in qualche giorno) in un solo secondo.2^5672057594037927936quanti secondi sono necessari per provare tutte le 2^128 combinazioni ? semplice : 2^(128-56) 2^724722366482869645213696 secondipari a 149.745.258.842.898 anniora prova a rifare il conto ipotizzando una ipermacchina che faccia le 2^56 in un miliardesimo di secondo (basta dividere il numero sopra per 10^9) e vediamo che tra soli 149745 anni riusciremo ad avere finalmente il nostro messaggio decifrato.buona fortuna.
  • Anonimo scrive:
    C'era una volta...
    Ma lo sapete che Giolitti, nientemeno, aveva già predispostocentri d'ascolto in cui stenografi trascrivevano per 24ore al giorno (coi turni) TUTTE le telefonate di TUTTI gli italiani? Eppure il telefono ce lo avevano in pochi,all'epoca... e già erano intercettati e messi a verbale...mi fanno ridere quelli che "sospettano" che qualcuno li ascolti.Tanto più che i satelliti spia sono così potenti da far leggere illabiale, quindi figuriamoci! Per passare informazioni riservatedovreste aspettare una giornata ventosa, trovarvi in un parco col lago,prendere una barca, remare fino al centro e sussurrarvi negli orecchi (lasciando a casa il cellulare).Se poi chi vi vede vi prende per finocchi io non ho colpa! :-)PS: I telefoni pubblici ormai vanno tutti a scheda (ma perme è un espediente Telecozz per lucrare sugli spicciolirimasti inutilizzati e già che ci sono per infilare una schedafarlocca -smagnetizzata- ogni tanto, fine dell' OT).Le schede (e le cabine) hanno un ID unico, in tempo reale sisa da dove telefoni e dove hai comprato la scheda.Analizzando il numero chiamato e con un paio di analisiincrociate (pensate solo alle telecamere nelle stazioni FS oai telepass) si arriva a sapere ragionevolmente chi siete...
    • Anonimo scrive:
      Re: C'era una volta...
      Su quella di Giolitti mi piacerebbe sapere le tue fonti.- Scritto da: CiccioBond
      Ma lo sapete che Giolitti, nientemeno, aveva
      già predisposto
      centri d'ascolto in cui stenografi
      trascrivevano per 24
      ore al giorno (coi turni) TUTTE le
      telefonate di TUTTI
      gli italiani? Eppure il telefono ce lo
      avevano in pochi,
      all'epoca... e già erano intercettati e
      messi a verbale...
      • Anonimo scrive:
        Re: C'era una volta...
        - Scritto da: Ingenuo 2001
        Su quella di Giolitti mi piacerebbe sapere
        le tue fonti.Era Il Giornale (o forse il resto del carlino, nonricordo bene) di un quindici-venti giorni fa ma sonosicuro di averlo letto, xché la cosa mi ha sorpreso.Si narrava anche del Duce che ricevette le veline dellesue telefonate piccanti e si lamentò per l'eccesso di zelo.Hmmm, c'era il Duce... forse è il Giornale! :-)
  • Anonimo scrive:
    Steganografia ? No, grazie !
    "I computer di Echelon, se proprio ci tengono, sono in grado di scardinare intempi ragionevoli qualsiasi sistema di cifratura. Anzi, il fatto di cifrare il vostromessaggio lo rende per definizione sospetto e quindi lo porta maggiormenteall'attenzione di Echelon. E più è potente il sistema di cifratura che usate, piùil vostro messaggio diventa appetibile. E ' logico, dopotutto: se usate crittografiacosì massiccia, si vede che state nascondendo qualcosa di grosso.La soluzione? Studiate la steganografia: la tecnica di dissimulare un messaggioall'interno di un altro apparentemente innocuo."-------------------------------------------E' un'affermazione superficiale e poco informata.1) Se tutti criptassero con chiavi lunghe TUTTI i messaggi non ci sarebbe echelon (non e' echelon che decritta, ma fa lo stesso) che tenga.2) i metodi steganografici sono molto piu' tracciabili con l'analisi del traffico; la terza volta che ci si scambia foto di margherite si nota anche senza computer; "security through obscurity" e' il prototipo degli errori che si possono fare, anche se capisco perfettamente che la steganografia e' piu' affascinante di pgp. Perche' funzioni veramente ci vogliono canali coperti, e questa e' un'altra storiaMarco
    • Anonimo scrive:
      Re: Steganografia ? No, grazie !
      - Scritto da: Marco A. Calamari
      all'attenzione di Echelon. E più è potente
      il sistema di cifratura che usate, più
      il vostro messaggio diventa appetibile. E '
      logico, dopotutto: se usate crittografia
      così massiccia, si vede che state
      nascondendo qualcosa di grosso.Oppure, molto più banalmente, che non vi fidate delle chiavi corte e dei sistemi di cifratura "light", anche se l'oggetto criptato è una semplice lista della spesa. Ragionamento del tutto surrettizio ed ingustificato.
      1) Se tutti criptassero con chiavi lunghe
      TUTTI i messaggi
      non ci sarebbe echelon (non e' echelon che
      decritta, ma fa lo stesso)
      che tenga.Sottoscrivo incondizionatamente. RSA resiste da più di venti anni con chiavi
      1024 bit...
      "security
      through obscurity" e' il
      prototipo degli errori che si possono fare,Questa devo già avertela sentita dire... ;-)Certo che il mondo è proprio piccolo, vero ? ;-)The Wizard
  • Anonimo scrive:
    Ecco la protesta!
    Tutto ciò è assolutamente sconvolgente...Beh era ovvio a pensarlo, basta mettere uno sniffer in un nodo molto trafficato e zap! intercetti tutto quello che ti passa sotto mano... e poi con calma possono ricercare parole chiave... beh si sapeva già che la polizia italiana facesse altrettando, facendo intercettamenti telefonici casuali per vedere di scovare "qualche pericolo nascosto". Non ci credete? Beh sono a conoscenza di una piccola avventura occorsa a un mio amico che dimostra il fatto che effettivamente non qualche servizio straniero ma proprio la nostra onorata arma faccia sconfinamenti gratuiti nella privacy di ognuno. Beh io sono fatto così... appena vedo qualcosa che non và, cerco subito di protestare, mi viene naturale... e allora perchè non ci mettiamo daccordo e e cominciamo a mandare lettere casuali magari molto lunghe criptate con un bel PGP a 2048? Mandiamone tante, assolutamente casuali, e magari infiliamoci parole chiave o storie credibili ma non vere... oppure infiliamo parole chiave ovunque... beh voglio che ci sia la probabilità che questo messaggio venga intercettato? Perfetto --
    attentato saddam milosevic cina russia traffico cocaina fumo armi kalashnikov bush blair missile roba... penso che basti.. o no? Ciao Echelon!!
  • Anonimo scrive:
    Antenne di RadioVaticano & RadioMaria
    Oh pofferbacco... e se quelle incredibili antennone di RadioVaticano non facessero altro che risucchiare tutti i pacchetti TCP/IP che gironzolano per l'etere degli utenti WAP?Sarà il caso di cancellare dai miei bookmark i siti WAP osè? :-)2) Avete mai notato che Radio Maria si sente OVUNQUE voi siate, PERFETTAMENTE? E se tra le varie preghiere si celassero messaggi astutamente nascosti? Arrivano ovunque in Italia, ignorati dal 99% della popolazione e perfettamente nascosti dall'estrema "chiarezza" delle preghiere. Più o meno una tecnica stenografica...
    • Anonimo scrive:
      Re: Antenne di RadioVaticano & RadioMaria
      Questo messaggio può risultare offensivo ad alcuni lettori credenti cattolici. Se pensate che la vostra sensibilità cattolica sia particolarmente forte, non leggete oltre.
      E se tra
      le varie preghiere si celassero messaggi
      astutamente nascosti? Arrivano ovunque in
      Italia, ignorati dal 99% della popolazione e
      perfettamente nascosti dall'estrema
      "chiarezza" delle preghiere. Più o meno una
      tecnica stenografica...hmmm credo che tu abbia proprio ragione...proviamo a decriptare una famosa litania cattolica:Ave Maria : beh qui c'è un chiaro riferimento a un qualche gruppo neofashista con il nomignolo di Maria... Ave testimonia l'appartenenza politica.Piena di Grazia: si riferiscono al fatto che il succitato gruppo è fornitissimo di armi.il Signore è con te: un qualche famoso politico ben celato è daccordo con i futuri atti del gruppo.Tu sei benedetta fra le donne: tra tutti i gruppi che il politico finanzia il gruppo "Maria" è nettamente quello che riscontra + favore nel politico.Benedetto è il frutto del seno tuo, Gesù: le tue azioni portano tanta acqua al mulino del politico. Santa Maria, Madre di Dio: il gruppo "maria" proviene da un precendte gruppo eversivo che aveva come nomignolo "Dio"Prega per noi peccatori: spera che vinciamo le prossime elezioni, sennò son cazzi per te!Adesso e nell'ora della nostra morte: e spera anche che quando cadiamo non facciamo i vostri nomi...Amen: hmm qui sono dubbioso... per me "Amen" è l'anagramma di "mena", cioè fatti sentire, picchiane tanti, così gli mettiamo paura...
      • Anonimo scrive:
        Re: Antenne di RadioVaticano & RadioMaria
        ! eredir onemla essecaf
        • Anonimo scrive:
          Re: Antenne di RadioVaticano & RadioMaria
          - Scritto da: rioka
          ! eredir onemla essecaffacesse almeno ridere !E senza echelon :-PMa tu sei rioka o akoir?Saluti.Stefano.(non cercate di decrittarlo, e' gia' in chiaro)
          • Anonimo scrive:
            Re: Antenne di RadioVaticano & RadioMaria
            - Scritto da: Stefano
            - Scritto da: rioka

            ! eredir onemla essecaf

            facesse almeno ridere !

            E senza echelon :-P

            Ma tu sei rioka o akoir?

            Saluti.

            Stefano.

            (non cercate di decrittarlo, e' gia' in
            chiaro) .acitapmis 'e asoc al 'oreP .iamro opmet otlom ad etacitnemid onos el em oI .ereihgerp el isradrocir rep airomem alleb anu ailgov ic ,asoc amirp emoc ,ehc osnep oi
    • Anonimo scrive:
      :)))
      che DIO abbia pieta di voi...
      Oh pofferbacco... e se quelle incredibili
      antennone di RadioVaticano non facessero
      altro che risucchiare tutti i pacchetti
      TCP/IP che gironzolano per l'etere degli
      utenti WAP?
      Sarà il caso di cancellare dai miei bookmark
      i siti WAP osè? :-)

      2) Avete mai notato che Radio Maria si sente
      OVUNQUE voi siate, PERFETTAMENTE? E se tra
      le varie preghiere si celassero messaggi
      astutamente nascosti? Arrivano ovunque in
      Italia, ignorati dal 99% della popolazione e
      perfettamente nascosti dall'estrema
      "chiarezza" delle preghiere. Più o meno una
      tecnica stenografica...
      • Anonimo scrive:
        Re: Crittografia
        Beh, evidentemente non hai fatto i conti con una tecnologia che noi non abbiamo....Ma che è in possesso di tutte le strutture militari, ovvero i computer quantici...Probabilmente pochi di voi hanno anche una vaga idea di cosa siano, resta il fatto che su un computer quantico la proporzione è differente rispetto a quella del pc classico, cosa vuol dire? Che le combinazioni da tentare salgono in modo LINEARE e non ESPONENZIALE, esempio:pc di casa -
        per crackare una pass di 2 char ci metto 5 secondi4 char -
        25 secondi8 char -
        625 secondiecc...Computer quantico:2 char -
        5 secondi4 char -
        10 secondi8 char -
        20 secondiOra ti sembra una cosa tanto impossibile crackare una qualsiasi chiave?Considera poi che i computer quantici che usa Echelon non sono di bassa potenza, ma sicuramente di elevatissima potenza :) ecco qui che la crittografia certamente ci da una mano ma di certo non risolve i nostri problemi :)...Insomma, vale la stessa legge di sempre: se ti vogliono beccare, hanno i mezzi per farlo :)Que
  • Anonimo scrive:
    Crittografia...
    "I computer di Echelon, se proprio ci tengono, sono in grado di scardinare in tempi ragionevoli qualsiasi sistema di cifratura.."Non credo. Un'algoritmo "leggero" tipo RSA4 può essere facilmente craccato in particolare se si usano delle password di pochi caratteri. La crittografia fornita da programmi tipo PGP, con sistemi a doppia chiave fino a 2048 bit, è definita "strong encryption", e tentativi di decriptazione "brute force" impegnerebbero i più potenti computer per parecchio tempo (anni).Si preferirebbe agire in altri modi, ad es. l'uso di "human engineering" per tentare di compromettere le chiavi. Questo sarebbe fattibile nel caso suddetta tecnologia fosse usata da pochi individui, ma un uso massiccio di questo tipo di crittografia renderebbe molto troppo dispendioso questi metodi.Appunto per questo motivo i promotori di PGP esortano chiunque tenga alla propria privacy di usare la crittografia "pesante" - ed i vari governi non ne sono tanto contenti...Fate un giretto qui:http://www.pgpinternational.com/FD
    • Anonimo scrive:
      Re: Crittografia...
      Credi veramente che il governo degli stati uniti permetta una crittografia di un certo tipo (come PGP) senza avere la possibilità di decriptarla praticamente in tempo reale?È ben noto (da sempre) che la tecnologia messa a disposizione di tutti è inferiore a quella p.es militare .. e quella in dotazione alla NSA?byebyePS (per Echelon) cippidimerli!- Scritto da: Flyingdutchman
      "I computer di Echelon, se proprio ci
      tengono, sono in grado di scardinare in
      tempi ragionevoli qualsiasi sistema di
      cifratura.."

      Non credo. Un'algoritmo "leggero" tipo RSA4
      può essere facilmente craccato in
      particolare se si usano delle password di
      pochi caratteri. La crittografia fornita da
      programmi tipo PGP, con sistemi a doppia
      chiave fino a 2048 bit, è definita "strong
      encryption", e tentativi di decriptazione
      "brute force" impegnerebbero i più potenti
      computer per parecchio tempo (anni).

      Si preferirebbe agire in altri modi, ad es.
      l'uso di "human engineering" per tentare di
      compromettere le chiavi. Questo sarebbe
      fattibile nel caso suddetta tecnologia fosse
      usata da pochi individui, ma un uso
      massiccio di questo tipo di crittografia
      renderebbe molto troppo dispendioso questi
      metodi.

      Appunto per questo motivo i promotori di PGP
      esortano chiunque tenga alla propria privacy
      di usare la crittografia "pesante" - ed i
      vari governi non ne sono tanto contenti...

      Fate un giretto qui:
      http://www.pgpinternational.com/

      FD
      • Anonimo scrive:
        Re: Crittografia...
        L'NSA è fatta di matematici ed ai matematici piace tanto parlare...dunque...la comunità scientifica non era la passo con i tempi ma roa ci sono tantissimi crittografi e crittoanalisti di fama che sanno come affrontare ogni problema..sfatiamo vi prego il mito del governo super grande fratello....- Scritto da: ra

        Credi veramente che il governo degli stati
        uniti permetta una crittografia di un certo
        tipo (come PGP) senza avere la possibilità
        di decriptarla praticamente in tempo reale?

        È ben noto (da sempre) che la tecnologia
        messa a disposizione di tutti è inferiore a
        quella p.es militare .. e quella in
        dotazione alla NSA?

        byebye

        PS (per Echelon) cippidimerli!

        - Scritto da: Flyingdutchman

        "I computer di Echelon, se proprio ci

        tengono, sono in grado di scardinare in

        tempi ragionevoli qualsiasi sistema di

        cifratura.."



        Non credo. Un'algoritmo "leggero" tipo
        RSA4

        può essere facilmente craccato in

        particolare se si usano delle password di

        pochi caratteri. La crittografia fornita
        da

        programmi tipo PGP, con sistemi a doppia

        chiave fino a 2048 bit, è definita "strong

        encryption", e tentativi di decriptazione

        "brute force" impegnerebbero i più potenti

        computer per parecchio tempo (anni).



        Si preferirebbe agire in altri modi, ad
        es.

        l'uso di "human engineering" per tentare
        di

        compromettere le chiavi. Questo sarebbe

        fattibile nel caso suddetta tecnologia
        fosse

        usata da pochi individui, ma un uso

        massiccio di questo tipo di crittografia

        renderebbe molto troppo dispendioso questi

        metodi.



        Appunto per questo motivo i promotori di
        PGP

        esortano chiunque tenga alla propria
        privacy

        di usare la crittografia "pesante" - ed i

        vari governi non ne sono tanto contenti...



        Fate un giretto qui:

        http://www.pgpinternational.com/



        FD
        • Anonimo scrive:
          Re: Crittografia...
          Sono d'accordo!La crittografia tradizionale è intrinsecamente complessa da violare poiché richiede di poter fattorizzare grandi numeri interi (almeno per i più comuni tra gli algoritmi crittografici). Questo è un problema con complessità esponenziale e qualunque informatico potrà confermare che non c'è verso di aggirarlo agevolmente. Il governo degli USA può essere smargiasso e potente quanto vuole, ma se un messaggio è crittografato "pesante", state tranquilli che senza chiave non riuscirà a craccarlo!- Scritto da: Vytek

          L'NSA è fatta di matematici ed ai matematici
          piace tanto parlare...dunque...la comunità
          scientifica non era la passo con i tempi ma
          roa ci sono tantissimi crittografi e
          crittoanalisti di fama che sanno come
          affrontare ogni problema..sfatiamo vi prego
          il mito del governo super grande
          fratello....
          • Anonimo scrive:
            Re: Crittografia...
            - Scritto da: Vincent
            Questo è un problema con complessità
            esponenziale e qualunque informatico potrà
            confermare che non c'è verso di aggirarlo
            agevolmente. E' esponenziale finche' ragioniamo su pc tradizionali: esistono gia' algoritmi che sfruttando un "quantum pc" potrebbero decrittare in tempi ragionevoli qualunque codice, perche' riducono la complessita' dei suddetti algoritmi a polinomiale. Resta il fatto che "ufficialmente" non esiste nessun "quantum pc" funzionante, ma "ufficialmente" per gli U.S.A. non esiste nemmeno Echelon...Bye...
          • Anonimo scrive:
            Re: Crittografia...

            Resta il
            fatto che "ufficialmente" non esiste nessun
            "quantum pc" funzionante, ma "ufficialmente"
            per gli U.S.A. non esiste nemmeno Echelon...MA VA VAAAA!Finiamola con 'ste fesserie! Adesso gli USA avrebbero pure gia' implementato processori quantici, quando il resto del mondo e' ancora fermo sulla loro fattibilita' teorica, e nessuno ne sa nulla? MA VA VAAAA!
          • Anonimo scrive:
            Re: Crittografia...
            Beh! su questo punto potrei avere dei ragionevoli dubbi.Io ho dei fondati dubbi anche sul fatto che Echelon possa leggere un fax (cosa un pochino ridicola in fin dei conti)o capire cosa si dicono due persone al telefono....Ma sul fatto che per la difesa USA si possa parlare di computer quantici bisogna considerare una cosa:Ho lavorato 10 anni fa per lo stato maggiore dell'esercito e, avevo accesso a quell'incredibile pozzo di informazione che e' Jane's defence weekly (tranquilli non si trova in edicola) una bella rivista, inglese, dal costo spropositato, che parla di tecnologie relative alla difesa.Articolo del giugno 1993 n° 26: "l'alba di una nuova era del carbonio" senza tradurlo tutto si parlava della molecola 60 del carbonio - il Fullerene - (60 atomi, forma a pallone da calcio) nanotubi, rigenerazione, superconduttivita' protezione laser, dissipazione termica per microchip, etc. etc.Morale della favola: il premio Nobel allo scopritore arriva solo nel '95 e, i primi articoli sulla stampa scientifica nel '98-'99.Alcuni degli utilizzi che ho menzionato ad es: la caratteristica dei nanotubi di autoricostruirsi in seguito a danni o il grado di dissipazione termica del Fullerene superiore a quella del'Oro e del Berillio non mi e' ancora capitato di leggerli su "Le scienze" et simili.Come pure che il suddetto sia l'unica protezione al mondo - valida - dalla luce laser.Concludo: I microprocessori montati su quel giocattolino dell' F22 raptor - progettati agli inizi del '90 - sono costituiti sulla base del fullerene, che come si scoprira' fra poco *E'* il materiale ideale per realizzare un processore quantico.Purtroppo non leggo piu' Jane's altrimenti la notizia sarebbe li.pazienza
          • Anonimo scrive:
            Re: Crittografia...
            Che io sappia un quantum PC già lo ha fatto l'IBM...
            Finiamola con 'ste fesserie! Adesso gli USA
            avrebbero pure gia' implementato processori
            quantici, quando il resto del mondo e'
            ancora fermo sulla loro fattibilita'
            teorica, e nessuno ne sa nulla?

            MA VA VAAAA!
          • Anonimo scrive:
            Re: Crittografia...
            - Scritto da: deb

            Resta il

            fatto che "ufficialmente" non esiste
            nessun

            "quantum pc" funzionante, ma
            "ufficialmente"

            per gli U.S.A. non esiste nemmeno
            Echelon...

            MA VA VAAAA!

            Finiamola con 'ste fesserie! Adesso gli USA
            avrebbero pure gia' implementato processori
            quantici, quando il resto del mondo e'
            ancora fermo sulla loro fattibilita'
            teorica, e nessuno ne sa nulla?

            MA VA VAAAA!ehehe veramente pensi di sapere tutto di tutti ?chi sei ?nn immagini quante cose ignoriamo tutti i giorni ;)
          • Anonimo scrive:
            Re: Crittografia...
            Il computer quantico esiste eccome, io lavoro su un raro esemplare da 3x10^8 m/s su cinque atomi in cella con installato un linux ibribo che attualmente è in fase di beta testing nei nostri laboratori.Alcuni bench matematici hanno mostrato potenze di 450 (630 TeraOPS) oltre la soglia di comparabilità con sistemi Ultraspark con 12.000 processori Alpha.Non posso dire altro..
          • Anonimo scrive:
            Re: Crittografia...
            - Scritto da: p-dave


            - Scritto da: Vincent

            Questo è un problema con complessità

            esponenziale e qualunque informatico potrà

            confermare che non c'è verso di aggirarlo

            agevolmente.

            E' esponenziale finche' ragioniamo su pc
            tradizionali: esistono gia' algoritmi che
            sfruttando un "quantum pc" potrebbero
            decrittare in tempi ragionevoli qualunque
            codice, perche' riducono la complessita' dei
            suddetti algoritmi a polinomiale. Resta il
            fatto che "ufficialmente" non esiste nessun
            "quantum pc" funzionante, ma "ufficialmente"
            per gli U.S.A. non esiste nemmeno Echelon...Ma che stai a di'??La complessita' di un algoritmo e' indipendente al HW su cui gira il programma che lo sviluppa. La complessita' di un algoritmo e' la complessita' del ragionamento logico su cui si basa il programma.Se un programma esponenziale gira su una macchina x e su una y 2 volte piu' veloce non finisce nella meta' del tempo, ma in poco meno.
          • Anonimo scrive:
            Re: Crittografia...
            - Scritto da: Vincent
            Il governo degli USA può essere smargiasso e
            potente quanto vuole, ma se un messaggio è
            crittografato "pesante", state tranquilli
            che senza chiave non riuscirà a craccarlo!La crittografia pesante, qualche anno fa era proibita (forse, perchè non erano in grado di decriptare in tempi ragionevoli). Dal momento che hanno dato il via libera, non ti sorge un dubbio?
      • Anonimo scrive:
        Re: Crittografia...

        Credi veramente che il governo degli stati
        uniti permetta una crittografia di un certo
        tipo (come PGP) senza avere la possibilità
        di decriptarla praticamente in tempo reale?la versione di PGP con crittografia forte (chiavi fino a 4096 bit) è sviluppata in Norvegia, gli USA non c'entrano un cazzo. L'IDEA, 128 bit basato su MD5 (per un brute force ci vogliono svariati miliardi di anni, vedi la FAQ di PGP), usato da PGP per la crittografia convenzionale senza chiavi è stato sviluppato in Germania. L'RC6, ben 384 bit, usato tra l'altro per criptare le sessioni remote di BO2K (altro che OpenSSH!), è anch'esso senza limiti di distribuzione perchè sviluppato in EuropaFinchè non scopriranno un *errore di base* negli algoritmi, l'unica alternativa sarà il brute force. Che è impensabile
    • Anonimo scrive:
      Re: Crittografia...

      Fate un giretto qui:
      http://www.pgpinternational.com/Oppure, per non dover usare PGP, si possono utilizzare tutte le funzionalità di crittografia già presenti nei software microsoft e netscape. Basta avere un certificato digitale! Oltre alla firma digitale si avrebbe anche la crittografia, con 3DES e RSA.http://thawte.ascia.net(pubblicità occulta, ma in tema :-)
      • Anonimo scrive:
        Re: Crittografia...
        - Scritto da: Stefano

        Fate un giretto qui:

        http://www.pgpinternational.com/

        Oppure, per non dover usare PGP, si possono
        utilizzare tutte le funzionalità di
        crittografia già presenti nei software
        microsoft e netscape. Mai sentito parlare del simbolo di debugging NSAKEY trovato nelle API crittografiche di windows? (Su google: NSA key microsoft)Quale modo piu` agevole per il governo americano di intercettare le informazioni che mettere backdoor nei sistemi crittografici del SO piu` diffuso al mondo?Per un sistema crittografico sicuro, bisogna partire da un software sicuro. Meglio di tutti, un software compilato sul proprio computer, a partire da un sorgente libero.
        • Anonimo scrive:
          GNUpg
          - Scritto da: abel


          - Scritto da: Stefano


          Fate un giretto qui:


          http://www.pgpinternational.com/



          Oppure, per non dover usare PGP, si
          possono

          utilizzare tutte le funzionalità di

          crittografia già presenti nei software

          microsoft e netscape.

          Mai sentito parlare del simbolo di debugging
          NSAKEY trovato nelle API crittografiche di
          windows? (Su google: NSA key microsoft)
          Quale modo piu` agevole per il governo
          americano di intercettare le informazioni
          che mettere backdoor nei sistemi
          crittografici del SO piu` diffuso al mondo?
          Per un sistema crittografico sicuro, bisogna
          partire da un software sicuro. Meglio di
          tutti, un software compilato sul proprio
          computer, a partire da un sorgente libero.appunto. Tra parentesi la microsoft ha gia' fatto una bella figura in campo crittografico con pptp (una implementazione proprietaria di ipsec) che e' stata riconosciuta come "Another microsoft security disaster" assieme all'attacco a man in the middle per il protocollo NetBEUI.se volete sicurezza forte e senza controllo diretto da parte di nessuno l'unico programma che ve la garantisce e' GNUpg.
Chiudi i commenti