Untrusted/ Addomesticare la belva

di Alessandro Bottoni - Ci sono diverse vie per trasformare il trusted computing in qualcosa di socialmente accettabile. Ma questo richiede l'intervento di consumatori e governi, fin qui inesistente


Roma – Il Trusted Computing esiste, nella sua forma attuale, dal 1999, cioè dai tempi in cui è stata fondata la Trusted Computing Platform Alliance (ora Trusted Computing Group) ed in cui è stato lanciato il progetto “Palladium” di Microsoft (ora NGSCB). Nel corso di questi anni, il Trusted Computing ha ricevuto una impressionante quantità di critiche da parte di praticamente tutti gli osservatori indipendenti che se ne sono occupati, da Seth Schoen di Electronic Frontier Foundation, a William Arbaugh dell’Università del Maryland, a Bruce Schneier di CounterPane (il mitico autore di “Applied Cryptography”). Una raccolta quasi completa degli scritti sul Trusted Computing è disponibile qui .

Insieme alle critiche, sono arrivate anche le proposte di “addomesticamento”. Prima Seth Schoen di EFF e poi alcuni altri osservatori hanno avanzato delle proposte tese a rendere questa tecnologia “socialmente e tecnicamente accettabile”. Queste proposte possono essere classificate grosso modo in tre categorie:
1)Modifiche tecniche tese a rendere meno invasivo e meno minaccioso il Trusted Computing;
2)Iniziative tese a sostituire il Trusted Computing con qualcosa di più accettabile (Smart Card);
3)Iniziative tese a sottoporre il Trusted Computing al controllo politico e legale dei governi

L’approccio “tecnico” al problema
L’esempio più conosciuto di questo tipo di proposta è l’Owner Override di Seth Schoen. Seth Schoen è un apprezzato “columnist” ed un “technical analyst” di Electronic Frontier Foundation, una delle più antiche e delle più autorevoli associazioni attive nella difesa dei diritti digitali dei cittadini. Schoen identifica una delle principali fonti di problemi del Trusted Computing nella cosiddetta “remote attestation”. Per quelli che si fossero collegati in questo momento, ricordiamo che la remote attestation è quella funzionalità che permette ad un interlocutore remoto, ad esempio un venditore di brani musicali in formato digitale su Internet, di verificare l’identità dei programmi in uso sul vostro computer grazie a delle apposite tecniche crittografiche messe a disposizione dal Fritz Chip.

Ecco come si esprime Seth Schoen riguardo alla remote attestation:

Il proprietario del PC come un nemico?
La versione corrente della remote attestation permette l’imposizione di regole contrarie a ciò che può desiderare il proprietario del PC. Se il software che utilizzate è concepito in questo modo, non si limiterà a difendere i vostri dati da eventuali intrusi e da pericolosi virus. Li proteggerà anche da voi stessi. In pratica, voi, il proprietario del PC, sarete trattati come una minaccia.

Questo problema nasce dalla eccessiva preoccupazione dei progettisti di ottenere un meccanismo che fornisca sempre un ritratto fedele della configurazione del PC in qualunque situazione, senza eccezioni. Il proprietario del PC può disabilitare completamente la remote attestation ma non può fare in modo che la remote attestation rifletta una configurazione diversa da quella esistente. In altri termini, non è possibile mentire riguardo al tipo ed alla versione del browser web o del programma di file sharing correntemente in uso.

Questo approccio è di vantaggio per l’utente solo se l’utente ed il suo interlocutore perseguono lo stesso fine. Se la remote attestation è usata da un fornitore di servizi che vuole aiutarvi a rilevare la presenza di virus e trojan horse prima di effettuare una transazione critica, allora la remote attestation vi aiuta a proteggervi. Se la remote attestation è usata da qualcuno che vuole impedirvi, per un motivo o per l’altro, di usare il software di vostra scelta, allora la remote attestation vi procura un danno.”

La soluzione proposta da Schoen è semplice ed apparentemente geniale: permettere all’utente di sovrascrivere il certificato digitale generato automaticamente dal TPM con un altro, di sua scelta. In pratica, Seth Schoen propone di fornire all’utente gli strumenti con cui mentire al suo interlocutore.
Ecco come giustifica questa sua proposta:

“L’Owner Override permette al proprietario del PC, quando fisicamente presente alla tastiera, di generare deliberatamente un attestato che non riflette la situazione corrente del PC, in modo da poter presentare all’interlocutore remoto una immagine di sua scelta riguardo al sistema operativo, ai driver ed al software applicativo in uso. Dato che questo attestato può essere generato solo su disposizione esplicita e consapevole del proprietario, l’uso della remote attestation per rilevare eventuali virus e trojan horse è ancora possibile. Tuttavia, grazie all’Owner Override l’utente riprende il controllo del suo PC, anche in un ambiente di rete, ed il PC non può più essere usato per imporre regole contrarie all’interesse del suo proprietario.
L’Owner Override rimuove gli strumenti che rendono possibile l’abuso della tecnologia Trusted Computing da parte di chi vuole usarla come strumento anti-interoperabilità e anti-concorrenza. Ripristina l’importante possibilità di effettuare il reverse-engineering dei programmi per garantire la interoperabilità.
In senso più ampio, corregge il Trusted Computing mantenendo la possibilità di usare questa tecnologia per difendere l’utente senza però limitarne la libertà di decidere quali regole debbano essere fatte rispettare. Non compromette nessuno dei risultati che lo standard TCG o MS NGSCB vogliono ottenere ed è coerente con gli scopi ufficialmente dichiarati per il Trusted Computing”.

Nonostante l’ottimismo di Seth Schoen, l’Owner Override è stato quasi immediatamente bocciato dai sostenitori del Trusted Computing. Il motivo di questa bocciatura viene spiegato con notevole lucidità da Catherine Flick, l’autrice di una tesi di laurea intitolata Controversy over Trusted Computing . Ecco cosa dice Catherine Flick:

“Sebbene l’Owner Override possa rendere più accettabile il Trusted Computing, potrebbe avere anche delle pesanti controindicazioni:
– L’Owner Override potrebbe degradare seriamente la sicurezza complessiva del sistema a causa della maggiore complessità. Ad esempio, spedire delle false informazioni all’esterno sarebbe quasi impossibile senza qualche forma di automatismo e questo automatismo potrebbe portare con sé dei seri problemi di sicurezza.
– L’Owner Override potrebbe instillare un falso senso di sicurezza nell’utente connesso ad una rete.
– L’Owner Override renderebbe i sistemi DRM (buoni o cattivi che siano) inefficaci.
Nel complesso, l’Owner Override può essere visto come un punto di partenza per la discussione ma non come una soluzione pronta all’uso per i problemi del Trusted Computing. Non potrà esserlo anche perché, per i motivi appena visti, nessun produttore di sistemi Trusted Computing potrà mai avere interesse ad adottare questa soluzione”.

Nonostante il suo precoce fallimento, la proposta di Seth Schoen ha sicuramente un merito: ha messo in evidenza come, in un universo tecnologico come quello che ci aspetta nei prossimi anni, l’utente debba avere il diritto “tecnologico” di tacere o persino di mentire sulla sua identità e sulla natura degli strumenti che usa, se vuole salvaguardare quella libertà di scelta che noi tutti, al giorno d’oggi, diamo per scontata. Questa esigenza nasce dalla impressionante ed inaudita efficacia che possono vantare molte nuove tecnologie tra cui il Trusted Computing, le tecniche di riconoscimento biometrico, i nuovi sistemi DRM, gli RFID e via dicendo.


La capacità di identificare e controllare persone ed oggetti con matematica precisione, scavalcando ogni controllo da parte dell’interessato, è qualcosa che noi non riusciamo né ad immaginare né ad accettare emotivamente al giorno d’oggi. Si fatica a capirne gli effetti sulla nostra vita quotidiana. Sarebbe come se un satellite a 400 Km di quota seguisse in ogni istante la nostra auto e ci addebitasse automaticamente sul conto corrente 300 euro di multa ogni volta che superiamo il limite di velocità anche solo per un istante. Non ci sarebbe difesa da una cosa del genere e diventerebbe subito impossibile usare l’auto.

Il Trusted Computing ed i sistemi DRM della prossima generazione possono vantare proprio questo livello di precisione e di efficacia nell’imporre le loro regole. Regole che, si badi bene, non sarebbero decise democraticamente da un parlamento ma sarebbero piuttosto stabilite in modo autoritario dai dipartimenti di marketing di aziende private. Nelle mani di un governo autoritario (e ce ne sono molti più di quanto si creda abitualmente), queste tecnologie permetterebbero di creare una dittatura senza precedenti e senza punti deboli. Senza la possibilità tecnica di mentire e/o di nascondersi non ci sarebbe nessuna via di salvezza per il cittadino. Quello che al giorno d’oggi può sembrare un “diritto” che solo un delinquente può reclamare, in futuro potrebbe essere invece un diritto indispensabile a qualunque cittadino ossequioso delle leggi per sopravvivere in una civiltà tecnicamente avanzata.

Il documento originale di Seth Schoen è disponibile in rete: originale inglese , traduzione in italiano .

Come abbiamo detto, la proposta di Schoen è solo un caso specifico di un approccio più generale alla soluzione del problema Trusted Computing. Altri studiosi hanno proposto varianti più permissive o più restrittive dello stesso concetto. Ad esempio due ricercatori di ACM, Klaus Kursawe e Christian Stüble, in un loro scritto del 2003 propongono un sistema che permetta non soltanto di sovrascrivere i certificati digitali usati dalla remote attestation (i cosidetti “Platform Configuration register” o “PCR”) ma anche di avere accesso alla Storage Root Key usata per crittografare il contenuto del disco fisso e persino di sovrascrivere e rigenerare la Endorsement Key usata per identificare in modo univoco il Fritz Chip e, con esso, l’intero PC. Quale sia il possibile futuro di queste proposte è descritto molto bene da Catherine Flick:

“Questo (la proposta di Kursawe e Stüble ? ndr) porta con sé tutti i problemi del semplice Owner Override. Sebbene le argomentazioni che vengono portate per giustificare l’accesso dell’utente alla Storage Root Key siano solide (ad esempio, per permettere il backup dei dati), questa libertà di accesso sarebbe un serio problema per i sistemi DRM, buoni o cattivi che siano.
Non c’è niente che si possa aggiungere alle specifiche del Trusted Computing che possa soddisfare tutte le parti in gioco.

Poco più avanti, Catherine Flick esprime un giudizio molto pesante nei confronti del Trusted Computing, un giudizio condiviso da praticamente tutti gli osservatori indipendenti che se ne sono occupati:

“Mentre il Trusted Computing può essere considerato un interessante punto di partenza per cominciare a parlare di sicurezza dei sistemi e delle reti, di certo non può essere considerato la migliore soluzione possibile per molte delle parti coinvolte, soprattutto per gli utenti finali”.

L’alternativa Smart Card
Le Smart Card sono dei dispositivi formati da un microchip e da una piccola area di memoria. Possono essere usate per conservare dati particolarmente sensibili, come una coppia di chiavi per la crittografia a chiave pubblica (RSA), e per effettuare operazioni, come la cifratura e la decifrazione di documenti. Ne esistono di diversi tipi, alcuni dei quali molto comuni. Ad esempio, sono delle Smart Card a tutti gli effetti, anche se di tipo leggermente diverso tra loro, i seguenti dispositivi:
– Smart Card usate per controllare l’accesso ai canali televisivi digitali (Satellitari e Digitale Terrestre);
– SIM dei telefoni cellulari (GSM, GPRS, UMTS);
– Alcuni tipi di Carte di Credito bancarie, come le Carte “Moneta” di Cariplo;
– Le Patenti di Guida Elettroniche, i Passaporti Elettronici, le Tessere Sanitarie Elettroniche e le “schede” per la Firma Digitale rilasciati dalle Camere di Commercio.

In quasi tutti questi casi, le Smart Card vengono usate per dare una “identità digitale” al loro proprietario e, a volte, per immagazzinare in modo sicuro piccole quantità di dati sensibili (come i punti residui sulla patente di guida, le informazioni mediche nella tessera sanitaria o la data di ingresso in un certo paese sul passaporto).

Le Smart Card sono sempre state considerate un elemento chiave per migliorare la sicurezza dei sistemi (PC) e delle reti (Internet) proprio per la loro capacità di conservare la coppia di chiavi RSA ed altre piccole quantità di dati fuori dalla portata degli “hacker”. Le Smart Card vengono considerate sostanzialmente infalsificabili ed inviolabili da molti studiosi. Il Chip ESS (Embedded Security Subsystem) che IBM installava di serie sui suoi ThinkPad è stato concepito proprio come una installazione fissa, e “di serie”, di una Smart Card su un PC, in modo che l’utente ne potesse godere tutti i vantaggi senza dover acquistare separatamente l’apposito lettore di Smart Card. Il Fritz Chip (TPM) è la versione “standardizzata” del chip ESS di IBM.

Tra Smart Card e Fritz Chip esiste quindi una stretta parentela. Anzi: si tratta di fatto dello stesso dispositivo, con l’unica differenza che la Smart Card è rimovibile.


Proprio questa strettissima parentela ha fatto sorgere un dubbio legittimo in molti osservatori: se Smart Card e Fritz Chip sono, di fatto, la stessa cosa, perché imporre all’utente l’uso di un Fritz Chip, con tutti i problemi di privacy e di libertà decisionale che esso comporta, invece di diffondere ulteriormente l’uso di una tecnologia già diffusa, collaudata ed economica come quella delle Smart Card?

In effetti, tutto quello che può essere ottenuto da un Fritz Chip può essere ottenuto anche da una Smart Card ma con una differenza sostanziale: la Smart Card può essere sfilata dal PC, portata con sé nel portafoglio e riutilizzata su un’altro PC (o su un’altro dispositivo).

Questo significa, ad esempio, che il “consumo” di un prodotto multimediale non può essere vincolato in nessun modo ad uno specifico dispositivo ma solo ad una specifica Smart Card. In altri termini, un CD od un DVD possono essere ascoltati, o visti, su qualunque dispositivo dell’utente, posto che l’utente porti con sé anche la Smart Card che contiene i codici di abilitazione, nel pieno rispetto sia dei diritti del produttore (copyright) che dell’utente (fair use).

Nello stesso modo, l’utente può portarsi appresso le sue “identità digitali” semplicemente portando con sé le Smart Card che le rappresentano. Nel momento in cui una di queste identità non fosse più utile, basterebbe distruggere la Smart Card corrispondente, ad esempio spezzandola in due. Per ottenere una nuova identità, sarebbe sufficiente acquistare una nuova Smart Card. In certe applicazioni, si potrebbe sfruttare questa caratteristica per garantire la non tracciabilità dell’utente ed il suo diritto alla privacy: basterebbe permettere l’acquisto delle relative Smart Card in forma anonima, come avveniva un tempo con le SIM dei telefoni cellulari.

Nonostante possano sembrare quasi un ritorno al passato, le Smart Card possono fornire tutte le funzionalità di un Fritz Chip senza però imporre (quasi) nessuno degli aspetti negativi della tecnologia Trusted Computing. Ma allora, perché non vengono proposte al posto dei Fritz Chip?

La risposta è ovvia: quelli che sono aspetti negativi per l’utente sono aspetti positivi per le industrie.
La possibilità di “inchiodare” una identità (un utente) ad un dispositivo (un PC) permette un controllo quasi assoluto su di esso. L’utente è costretto a cambiare PC se vuole cambiare identità. La possibilità di “inchiodare” un prodotto multimediale ad un determinato dispositivo (PC o lettore di altro tipo) permette di vendere altre copie a chi volesse consumare lo stesso prodotto su altri dispositivi di sua proprietà.

Proprio questo evidente conflitto tra gli interessi delle aziende e quelli degli utenti ha convinto alcuni osservatori, tra cui chi scrive, che costringere le aziende ad usare le Smart Card al posto del Fritz Chip sia effettivamente la cosa migliore che si può fare per affrontare il problema Trusted Computing.

Una eventuale reazione negativa delle aziende a questa proposta sarebbe una dimostrazione inconfutabile di come il Trusted Computing sia una tecnologia destinata a favorire i produttori, non gli utenti (che però ne pagano il conto, da ogni punto di vista). Questo renderebbe finalmente chiaro, una volta per tutte, che gli utenti non hanno nulla da guadagnare, e molto da perdere, da questa tecnologia.

Si può approfondire la propria conoscenza delle Smart Card a queste URL:
http://en.wikipedia.org/wiki/Smart_card
http://www.microsoft.com/italy/technet/prodtechnol/windows2000serv/smartcard02.mspx
http://www.howstuffworks.com/question332.htm

L’approccio politico/legale
L’approccio più radicale al problema di “addomesticare la belva” è quello politico/legale. Sostanzialmente, consiste nel tentare di coinvolgere i governi in un’opera di regolamentazione dell’uso di questa tecnologia, così come è già avvenuto a suo tempo per i problemi di privacy che sono nati dalla diffusione di Internet.

Ma perché dovrebbero intervenire i governi?


Per capirlo, bisognerebbe forse tenere presenti le idee espresse a Denver nel 1998 dal compianto filosofo Neil Postman in un suo indimenticabile discorso: ogni cambiamento tecnologico è un compromesso. Ci sono sempre vantaggi e svantaggi da soppesare. Basti pensare all’energia nucleare per convincersene.

Vantaggi e svantaggi non colpiscono in misura uguale tutti gli individui, C’è sempre qualcuno che ne trae maggiori vantaggi di altri e c’è sempre qualcuno che ne soffre in modo particolare. In altri termini, ogni cambiamento tecnologico ha degli effetti sociali e politici. Ogni cambiamento tecnologico ridistribuisce il potere e di conseguenza ridistribuisce il reddito . Basti pensare ai motori a scoppio ed al petrolio per convincersene.

In ogni tecnologia è “cristallizzata” una potente idea, a volte più di una. Basti pensare ai PC.
I cambiamenti tecnologici non si limitano ad aggiungere qualcosa all’esistente: cambiano completamente il panorama a cui siamo abituati. Anche in questo caso basti pensare ai PC.

Con il tempo, la tecnologia ha la perniciosa tendenza a trasformarsi in qualcosa di cristallizzato e di indiscutibile (un “mito”, nelle parole di Neil Postman). Ad esempio, al giorno d’oggi è indiscutibile che un telefono ci strazi con i suoi trilli, ovunque e comunque, ma non è sempre stato così. Forse non era nemmeno inevitabile che lo diventasse.
(vedi: itrs.scu.edu/tshanks/pages/Comm12/12Postman.htm e neilpostman.org/ ).

Seguendo le linee di pensiero di Postman, possiamo vedere che:
– Il Trusted Computing è un compromesso tra la sicurezza (di chi?) e la privacy dell’utente. Questo compromesso và valutato e soppesato attentamente prima di usare questa tecnologia.
– I vantaggi del Trusted Computing sono molto maggiori per i produttori di hardware, software e contenuti. Gli svantaggi vanno quasi completamente a gravare sulle spalle dell’utente, anche da un punto di vista economico.

Nel Trusted Computing sono cristallizzate molte potenti idee. Una di queste è che qualcuno possa sostituirsi a noi nel decidere di cosa e di chi noi possiamo e dobbiamo fidarci. Un’altra idea è che il nostro PC possa essere usato contro la nostra volontà per limitare la nostra possibilità di azione.

Il Trusted Computing non aggiunge sicurezza al panorama esistente: lo modifica completamente, dando vita ad un “Mondo Nuovo” di Huxleyana memoria ancora tutto da capire.
Quando sarà “cosa fatta”, sarà troppo tardi per discuterne. A quel punto il Trusted Computing si sarà già trasformato nel nostro modo “standard” di vivere la vita digitale, ci piaccia o no .

In altri termini, la tecnologia non è neutrale, come spesso ci farebbe comodo credere. Ha degli impatti sociali e politici molto forti e come tale deve essere trattata. Il Trusted Computing non fa eccezione. Si tratta di una tecnologia che rimodellerà il mercato e ridistribuirà soldi e potere tra gli attori in gioco. Non si può pensare che le nostre strutture democratiche e governative rimangano alla finestra mentre grandi corporation straniere prendono decisioni cruciali per il nostro futuro.

Per questo motivo, da più parti si sta alzando una voce che chiede ai parlamenti ed ai governi di occuparsi del problema. Come è facilmente prevedibile, è molto difficile ottenere l’attenzione dei politici su temi così tecnicamente ostici e lontani dalla vita quotidiana. Tuttavia, questa è la strada.


Curiosamente, nel vasto panorama dei “movimenti” che si stanno occupando del Trusted Computing, brillano per la loro assenza le associazioni di consumatori. Sarebbe lecito aspettarsi una feroce opposizione di queste associazioni alla silenziosa introduzione sul mercato dei primi PC TC-compliant. Invece niente: nemmeno un lamento da quella direzione.

Sarebbe lecito aspettarsi una attenta e capillare opera di informazione su questo tema da parte delle associazioni di consumatori e dei sindacati. Invece niente: solo qualche sporadico articolo.

In questo momento, gli unici a tenere alta la guardia ed a tentare qualche coraggiosa azione di contrasto sono le associazioni spontanee di utenti di PC che popolano la rete, come www.no1984.org . Persino “Famiglia Cristiana” ha mostrato di dedicare più attenzione al problema Trusted Computing di quanta gliene abbiano dedicata in questi anni molte delle associazioni di consumatori esistenti.

Ma cosa dovrebbero fare i governi?

Probabilmente qualcosa come ciò che segue.
1) Stabilire il principio che nessuno, per nessun motivo, possa esaminare la struttura della mia macchina. Se ha bisogno di una informazione, la chiede a me e si fida di quello che gli dico. Diversamente va a fare i suoi interessi altrove. (Niente remote attestation)

2) Stabilire il principio che, una volta che il cliente si sia dimostrato disposto a pagare per il prodotto od il servizio reso, il fornitore non lo possa discriminare sulla base di ciò che usa per consumare il prodotto od il servizio. A proteggere i diritti dei fornitori ci sono le leggi e la polizia. Devono bastargli (niente discriminazioni basate sulla remote attestation)

3) Stabilire il principio che il prezzo di un prodotto non debba essere così elevato da rappresentare una barriera sociale. Vendere un DVD a 500 euro sarebbe un modo efficacissimo di censurare il suo autore.

4) Stabilire il principio che solo la Magistratura e la Polizia Giudiziaria hanno il diritto di tracciare gli utenti ed i cittadini in rete e solo per seri motivi di Giustizia (Niente registrazione delle Endorsement Key da parte delle aziende)

5) Stabilire il principio che l’utente ha il pieno diritto di usare (o “consumare”) lo stesso prodotto, legalmente acquistato, su tutti i dispositivi tecnicamente in grado di farlo a cui può legittimamente accedere (lettore di CD di casa e dell’auto, ad esempio) (Fair Use)

6) Stabilire il principio che l’utente ha il diritto di fare ciò che vuole con un prodotto che ha regolarmente acquistato, fin dove rispetta i diritti economici e legali del fornitore (Copyright e Fair Use)

7) Stabilire il principio che i sistemi DRM devono difendere il fornitore dalla copia abusiva, non dalla concorrenza (Interoperabilità con sistemi concorrenti)

8) Stabilire il principio che anche i sistemi DRM devono rispettare le leggi. Se il diritto d’autore scade 70 anni dopo la morte del titolare, il sistema DRM deve “rilasciare l’ostaggio” alla stessa data.

Gli autori che si sono occupati della questione, trattano questi argomenti con toni e sfumature tecniche a volte molto diversi tra loro ma su una cosa sembrano essere tutti d’accordo: i governi non possono lasciare alle aziende private la libertà di decidere su questi aspetti della nostra vita digitale. Gli interessi delle aziende sono troppo lontani da quelli dei cittadini e delle società umane per concedere loro questo potere.

In conclusione, si può dire che i tentativi di “addomesticare” la belva Trusted Computing “tagliandole le unghie” tecnologicamente, in vari modi, sembrano condannati al fallimento. Nessuna azienda produttrice accetterà mai di “castrare” la tecnologia Trusted Computing permettendo all’utente di falsificare i dati generati dal Fritz Chip, come vorrebbero Seth Schoen, Klaus Kursawe e Christian Stüble. Sembra più probabile che si possa costringere le aziende a riconoscere la superiorità tecnica e la maggiore accettabilità sociale delle Smart Card, costringendole quindi ad abbandonare il progetto Trusted Computing per passare a qualcosa di più “portatile” e più “gestibile”.

In ultima analisi, tuttavia, quello che è veramente necessario per addomesticare la belva Trusted Computing è una aperta discussione democratica che porti ad un deciso intervento dei governi nazionali e delle associazioni dei consumatori, due entità che finora sono rimaste del tutto latitanti.

Il Trusted Computing è una tecnologia potenzialmente in grado di sconvolgere la nostra vita quotidiana ed il mercato. Di conseguenza il suo uso deve essere deciso e regolamentato dagli organi di governo delle nazioni interessate, non dalle aziende private che dominano il mercato.

Alessandro Bottoni
http://laspinanelfianco.wordpress.com

Le precedenti release di Untrusted sono qui

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    OTP (era: Re: Siti italiani sicuri)
    - Scritto da: Anonimo
    una volta letto dimmi una cosa: se mentre tu
    tenti di mandare una sicurissima OTP a quello che
    tu credi sia il sito della tua banca, ma in
    realta' e' il PC di un hacker rumeno
    (notoriamente specializzati e abili in questo
    tipo di operazioni), e questo mariuolo utilizza
    sia la OTP che i tuoi dati di connessione,
    fottutiti sempre con la tecnica del phishing, me
    lo dici quale grado di sicurezza ti danno ste
    cacchio di OTP???**il fatto che otp stia per one time password non vuol dire che sia UNA sola password....ma che la password, che cambia ad OGNI operazione, dura una sola volta ed in determinati casi (vedi dongle della RSA) cambia ogni minuto in automatico sul display della tua chiavetta.ad oggi, almeno per un pò, il phisher non riesce a fare man bassa di codici ed usarli in un tempo così limitato...la carta cui faceva riferimento qualcuno, non ricordo bene se tu o altri, è perdente, come hanno dimostrato i clienti inglesi, vittime di un phisher che faceva grattare (si, la carta è simile a un gratta e vinci -vaggsi banca di roma) una colonna intera di password...
  • Anonimo scrive:
    Re: fish & crock

    Tools, template belli e pronti per il cantinaro
    di turno con lo skate sotto il braccio, pronto
    sempre ad andare contro il Sistema
    spiegami ora cosa c'entra la cantina con lo skate e con il sistema...sono almeno 20 anni che non vedo piu' gli adesivi "skate is not a crime"ma forse hai solo 16 anni e guardi un sacco di tivvu'
  • Anonimo scrive:
    Re: fish & crock
    - Scritto da: Anonimo

    Ecco!! L'hai appena ammesso!!

    Linux è il sistema operativo dei ladri, mentre

    Windows è il sistema operativo di tutti gli

    altri: impiegati, professionisti, studenti,

    lamer, utonti, casalinghe, mafiosi.

    Sono un utente Linux e desidererei sapere dalla
    redazione come devo comportarmi per procedere
    legalmente nei confronti di questo signore :D
  • Anonimo scrive:
    Re: Tornare al link diretto
    - Scritto da: AnyFile


    Infatti, sapere che (almeno nelgi USA) alcune
    banche hanno deciso (per risparmiare) di
    collegare i loro bancomat tramite rete internet,
    mi lascia alcunquanto preoccupato ....dopo l' 11/9/2001 io eviterei di prendere gli USA come punto di riferimento per problematiche di sicurezza... :|
  • Anonimo scrive:
    Re: Siti italiani sicuri
    - Scritto da: Anonimo

    - Scritto da: Anonimo

    ma tu sai cosa vuol dire OTP? e se lo sai mi
    dici

    che c'entra col phishing e come possa evitarlo

    (sempre che tu abbia capito cosa sia)?

    Premesso che non sono l'autore del primo
    articolo, mi sento in dovere di rispondere.
    L'OTP (onte time password, ovvero password che si
    usano una volta sola) combatte il phishing perchè
    anche se il truffatore riesce a dirottarmi sul
    suo sito fake e mi ocnvince a lasciare la mia
    password, questa, poichè cambia ad ogni accesso,
    non gli serve a nulla.
    tanto per onorare la mia fama di arrogante, iniziate a leggervi questo:http://it.wikipedia.org/wiki/Phishinguna volta letto dimmi una cosa: se mentre tu tenti di mandare una sicurissima OTP a quello che tu credi sia il sito della tua banca, ma in realta' e' il PC di un hacker rumeno (notoriamente specializzati e abili in questo tipo di operazioni), e questo mariuolo utilizza sia la OTP che i tuoi dati di connessione, fottutiti sempre con la tecnica del phishing, me lo dici quale grado di sicurezza ti danno ste cacchio di OTP???
    Il livello dei forum di PI è dimostrato dal post
    di questo troll dell'età mentale di dodici anni
    cha parla con tanta arroganza e mostra tutta la
    sua ignoranza, uccidendo la discussione che
    poteva nascere da uno dei pochi post intelligenti
    presenti sul forum.come vedi, it thread e' tutt'altro che terminato: tutto sta alle persone che lo conducono evitare di fare scenate da checchine offese e offrire invece risposte sensate e pertinenti
  • Anonimo scrive:
    Re: Siti italiani sicuri
    O avrebbero potuto dire che sono acnora peggio di tanti altri... Ricordate le peripezie di Matteo Flora?http://www.lastknight.com/articoli/attacco-xss-poste-italiane/http://punto-informatico.it/p.asp?i=52064&r=PIMah!
  • AnyFile scrive:
    Re: Tornare al link diretto
    - Scritto da: Anonimo

    verranno duplicate e il layer TCP/IP e' troppo
    'aperto' e quindi rende vulnerabile tutta la
    catena di sicurezza anche la meglio concepita.Infatti, sapere che (almeno nelgi USA) alcune banche hanno deciso (per risparmiare) di collegare i loro bancomat tramite rete internet, mi lascia alcunquanto preoccupato ....
  • Anonimo scrive:
    Re: Siti italiani sicuri
    - Scritto da: Anonimo
    ma tu sai cosa vuol dire OTP? e se lo sai mi dici
    che c'entra col phishing e come possa evitarlo
    (sempre che tu abbia capito cosa sia)?Premesso che non sono l'autore del primo articolo, mi sento in dovere di rispondere.L'OTP (onte time password, ovvero password che si usano una volta sola) combatte il phishing perchè anche se il truffatore riesce a dirottarmi sul suo sito fake e mi ocnvince a lasciare la mia password, questa, poichè cambia ad ogni accesso, non gli serve a nulla.Il livello dei forum di PI è dimostrato dal post di questo troll dell'età mentale di dodici anni cha parla con tanta arroganza e mostra tutta la sua ignoranza, uccidendo la discussione che poteva nascere da uno dei pochi post intelligenti presenti sul forum.
  • Anonimo scrive:
    Re: Siti italiani sicuri
    Buffo.. visto che nell'articolo ti dicono che OTP sta per One Time Password,password ad uso singolo,una volta usata, addio,non serve piu,diverse banche danno gia delle carte (formato carta di credito) con un'elenco di codici da usare in sequenza ed ogni codice vale solo per un'operazione. Alcune alternative sono quelle di generare al volo il codice e di spedirlo tramite sms,ad esempio,all'utente. :)
  • Anonimo scrive:
    Re: Le banche "serie" non si bucano
    - Scritto da: Anonimo
    Non per niente ho scritto "serie".questa definizione mi sembra una contraddizione in termini...
  • Anonimo scrive:
    Re: fish & crock

    Ecco!! L'hai appena ammesso!!
    Linux è il sistema operativo dei ladri, mentre
    Windows è il sistema operativo di tutti gli
    altri: impiegati, professionisti, studenti,
    lamer, utonti, casalinghe, mafiosi.Sono un utente Linux e desidererei sapere dalla redazione come devo comportarmi per procedere legalmente nei confronti di questo signore
  • Anonimo scrive:
    Re: STUDIATE, BESTIE!
    http://phoenix.calpoly.edu/~kvoelker/cis122/Webpage/02.htmlhttp://www.aaxnet.com/design/Linux2.html
  • Anonimo scrive:
    Re: Siti italiani sicuri
    - Scritto da: Anonimo
    Per completezza l'articolo avrebbe dovuto citare
    le banche italiane che utilizzano sistemi di
    autenticazione più sicuri quali OTP o certificati
    client. Si poteva limitare l'indagine alle banche
    più grandi.

    Lo sapevate una OTP può essere inviata sul
    cellulare?

    A quando un articolo sul tema?ma tu sai cosa vuol dire OTP? e se lo sai mi dici che c'entra col phishing e come possa evitarlo (sempre che tu abbia capito cosa sia)?
  • Anonimo scrive:
    Re: fish & crock
    - Scritto da: Anonimo

    - Scritto da: Anonimo

    Tu si che hai capito tutto sul cracking, un vero

    esperto! Guarda che un autentico cracker sguazza

    bene sia con Linux





    che con Windows,


    HAHAHAHAHAHAHAHAHAHAHAHAHAHA


    l'importante

    è raggiungere l'obbiettivo, sai cosa gliene
    frega

    del sistema operativo... (rotfl)

    (linux)Ecco!! L'hai appena ammesso!!Linux è il sistema operativo dei ladri, mentre Windows è il sistema operativo di tutti gli altri: impiegati, professionisti, studenti, lamer, utonti, casalinghe, mafiosi.
  • Anonimo scrive:
    Re: fish & crock
    - Scritto da: Anonimo
    Tu si che hai capito tutto sul cracking, un vero
    esperto! Guarda che un autentico cracker sguazza
    bene sia con Linux



    che con Windows, HAHAHAHAHAHAHAHAHAHAHAHAHAHA
    l'importante
    è raggiungere l'obbiettivo, sai cosa gliene frega
    del sistema operativo... (rotfl)(linux)
  • Anonimo scrive:
    Re: Tornare al link diretto
    - Scritto da: AnyFile


    Si' pero' a quel punto dovresti essere sicuro che
    chi ti risponde sia veramente la banca (cioe' che
    nessuno abbia manomesso il sistema telefonico).be' io non ho detto che sia il sistema perfetto (che come saprai non esiste) ma sarai daccordo anche te che sia richieda un tantino di talento (e fatica) in piu' quindi le probabilita' di essere frodati diminuiscono di brutto

    Piu' facile (talemnte banale che non si capisce
    perche' non venga fatto) sarebbe che le banche
    forniscano ai loro clienti la loro chiave
    pubblica di un sistema di
    indentificazione/criptazione e che tramite questa
    si faccia un autentificazione. Meglio ancora se
    la banca fornisse (compresa nel prezzo) un
    certificato anche al cliente.ti ripeto: per abbassare le probabilita' di frode la connessione deve essere la + diretta possibile xk piu' occhi vedono cosa passa e peggio e' - le chiavi virtuali cosi' come quelle reali - anche le + sofisticate - non devono assolutamente passare x le mani dei mariuoli senno prima o poi verranno duplicate e il layer TCP/IP e' troppo 'aperto' e quindi rende vulnerabile tutta la catena di sicurezza anche la meglio concepita.
  • Anonimo scrive:
    Re: Roba per cantinari (joe-ized)
    - Scritto da: Anonimo
    - Scritto da: Anonimo



    - Scritto da: Anonimo





    forse lavorano già per la sicurezza della tua


    banca :D



    Spero di no :D :D

    :| Son ammattito, io, o alcuni ex-hacker
    lavorano per aziende in ambito sicurezza?Guarda la socetaà che ha tirato su Kevin.
    No, perché a riderci sopra, poi succedono...

    joe
  • Anonimo scrive:
    Re: sa di phish (joe-ized)
    - Scritto da: Anonimo
    ma phish non è, che cos'è?l'ospite?joe
  • Anonimo scrive:
    Re: Roba per cantinari (joe-ized)
    - Scritto da: Anonimo

    - Scritto da: Anonimo



    forse lavorano già per la sicurezza della tua

    banca :D

    Spero di no :D :D :| Son ammattito, io, o alcuni ex-hacker lavorano per aziende in ambito sicurezza?No, perché a riderci sopra, poi succedono...joe
  • Anonimo scrive:
    Siti italiani sicuri
    Per completezza l'articolo avrebbe dovuto citare le banche italiane che utilizzano sistemi di autenticazione più sicuri quali OTP o certificati client. Si poteva limitare l'indagine alle banche più grandi.Lo sapevate una OTP può essere inviata sul cellulare? A quando un articolo sul tema?
  • Anonimo scrive:
    Re: Roba per cantinari
    - Scritto da: Anonimo

    forse lavorano già per la sicurezza della tua
    banca :DSpero di no :D :D
  • AnyFile scrive:
    Re: Le banche "serie" non si bucano

    ma
    perche' probabilmente non utilizzavano
    certificati digitali per il riconoscimento del
    cliente ...se anche scrivessi il mio username e
    password della mia banca Io so per certo che una delle piu' grandi banche italiane il certificato del cliente ne' lo fornisce ne' sa neppure cosa sia ...
  • AnyFile scrive:
    Re: Tornare al link diretto
    - Scritto da: Anonimo
    cioe' come facevamo tutti tempo fa con le bbs -
    ogni banca si mette su una specie di e ogni
    utente si collega direttamente in connessione
    criptata
    e' la cosa + sicura e l'unica che mi
    convincerebbe a usare il mio pc x fare operazioni
    bancarie...Si' pero' a quel punto dovresti essere sicuro che chi ti risponde sia veramente la banca (cioe' che nessuno abbia manomesso il sistema telefonico).Piu' facile (talemnte banale che non si capisce perche' non venga fatto) sarebbe che le banche forniscano ai loro clienti la loro chiave pubblica di un sistema di indentificazione/criptazione e che tramite questa si faccia un autentificazione. Meglio ancora se la banca fornisse (compresa nel prezzo) un certificato anche al cliente.
  • Anonimo scrive:
    Re: fish & crock
    - Scritto da: Anonimo

    Peccato però che in genere i siti delle banche
    non siano fatti da cantinari con lo skate sotto
    il braccio ma da aziende piene di markettari
    tirati a lucido con giacca e cravatta, buoni solo
    a vendere fumo.Oggi sono stati capaci di dirmi che il fatto che nella pagina che vedevo mancasse la possibilita' di scegliere un'opzione era colpa mia, che evidentemente il mio browser sbagliava a prendere la pagina dalla cache ...peccato che ovviamente io non ho le pagine della banca nella cache!!!!
  • Sergius scrive:
    Re: Le banche "serie" non si bucano
    Mah, fossi in te non ci farei molto affidamento sul fatto secondo cui:"se hanno fatto un sito di cartapesta della mia banca allora vuol dire che non potevano entrare"Il punto, vedi, è che quello del pishing è un metodo più semplice da attuare,non richiede grandi sforzi e qualcosa "pesca" sempre.Cosa glielo fa fare al cybercriminale di turno di passare le giornate a racimolare informazioni del sistema-bersaglio, di preparare strategie per l attacco edi dissimulazione delle proprie tracce?E' molto piu semplice mettere in piedi un sito-copia,ti pare?Oltretutto guarda che, vista dalla parte del cyberciminale, è sempre e comunque un successoche ripaga del poco/nullo investimento.Ricorda:c'è una intera generazione "point&click" la fuori che non aspetta altro che cliccare su qualche cosa di familiare e rassicurante... :)E poi, per dirla tutta, a me pare che il bersaglio non siano le banche,ma gli utenti.Infatti l esca è per loro e loro abboccano."Point&Click generation" la chiamano.Ciao//Sergio - Scritto da: Anonimo
    Prendendo con le pinzette quanto sopra detto,
    perche' a mio parere tutto e' bucabile (perche'
    si ha a che fare anche con uomini e non solo con
    macchine...), il sito in oggetto lascia intendere
    che NON hanno bucato "la banca", cioe' il sistema
    che gestisce le transizioni bancarie, ma hanno
    bucato il sito web, e lo hanno fatto proprio
    perche' non sono riusciti ad andare oltre... poi
    una volta reindirizzato il traffico,==================================Modificato dall'autore il 31/03/2006 13.05.01
  • Anonimo scrive:
    Re: fish & crock
    - Scritto da: Anonimo
    - Scritto da: Anonimo

    come i celebri e prelibati piatti belli e pronti

    della findus, anche i siti bancari vengono fatti

    con lo scopo di essere clonati in 5 minuti



    Tools, template belli e pronti per il cantinaro

    di turno con lo skate sotto il braccio, pronto

    sempre ad andare contro il Sistema



    Poi quando il Sistema gli bussa alla porta della

    cantina, capisce che ha fatto l'ennesima
    cazzata,

    ed a quel punto capisce anzi realizza di essere

    neanche un CO.CO.CO.



    A quel punto capisce che con linux ha perso
    tempo

    e torna a windows. Almeno gli è utile per
    cercare

    lavoro.

    Peccato però che in genere i siti delle banche
    non siano fatti da cantinari con lo skate sotto
    il braccio ma da aziende piene di markettari
    tirati a lucido con giacca e cravatta, buoni solo
    a vendere fumo.ecco qua un tipico esempio dei danni di 15 anni di cultura berlusconiana: poveri contro ricchi, rossi contro azzurri, arabi contro bianchi, linux contro windows, asini contro caproni, ecc... ecc... ecc...chissa quanto durera' ancora sta' storia.. MAH!
  • Anonimo scrive:
    Tornare al link diretto
    cioe' come facevamo tutti tempo fa con le bbs - ogni banca si mette su una specie di e ogni utente si collega direttamente in connessione criptatae' la cosa + sicura e l'unica che mi convincerebbe a usare il mio pc x fare operazioni bancarie...
  • Anonimo scrive:
    Re: Moderatore: perché le x rosse?
    - Scritto da: Rex1997
    Nel mio post delle 8:56 non ho insultato nessuno,
    non ho inveito, non ho parlato di politica, non
    ho mancato vesro nessuno dei comandamenti dalla
    Bibbia al vangelo informatico...ho solo risposto
    ad un post un po' sopra le righe, ma non riesco a
    capire... :| :| :| :|

    ==================================
    Modificato dall'autore il 31/03/2006 12.40.56Ciao,se quoti qualcuno che ha violato la poliy del sito, vieni spedito con lui nel girone dantesco delle X-rosse, mi spiace.Quando quoti qualcuno in quella situazione, prova a censurare i termini più "sporchi", solitamente funziona . :) .ps: non sono della redazione . :D . La Redazione_d . :D .
  • Rex1997 scrive:
    Moderatore: perché le x rosse?
    Nel mio post delle 8:56 non ho insultato nessuno, non ho inveito, non ho parlato di politica, non ho mancato vesro nessuno dei comandamenti dalla Bibbia al vangelo informatico...ho solo risposto ad un post un po' sopra le righe, ma non riesco a capire... :| :| :| :|==================================Modificato dall'autore il 31/03/2006 12.40.56
  • Anonimo scrive:
    Re: Ma i siti bancari sono bucabili?
    - Scritto da: Anonimo
    CIOE' ma ti pare che siti grossi ma dico anche
    italiani di web banking si fanno bucare cosi'?si
    Io ci conto sulla loro sicurezzaROTFL!!!
  • Anonimo scrive:
    Re: Le banche "serie" non si bucano
    Ad ogni modo ci sarà sempre un'anomalia nel sistema, e questa si ripeterà all'infinito: Neo. L'eletto!
  • Anonimo scrive:
    Tre anni di reclusione?!
    Ca...!!! Come se scarichi un canzone. Complimenti!E per l'omicidio che? Una pacca sulla spalla e..."non farlo più"?Meno male che c'è Ubbani e compagnia che pensano al bene degli italiani. Solo qualcuno dovrebbe spiegargli che italiani sono coloro che vivono in italia, non i padroni delle case discografiche, delle banche, delle multinazionali, ecc
  • Anonimo scrive:
    Re: Le banche "serie" non si bucano
    - Scritto da: Anonimo
    non solo perche' si sono fatte bucare il sitoÈ una cosa molto grave, soprattutto per le banche.
    (cosa possibile anche per il sito piu'
    controllato del mondo, se esso e' pubblico)Guarda che non esiste solo IIS...
  • Rex1997 scrive:
    Il dubbio resta....
    Non credo che i computer delle banche siano facilmente bucabili come qualcuno vuol far credere, comunque il problema esiste ed andrebbe affrontato meglio....-----------------------------------------------------------Modificato dall' autore il 18 maggio 2006 16.57-----------------------------------------------------------
  • rem scrive:
    Re: Le banche "serie" non si bucano
    - il sito in oggetto lascia intendere
    che NON hanno bucato "la banca", cioe' il sistema
    che gestisce le transizioni bancarie, ma hanno
    bucato il sito web, e lo hanno fatto proprio
    perche' non sono riusciti ad andare oltre... poi
    una volta reindirizzato il traffico,
    raccoglievano i dati e andavano nella vera banca
    per usarli (trasferendo il denaro). Questo
    secondo passaggio apre un altro aspetto del
    problema: erano banche gestite in modo pessimo,
    non solo perche' si sono fatte bucare il sito
    (cosa possibile anche per il sito piu'
    controllato del mondo, se esso e' pubblico) ma
    perche' probabilmente non utilizzavano
    certificati digitali per il riconoscimento del
    cliente ...Purtroppo non devi esserne sicuro,comunque l'abbinamento tra certificazione digitale(non facilmente eludibile )e la trasmissione di un dato conferma da una posizione alternativa ,transfert ad esempio da cellulare o prossimamente supporti biometrici o componentistica RFID,daranno in futuro maggior sicurezza,ma sta' tranquillo che ogni mattina qualcuno si alza inventandone uno per guadagnare a scapito di altri quello e' il problema
  • Anonimo scrive:
    Re: Roba per cantinari
    - Scritto da: Anonimo
    Saranno felici gli smanettoni della domenica dopo
    aver appreso questa notizia.
    Spero vivamente che i responsabili finiscano in
    galera per tutta la vita :@come minimo stanno prendendo il sole con una fresca pina colada da una parte ed un notebook dall'altra :Dforse lavorano già per la sicurezza della tua banca :D
  • Anonimo scrive:
    9 --
  • HomoSapiens scrive:
    Re: Ma i siti bancari sono bucabili?
    - Scritto da: Anonimo
    Forse ci dovremmo chiedere questo no?
    CIOE' ma ti pare che siti grossi ma dico anche
    italiani di web banking si fanno bucare cosi'? uhm... è ironico?
    Io ci conto sulla loro sicurezza,e poi secondo me li
    avrebbero gia' bucatiio non ci conterei troppo..
  • Anonimo scrive:
    sa di phish
    ma phish non è, che cos'è?
  • Anonimo scrive:
    Re: fish & crock
    - Scritto da: Anonimo
    - Scritto da: Anonimo

    come i celebri e prelibati piatti belli e pronti

    della findus, anche i siti bancari vengono fatti

    con lo scopo di essere clonati in 5 minuti



    Tools, template belli e pronti per il cantinaro

    di turno con lo skate sotto il braccio, pronto

    sempre ad andare contro il Sistema



    Poi quando il Sistema gli bussa alla porta della

    cantina, capisce che ha fatto l'ennesima
    cazzata,

    ed a quel punto capisce anzi realizza di essere

    neanche un CO.CO.CO.



    A quel punto capisce che con linux ha perso
    tempo

    e torna a windows. Almeno gli è utile per
    cercare

    lavoro.

    Peccato però che in genere i siti delle banche
    non siano fatti da cantinari con lo skate sotto
    il braccio ma da aziende piene di markettari
    tirati a lucido con giacca e cravatta, buoni solo
    a vendere fumo.non fatti, ma attaccatiper il venditori di fumo ti quoto
  • Anonimo scrive:
    Re: fish & crock
    Tu si che hai capito tutto sul cracking, un vero esperto! Guarda che un autentico cracker sguazza bene sia con Linux che con Windows, l'importante è raggiungere l'obbiettivo, sai cosa gliene frega del sistema operativo... (rotfl)
  • Anonimo scrive:
    Re: fish & crock
    - Scritto da: Anonimo
    come i celebri e prelibati piatti belli e pronti
    della findus, anche i siti bancari vengono fatti
    con lo scopo di essere clonati in 5 minuti

    Tools, template belli e pronti per il cantinaro
    di turno con lo skate sotto il braccio, pronto
    sempre ad andare contro il Sistema

    Poi quando il Sistema gli bussa alla porta della
    cantina, capisce che ha fatto l'ennesima cazzata,
    ed a quel punto capisce anzi realizza di essere
    neanche un CO.CO.CO.

    A quel punto capisce che con linux ha perso tempo
    e torna a windows. Almeno gli è utile per cercare
    lavoro.Peccato però che in genere i siti delle banche non siano fatti da cantinari con lo skate sotto il braccio ma da aziende piene di markettari tirati a lucido con giacca e cravatta, buoni solo a vendere fumo.
  • Anonimo scrive:
    fish & crock
    come i celebri e prelibati piatti belli e pronti della findus, anche i siti bancari vengono fatti con lo scopo di essere clonati in 5 minutiTools, template belli e pronti per il cantinaro di turno con lo skate sotto il braccio, pronto sempre ad andare contro il SistemaPoi quando il Sistema gli bussa alla porta della cantina, capisce che ha fatto l'ennesima cazzata, ed a quel punto capisce anzi realizza di essere neanche un CO.CO.CO.A quel punto capisce che con linux ha perso tempo e torna a windows. Almeno gli è utile per cercare lavoro.Che gente!!!
  • Anonimo scrive:
    Re: Le banche "serie" non si bucano
    Non per niente ho scritto "serie".
  • Anonimo scrive:
    Re: Le banche "serie" non si bucano
    - Scritto da: Anonimo
    Prendendo con le pinzette quanto sopra detto,
    perche' a mio parere tutto e' bucabile (perche'
    si ha a che fare anche con uomini e non solo con
    macchine...), il sito in oggetto lascia intendere
    che NON hanno bucato "la banca", cioe' il sistema
    che gestisce le transizioni bancarie, ma hanno
    bucato il sito web, e lo hanno fatto proprio
    perche' non sono riusciti ad andare oltre... poi
    una volta reindirizzato il traffico,
    raccoglievano i dati e andavano nella vera banca
    per usarli (trasferendo il denaro). Questo
    secondo passaggio apre un altro aspetto del
    problema: erano banche gestite in modo pessimo,
    non solo perche' si sono fatte bucare il sito
    (cosa possibile anche per il sito piu'
    controllato del mondo, se esso e' pubblico) ma
    perche' probabilmente non utilizzavano
    certificati digitali per il riconoscimento del
    cliente ...se anche scrivessi il mio username e
    password della mia banca (che non cito, perche'
    non ha importanza) su questo forum, potrei avere
    solo problemi "gestionali" (account bloccato) ma
    nessuno dei presenti potrebbe prelevarmi soldi
    dal conto... il che e' gia' una cosa positiva.Si ma se la banca non mette manco il server sicuro sul sito ma solo sulla transazione? (vedi bancoposta)
  • Anonimo scrive:
    Re: Ma i siti bancari sono bucabili?
    - Scritto da: Anonimo
    Forse ci dovremmo chiedere questo no?
    CIOE' ma ti pare che siti grossi ma dico anche
    italiani di web banking si fanno bucare cosi'? Io
    ci conto sulla loro sicurezza,e poi secondo me li
    avrebbero gia' bucatiI siti potrebbero essere bucabili...accedere alle transizioni (entrare in banca) invece e' molto improbabile (se non sono degli incompetenti.. ovviamente).
  • Anonimo scrive:
    Le banche "serie" non si bucano
    Prendendo con le pinzette quanto sopra detto, perche' a mio parere tutto e' bucabile (perche' si ha a che fare anche con uomini e non solo con macchine...), il sito in oggetto lascia intendere che NON hanno bucato "la banca", cioe' il sistema che gestisce le transizioni bancarie, ma hanno bucato il sito web, e lo hanno fatto proprio perche' non sono riusciti ad andare oltre... poi una volta reindirizzato il traffico, raccoglievano i dati e andavano nella vera banca per usarli (trasferendo il denaro). Questo secondo passaggio apre un altro aspetto del problema: erano banche gestite in modo pessimo, non solo perche' si sono fatte bucare il sito (cosa possibile anche per il sito piu' controllato del mondo, se esso e' pubblico) ma perche' probabilmente non utilizzavano certificati digitali per il riconoscimento del cliente ...se anche scrivessi il mio username e password della mia banca (che non cito, perche' non ha importanza) su questo forum, potrei avere solo problemi "gestionali" (account bloccato) ma nessuno dei presenti potrebbe prelevarmi soldi dal conto... il che e' gia' una cosa positiva.
  • Anonimo scrive:
    Ma i siti bancari sono bucabili?
    Forse ci dovremmo chiedere questo no?CIOE' ma ti pare che siti grossi ma dico anche italiani di web banking si fanno bucare cosi'? Io ci conto sulla loro sicurezza,e poi secondo me li avrebbero gia' bucati
  • Anonimo scrive:
    Re: Roba per cantinari
    - Scritto da: Anonimo
    Saranno felici gli smanettoni della domenica dopo
    aver appreso questa notizia.
    Spero vivamente che i responsabili finiscano in
    galera per tutta la vita :@maffigurati male che va ci stanno 2 o 3 anni
  • Anonimo scrive:
    Roba per cantinari
    Saranno felici gli smanettoni della domenica dopo aver appreso questa notizia.Spero vivamente che i responsabili finiscano in galera per tutta la vita :@
Chiudi i commenti