Roma – Una lunga intervista a tutto campo, nell’incontro con il CEO di Facebook Mark Zuckerberg all’ultima edizione dell’evento Disrupt organizzato dalla testata TechCrunch . Tra i principi della Silicon Valley, Zuckerberg ha riservato parole amarissime all’esteso programma di sorveglianza adottato dal governo federale con l’agenzia NSA. Le autorità statunitensi avrebbero fatto un pessimo lavoro nel tentativo di bilanciare le norme di sicurezza nazionale con i fondamentali diritti civili .
Il founder e CEO di Facebook ha così espresso grande frustrazione nei vincoli imposti dallo stesso governo di Washington in materia di trasparenza. Mentre si prepara all’ imminente incontro con un gruppo di deputati repubblicani – il gigante di Menlo Park ha speso un totale di 3,5 milioni di dollari in attività di lobbying nella prima parte del 2013 – Zuckerberg vorrebbe rilasciare al suo pubblico informazioni più dettagliate sulle National Security Letters (NSL) inviate dai federali per la consegna di informazioni personali.
Il social network californiano è finito, come molte altre aziende high-tech , nell’occhio del ciclone scatenato dalla talpa Edward Snowden, accusato di collaborazionismo nella consegna silente di comunicazioni e dati dei suoi utenti. Lo stesso Zuckerberg si è difeso con estrema fermezza, sottolineando come l’accesso ai server di Facebook venga garantito solo in base a determinati criteri di revisione delle singole richieste del governo .
Se il compito di Facebook resta la massima tutela dei suoi server (e dunque dei suoi iscritti), Zuckerberg si è unito ai vertici di Yahoo! per esercitare pressione sulla corte FISA, in modo da ottenere l’autorizzazione a pubblicare maggiori dettagli sulle richieste governative. La sfida del social network da oltre 1 miliardo di amici – il CEO non sembra intenzionato a fermarsi , perché la cosa straordinaria sarà “connettere il mondo intero, lì dove non c’è ancora Internet” – non verrà affrontata solo alla House of Representatives .
Dopo la missiva spedita da un gruppo di organizzazioni per la tutela della privacy, i vertici della Federal Trade Commission (FTC) analizzeranno il nuovo pacchetto di aggiornamenti alle policy in materia di raccolta e trattamento delle informazioni personali, compresa la feature di riconoscimento automatico dei visi per facilitare le operazioni di tagging social. La commissione a stelle e strisce dovrà decidere se gli update in blu risultano in violazione di un precedente accordo stipulato con Facebook nel 2012 .
Al di là delle spinose questioni legali, Zuckerberg si è soffermato sul futuro della sua piattaforma, in particolare sulla prossima costruzione di una nuova versione della casa di applicazioni Home, che porterà ad una diretta integrazione di Instagram e di altri contenuti condivisi da terze parti . Il CEO ha però ammesso che il ritmo di distribuzione della nuova famiglia di app per Android non procede come sperato inizialmente.
Mauro Vecchio
-
beh che succede?
clonucciooo!clonuccioo legulucciiooooo!Niente... :|Lo ha acchiappato l'infermiere mentre postava di nascosto col pc del medico di guardia...:'(-
Re: beh che succede?
- Scritto da: tucumcari
clonucciooo!
clonuccioo legulucciiooooo!
Niente...
:|
Lo ha acchiappato l'infermiere mentre postava di
nascosto col pc del medico di
guardia...
:'(speriamo gli faccia 8000cc di torazina.
-
-
sorveglianza globale = strumento neutro.
Ragazzi,avete pensato che la NSA,avendo il controllo sugli algoritmi di cifratura,nel caso in cui ci sia una grave crisi economica in cui le persone si fiondano alle banche per ritirare i soldi,potrebbero congelare i conti correnti fino a che l'ondata di paura non passi ? Ora tutti gridano allo scandalo,ma la sorveglianza globale alla fine e' uno strumento neutro. Sono le persone che fanno la differenza,in base a come la vogliono usare. Zio Mario,studente in psicologia.-
Re: sorveglianza globale = strumento neutro.
Il compito dell'NSA non è quello di salvare l'economia americana e di aspettare che la psicosi passi.... ci dev'essere senz'altro un team che si occupa anche di queste evenienze, in America c'è di tutto, ma non è di sicuro l'NSA...Ogni correntista ha diritto a ritirare i soldi che ha depositato entro un tempo massimo. E anche se ormai pensiamo ai soldi come a una serie di codici binari che viaggiano su reti, le procedure manuali, in caso di paralisi dei loro sistemi centrali, si possono ancora usare. Quello che prospetti tu è una dittatura arrivata dall'oggi al domani, che si arroga il diritto di proprietà dei propri cittadini per la salvezza dello Stato-nazione... ma non ci sono avvisaglie.-
Re: sorveglianza globale = strumento neutro.
- Scritto da: tucumcari
Il compito dell'NSA non è quello di salvare
l'economia americana e di aspettare che la
psicosi passi.... ci dev'essere senz'altro un
team che si occupa anche di queste evenienze, in
America c'è di tutto, ma non è di sicuro
l'NSA...
Ogni correntista ha diritto a ritirare i soldi
che ha depositato entro un tempo massimo.
E anche se ormai pensiamo ai soldi come a una
serie di codici binari che viaggiano su reti, le
procedure manuali, in caso di paralisi dei loro
sistemi centrali, si possono ancora usare.
Quello che prospetti tu è una dittatura arrivata
dall'oggi al domani, che si arroga il diritto di
proprietà dei propri cittadini per la salvezza
dello Stato-nazione... ma non ci sono
avvisaglie.Il compito dei cloni invece quale è quello di farsi sgamare puntualmente? ;)o quello di fare i pagliacci come stai facendo ormai da mesi?-
Re: sorveglianza globale = strumento neutro.
:-D :-DIl clone soffre profondamente per non avere una vita sua... si deve attaccare a quella di un altro, come un fungo si attacca a un'alga in un lichene. Li lascio divertire... che male mi fanno? ;-)(rotfl) (rotfl)-
Re: sorveglianza globale = strumento neutro.
- Scritto da: tucumcari
:-D :-D
Il clone soffre profondamente per non avere una
vita sua... si deve attaccare a quella di un
altro, come un fungo si attacca a un'alga in un
lichene.
Li lascio divertire... che male mi fanno? ;-)
(rotfl) (rotfl)Nessuno assolutamente... tranne che a se stessi quando sono particolarmente stupidi...Questo è il tuo caso.. -
Re: sorveglianza globale = strumento neutro.
(rotfl)(rotfl)E pensare che ti avevo consigliato un buon antiacido... forse ci vuole qualcosa di più forte?!? L'indispondenza da aciditá aumenta anziché diminuire ;-)Stammi bene trollino. :-D:-D -
Re: sorveglianza globale = strumento neutro.
- Scritto da: tucumcari
(rotfl)(rotfl)
E pensare che ti avevo consigliato un buon
antiacido... forse ci vuole qualcosa di più
forte?!?
L'indispondenza da aciditá aumenta anziché
diminuire
;-)
Stammi bene trollino. :-D:-DIo sto benissimo ho la sensazione che tu invece abbia seriamente bisogno della tua dose di psicofarmaci. -
Re: sorveglianza globale = strumento neutro.
Il vero trolletto scarso si riconosce sempre dalle stesse cose: dà del pazzo agli altri, o se non gli riesce bene dell'astroturfer, del winaro, del macaco... e nei casi estremi tira fuori big pharma e le scie chimiche.(rotfl) (rotfl)E non so in che categoria di troll metterti!(rotfl) (rotfl)Come va la natura? -
Re: sorveglianza globale = strumento neutro.
- Scritto da: tucumcari
Il vero trolletto scarso si riconosce sempre
dalle stesse cose: dà del pazzo agli altri, o se
non gli riesce bene dell'astroturfer, del winaro,
del macaco... e nei casi estremi tira fuori big
pharma e le scie
chimiche.
(rotfl) (rotfl)
E non so in che categoria di troll metterti!
(rotfl) (rotfl)Quelli che ti fanno scavare...Infatti ripeto... i "ciao leguleio" quando ti sgamano e i commenti acidi degli utenti (il famoso "pubblico") si sprecano..E tu scavi...
Come va la natura?Quale natura?Quella che con te è matrigna?E ti costringe a fare la parte di quello che scava?è frustrante vero? :D
-
-
-
-
Re: sorveglianza globale = strumento neutro.
- Scritto da: mario mario
Ragazzi,avete pensato che la NSA,avendo il
controllo sugli algoritmi di cifratura,nel caso
in cui ci sia una grave crisi economica in cui le
persone si fiondano alle banche per ritirare i
soldi,potrebbero congelare i conti correnti fino
a che l'ondata di paura non passi ? Ora tutti
gridano allo scandalo,ma la sorveglianza globale
alla fine e' uno strumento neutro. Sono le
persone che fanno la differenza,in base a come la
vogliono usare. Zio Mario,studente in psicologia.Se fosse neutro sarebbe dell'onu, invece e' di un singolo paese che peraltro ha gia' dimostrato di utilizzarlo per spiionaggio industriale, quindi nel caso da te ipotizzato farebbero in modo di salvare gli usa ma fare di tutto per affossare gli altri stati.-
Re: sorveglianza globale = strumento neutro.
Se fosse neutro sarebbe dell'onu, Ma nemmeno. Se fosse neutro sarebbe dei cittadinini, cittadini di tutto il mondo. L'Onu, spesso si dimentica, non comprende tutti gli Stati. E in particolare non comprende quei territori che non hanno ancora ottenuto l'indipendenza, come il Sahara Occidentale, il Kosovo e la Palestina, e per ragioni storiche nemmeno Taiwan.-
Re: sorveglianza globale = strumento neutro.
- Scritto da: Guidone
Se fosse neutro sarebbe dell'onu,
Ma nemmeno. Se fosse neutro sarebbe dei
cittadinini, cittadini di tutto il mondo.
L'Onu, spesso si dimentica, non comprende tutti
gli Stati. E in particolare non comprende quei
territori che non hanno ancora ottenuto
l'indipendenza, come il Sahara Occidentale, il
Kosovo e la Palestina, e per ragioni storiche
nemmeno Taiwan.Vero... avrei dovuto scrivere "minimo minimo dell'ONU". Comunq quello che conta e' che e' pieno di polli che vegono gli usa come i buoni mentre gli usa sfilano loro il portafoglio.
-
-
-
-
SHA-512
Trollate a parte, mi interessava avere un giudizio sull'utilizzo dell'hash SHA-512. Ho letto che all'epoca è stato sviluppato dalla NSA.Puo' essere selezionato tutt'ora come hash ad esempio in Truecrypt, quindi mi interessava sapere se è sicuro da selezionare come scelta.-
Re: SHA-512
Schneier ha chiarito questo punto in vari articoligli algoritmi sono matematicamente verificati, quindi sicurisono le implementazioni ad essere state sabotatetruecrypt non è stato creato dalla NSA ( ma dai servizi bulgari ) e usa algoritmi non sabotati ( sotto linux usa le crypto api del sistema operativo )-
Re: SHA-512
Questa dei servizi bulgari non la sapevo :| Ok grazie per le info, i miei dubbi comunque non riguardavano Truecrypt in quanto tale, ma solo l'utilizzo di questo specifico hash. Fino ad ora mi sembrava quello di maggior affidabilità, ma dopo aver saputo che e' stato creato dalla NSA mi sono sorti dubbi...-
Re: SHA-512
whirlpool è un pochino più complesso e imho più robustoè bene usare algoritmi in cascate ( specialmente aes+serpent )-
Re: SHA-512
Condivido sugli algoritmi a cascata.I miei dubbi su Whirpull riguardano più che altro questohttp://link.springer.com/chapter/10.1007%2F978-3-642-10366-7_8mentre se non sbaglio attacchi a SHA-512 sono solo teorici, ma non sono mai stati portati a termine. -
Re: SHA-512
si parla di una complessità di 2^176fatti due conti, la NSA dovrebbe tenere impegnati i suoi datacenter per qualche settimana e solo per craccare un singolo hash
-
-
-
-
-
attenti a quale kernel linux usate!
non fidatevi (e NON usate mai) il kernel linux vanilla del noto sviluppatore commerciale torvalds! questo kernel (e quindi tutte le distribuzioni che lo utilizzano) è "corredato" di una grande quantità di firmware/driver proprietari (non c'è alcun codice sorgente) in forma di blob binari...si tratta di firmware/driver -forniti direttamente dalle multinazionali che le producono (e che pagano contibuiscono al progetto perché siano inserite nel kernel)- relativi a svariati device come certe schede video, webcam, controller disco ecc. ma, soprattutto, relativi a moltissime schede di rete...quindi, la possibilità che questi firmware/driver incorporino delle backdoor esiste eccome ed è anzi cosa molto ma molto probabile...https://en.wikipedia.org/wiki/Binary_blobhttp://packages.debian.org/source/sid/firmware-nonfreehttp://packages.debian.org/squeeze/firmware-linux-nonfreehttps://lwn.net/Articles/287056/http://www.kroah.com/log/linux/ols_2006_keynote.htmlcomunque, per fortuna, ci sono anche kernel linux liberi!si tratta di kernel linux "ripuliti" dai blob binari, come avviene per il kernel LinuxLibre e per il kernel Debian distribuito nel ramo 'main'https://en.wikipedia.org/wiki/Linux-librehttp://www.fsfla.org/ikiwiki/anuncio/2010-03-Linux-2.6.33-libre.en.htmlhttp://www.fsfla.org/ikiwiki/selibre/linux-libre/#downloadshttp://www.fsfla.org/ikiwiki/selibre/linux-libre/#binarieshttp://www.fsfla.org/ikiwiki/selibre/linux-libre/e ci sono anche varie distribuzioni che utilizzano kernel pultiti, per esempio:- gNewSensehttp://www.gnewsense.org/- Trisquelhttps://trisquel.info/it- Parabolahttps://parabolagnulinux.org/- Dragorahttp://www.dragora.org/en/index.html- Blaghttp://www.blagblagblag.org/- Debian (ATTENZIONE: *solo* col ramo 'main')http://www.debian.org/ovviamente, i device che richiedono blob frimware/driver *non* funzionano quando si usa un kernel libero: occorre quindi utilizzare hardware (che ESISTE ed è abbastanza facilmente REPERIBILE) che non richieda alcun blob... ecco dove iniziare a guardare (poi basta cercare...):https://www.fsf.org/resources/hwhttp://h-node.org/l'uso di hardware appropriato non è -non può e non deve essere- un problema per chi vuole un sistema libero da backdoor e sicuro da intrusioni e/o voglia evitare di essere spiato, tracciato ecc. o, semplicemente, per chi voglia essere libero (contribuendo così indirettamente anche alla libertà altrui)-
Re: attenti a quale kernel linux usate!
- Scritto da: off line
l'uso di hardware appropriato non è -non può e
non deve essere- un problema per chi vuole un
sistema libero da backdoor e sicuro da intrusioni
e/o voglia evitare di essere spiato, tracciato
ecc. o, semplicemente, per chi voglia essere
libero (contribuendo così indirettamente anche
alla libertà
altrui)Ti costruisci il pc a partire dalle porte logiche? :D-
Re: attenti a quale kernel linux usate!
- Scritto da: ...
- Scritto da: off line
Ti costruisci il pc a partire dalle porte logiche?mi costruisco il pc verificando prima la compatibilità dei componenti (ovvero scelgo componenti che funzionino cun il kernel linux *senza* richiedere/necessitare di frimware/driver proprietari)non è così difficile da capire-
Re: attenti a quale kernel linux usate!
- Scritto da: off line
- Scritto da: ...
- Scritto da: off line
Ti costruisci il pc a partire dalle
porte logiche?
mi costruisco il pc verificando prima la
compatibilità dei componenti (ovvero scelgo
componenti che funzionino cun il kernel linux
*senza* richiedere/necessitare di frimware/driver
proprietari)
non è così difficile da capireCosa peraltro che va fatta quando compri hw con tutti i sistemi operativi, certo il mousettino sara' sempre compatibile, ma gia' certe grosse macchine industriali non sempre hanno driver per windows.-
Re: attenti a quale kernel linux usate!
- Scritto da: krane
Cosa peraltro che va fatta quando compri hw con
tutti i sistemi operativi, certo il mousettino
sara' sempre compatibile, ma gia' certe grosse
macchine industriali non sempre hanno driver per
windows.Dire "Cosa peraltro che va fatta quando compri hw con tutti i sistemi operativi" e poi fare l'ipotesi di grosse macchine industriali suona un po' male -
Re: attenti a quale kernel linux usate!
- Scritto da: Stefano Lavori
- Scritto da: krane
Cosa peraltro che va fatta quando compri hw
con
tutti i sistemi operativi, certo il
mousettino
sara' sempre compatibile, ma gia' certe
grosse
macchine industriali non sempre hanno driver
per
windows.
Dire "Cosa peraltro che va fatta quando compri hw
con tutti i sistemi operativi" e poi fare
l'ipotesi di grosse macchine industriali suona un
po' maleMica tutti son luser casalinghi eh... I so esistono anche al di fuori del mondo dei videogame. -
Re: attenti a quale kernel linux usate!
- Scritto da: krane
Mica tutti son luser casalinghi eh... I so
esistono anche al di fuori del mondo dei
videogame.Certo, il rapporto tra le vendite è di circa 1:1 :D -
Re: attenti a quale kernel linux usate!
- Scritto da: Stefano Lavori
- Scritto da: krane
Mica tutti son luser casalinghi eh... I so
esistono anche al di fuori del mondo dei
videogame.
Certo, il rapporto tra le vendite è di circa 1:1
:DPurtoppo la sicurezza non si misura a "vendite" e la diffusione di malware windoze ne da ampia e documentata dimostrazione. -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Purtoppo la sicurezza non si misura a "vendite" e
la diffusione di malware windoze ne da ampia e
documentata
dimostrazione.Interessante, ma non c'entra nulla con il discorso -
Re: attenti a quale kernel linux usate!
- Scritto da: Stefano Lavori
- Scritto da: tucumcari
Purtoppo la sicurezza non si misura a
"vendite"
e
la diffusione di malware windoze ne da ampia
e
documentata
dimostrazione.
Interessante, ma non c'entra nulla con il discorsoè il tuo discorso a non entrarci nulla hai presente il titolo e il testo dell'articolo?Non si parla di vendite da nessuna parte l'unico post al riguardo è il tuo...Che fai le conclusioni le trai da solo o hai bisogno di un aiutino? ;) -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
è il tuo discorso a non entrarci nulla hai
presente il titolo e il testo
dell'articolo?Avendo risposto a- Scritto da: krane
Cosa peraltro che va fatta quando compri hw con
tutti i sistemi operativi, certo il mousettino
sara' sempre compatibile, ma gia' certe grosse
macchine industriali non sempre hanno driver per
windows.Sono pienamente nel contesto della conversazione.
Che fai le conclusioni le trai da solo o hai
bisogno di un
aiutino?Sei ubriaco 8) -
Re: attenti a quale kernel linux usate!
- Scritto da: Stefano Lavori
- Scritto da: krane
Cosa peraltro che va fatta quando compri hw
con
tutti i sistemi operativi, certo il
mousettino
sara' sempre compatibile, ma gia' certe
grosse
macchine industriali non sempre hanno driver
per
windows.
Dire "Cosa peraltro che va fatta quando compri hw
con tutti i sistemi operativi" e poi fare
l'ipotesi di grosse macchine industriali suona un
po'
maleBasta un plotter a rullo eh... -
Re: attenti a quale kernel linux usate!
piccola domanda: "sei resuscitato o stai parlando, come fa Goku, attraverso le antenne di Re Caio?"(rotfl)(rotfl)(rotfl)(rotfl)
-
-
-
-
Re: attenti a quale kernel linux usate!
Perchè tu ovviamente hai letto ogni singola riga delle milioni costituenti il kernel linux, e sei sicuro al di sopra di ogni sospetto che non contenga backdoor o falle dissimulate per permettere accessi remoti.Open source non è una condizione sufficiente alla sicurezza.-
Re: attenti a quale kernel linux usate!
- Scritto da: lullo
Perchè tu ovviamente hai letto ogni singola riga
delle milioni costituenti il kernel linux, e sei
sicuro al di sopra di ogni sospetto che non
contenga backdoor o falle dissimulate per
permettere accessi remoti.Visto che linux si studia nelle universita' decine di migliaia di studenti ne esaminano continuamente diverse parti; sicuramente il numero di elementi neutrani che si occupano di esaminare i sorgenti di linux rispeto ai sorgenti closed e' enormemente piu' alto.
Open source non è una condizione sufficiente alla
sicurezza.Infatti, nessuno dice che e' SUFFICIENTE, si dice che e' piu' sicuro ANCHE per quello.-
Re: attenti a quale kernel linux usate!
- Scritto da: krane
- Scritto da: lullo
Perchè tu ovviamente hai letto ogni singola
riga
delle milioni costituenti il kernel linux, e
sei
sicuro al di sopra di ogni sospetto che non
contenga backdoor o falle dissimulate per
permettere accessi remoti.
Visto che linux si studia nelle universita'
decine di migliaia di studenti ne esaminano
continuamente diverse parti; sicuramente il
numero di elementi neutrani che si occupano di
esaminare i sorgenti di linux rispeto ai sorgenti
closed e' enormemente piu'
alto.
Open source non è una condizione sufficiente
alla
sicurezza.
Infatti, nessuno dice che e' SUFFICIENTE, si dice
che e' piu' sicuro ANCHE per
quello.mmmhhmmm vediamoCi sono condizioni necessarie, condizioni sufficienti, e condizioni necessarie e sufficienti.L'open source è condizione necessaria (non sufficiente).Il peer rewiev del codice è condizione necessaria (non sufficiente)Il peer rewiev e il download del codice (già sottoposto a peer rewiev) da un repository in cui il codice sia già stato (appunto) a peer rewiev è condizione necessaria e sufficiente a garantire non la sicurezza ma la mancanza di "vulnerabilità note".Nessuna di queste 3 cose è condizione sufficiente a garantire la sicurezza ma sei già "un pezzo avanti"...Ovviamente nel caso del closed manca già la condizione necessaria... figuriamoci quella sufficiente! -
Re: attenti a quale kernel linux usate!
- Scritto da: krane
- Scritto da: lullo
Open source non è una condizione sufficiente
alla
sicurezza.
Infatti, nessuno dice che e' SUFFICIENTE, si dice
che e' piu' sicuro ANCHE per
quello.Io non sono un esperto informatico, ma la logica di base è alla protata di tutti.http://it.wikipedia.org/wiki/Condizione_necessaria_e_sufficienteInfatti è obbligatorio considerare che la possibilità della lettura del codice (open-source) non è condizione SUFFICIENTE per la sicurezza ma NECESSARIA.Non rispondo a te Krane, anzi condivido il tuo discorso.Non volevo rispondere a lullo solo ed esclusivamente perchè credo sia un nick usa e getta, se mi sbaglio sono pronto a provvedere.PsIo non voglio buttar fango su Win o OSX, hanno e hanna avuto il loro ruolo nell'informatica mondiale ma alla luce del datagate, gli user close.souce dovrebbero rendersi conto di cosa dicono parlando di sicurezza.
-
-
Re: attenti a quale kernel linux usate!
- Scritto da: lullo
Perchè tu ovviamente hai letto ogni singola riga
delle milioni costituenti il kernel linux, e sei
sicuro al di sopra di ogni sospetto che non
contenga backdoor o falle dissimulate per
permettere accessi
remoti.
Open source non è una condizione sufficiente alla
sicurezza.Ma necessaria si! :D-
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Ma necessaria si!
:DDiscutevo dello stesso concetto :D
-
-
Re: attenti a quale kernel linux usate!
- Scritto da: lullo
Perchè tu ovviamente hai letto ogni singola riga
delle milioni costituenti il kernel linux, e sei
sicuro al di sopra di ogni sospetto che non
contenga backdoor o falle dissimulate per
permettere accessi
remoti.
Open source non è una condizione sufficiente alla
sicurezza.che stile, che autogol! :O -
Re: attenti a quale kernel linux usate!
- Scritto da: lullo
Open source non è una condizione sufficiente alla
sicurezza.è questione di probabilitàcol closed source gli rendi il lavoro più facile e quindi più economico
-
-
Re: attenti a quale kernel linux usate!
il vero problema è che una backdoor si può nascondere all'interno dell'hardware, magari implementata in un fpga messo lì all'uopobisognerebbe analizzare l'intera filiera ( non dimenticando che i dati che mandiamo su internet, una volta usciti da casa nostra, possono finire nelle mani di chiunque )in pratica puoi avere il tuo computer perfettamente "protetto", ma poi comunque la NSA può spiare le tue operazioni bancariealdilà delle facili patch, lo scenario che si è delineato, è talmente deprimente da far cadere le braccia pure al geek più spregiudicatook, metto linux senza blob binari, e poi? chi mi assicura che non infilino un codice malevolo nella rom della mia scheda di rete? e nell'hard disk? e nel bios?magari escono dalla fabbrica già così o magari li iniettano via internet-
Re: attenti a quale kernel linux usate!
- Scritto da: collione
il vero problema è che una backdoor si può
nascondere all'interno dell'hardware, magari
implementata in un fpga messo lì
all'uopo
bisognerebbe analizzare l'intera filiera ( non
dimenticando che i dati che mandiamo su internet,
una volta usciti da casa nostra, possono finire
nelle mani di chiunque
)
in pratica puoi avere il tuo computer
perfettamente "protetto", ma poi comunque la NSA
può spiare le tue operazioni
bancarie
aldilà delle facili patch, lo scenario che si è
delineato, è talmente deprimente da far cadere le
braccia pure al geek più
spregiudicato
ok, metto linux senza blob binari, e poi? chi mi
assicura che non infilino un codice malevolo
nella rom della mia scheda di rete? e nell'hard
disk? e nel
bios?
magari escono dalla fabbrica già così o magari li
iniettano via
internet"NSA non ha fabbriche in cina"... ;) e l'hardware se non ci sono funzioni software che lo chiamano e gli danno istruzioni non fa nulla di sua iniziativa. Il Firmware (cosa che non è l'hardware) invece potrebbe essere malevolo (in teoria) ma purtroppo anche lui ha bisogno di essere "chiamato" insomma senza nascondere qualcosa a livello superiore sono amari!E se proprio uno vuole basta lasciare acXXXXX il pc per qualche giornata e catturare da sul router o comunque stando in messo tra computer e connessione al medesimo verso la rete (tcpdump lo fa "unattended" se vuoi) i pacchetti e guardarci con comodo dopo ... il deep packet inspection non è che lo sanno fare solo alla NSA eh! ;)-
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
"NSA non ha fabbriche in cina"... ;) einfatti ne ha negli USA
l'hardware se non ci sono funzioni software che
lo chiamano e gli danno istruzioni non fa nulla
di sua iniziativa.
si e no, nel senso che un fpga è completamente autonomoma pure un asic, può contenere una piccola rom col programma da eseguire ( e senza accessi esterni che permettano a noialtri di metterci le mani sopra )
Il Firmware (cosa che non è l'hardware) invece
potrebbe essere malevolo (in teoria) ma purtroppo
anche lui ha bisogno di essere "chiamato" insomma
senza nascondere qualcosa a livello superiore
sono
amari!anche qui si e no, nel senso che un segnale esterno può fungere da trigger per l'avvio di un sottoprogramma presente nel firmware ( es: ascolto di un certo tipo di pacchetti sull'interfaccia ethernet, cosa che fa il wake on lan, per esempio )
E se proprio uno vuole basta lasciare acXXXXX il
pc per qualche giornata e catturare da sul router
o comunque stando in messo tra computer e
connessione al medesimo verso la rete (tcpdump lo
fa "unattended" se vuoi) i pacchetti e
guardarci con comodo dopo ... il deep packet
inspection non è che lo sanno fare solo alla NSA
eh!
;)si può fare ovviamente, ma ci sono dei problemi1. potrebbero usare la steganografia ( e loro sanno usarla sicuramente meglio di noi )2. potrebbero ( grazie al TPM ) far girare solo pacchetti criptati ( e solo loro e i loro amici hanno le chiave per decriptarli )3. possono infettare all'uopo determinati hardware ( per cui diventa pressochè impossibile dire "questa famiglia di router esce con backdoor dalla fabbrica" )4. possono ( cosa che imho è la più realistica ed economica ) dragare i dati dalla rete e ( grazie al fatto che hanno compromesso i vari protocolli per la crittografia in rete ) leggerli a sbafo, infettando poi con un malware standard chi dicono loro-
Re: attenti a quale kernel linux usate!
- Scritto da: collione
- Scritto da: tucumcari
Affatto non è autonomo per nulla:
1) ha bisogno pure lui che qualcuno lo usi .
2) senza firmware non va .
no, gli fpga hanno il programma innestato sotto
forma di connessioni tra porte
logicheNo gli FPGA sono (lo dice l'acronimo) Field Programmable Gate Array.Le porte le "disegni" come se ti costruissi un proXXXXXre dedicato con istruzioni tue... fatto questo devi poi successivamente dargli un programma (o più di uno a tuo piacere) che lui eseguirà con le capacità che tu ha precedentemente "disegnato".In pratica è un proXXXXXre ma che opera con logiche e istruzioni che ti sei inventato tu... ma sempre proXXXXXre rimane.
e chi lo usa c'è, sono i dati che lo investono (
che vengano da dentro o da fuori
)
Il programma o è eseguito sempre (e allora
te
ne
accorgi
facilmente)
Oppure bisogna che qualcuno lo chiami..
E ripeto anche in quel caso tcpdump e passa
la
paura...
tcpdump gira sul computer, quindi prima della
scheda di rete, questi chip invece vengono posti
nello stadio finale, praticamente collegati alla
porta di rete vera e
propriaTcpdump gira fuori dal computer sul mio router o su una macchina che stia (ripeto) tra il computer da testare e la rete...Quindi esattamente il contrario di ciò che dici.Altrimenti è inutile. :D
Il wake-on è funzione agganciata software
(driver) firmware e hardware (nessuno dei
tre
escluso) altrimenti non "wake" o sleeppa
sempre
o
wakka
sempre..
:D
si e nosi e si
il wake on lan è gestito dall'hardware di scheda
di rete e chipset della
mobo
la parte software riguarda il normale bootstrap
e/o ripristino dalla
sospensioneNo occorre una routine di servizio nel driver (S.O.) per gestire l'evento (risveglio) agganciata al watch dog..
E (ripeti con me) c'è sempre tcpdump...
:D
ma non serve se lo spione si trova attaccato al
filo e totalmente fuori dal controllo del
computerNon hai capito sono io col tcpdump che sto tra il computer e il router (o addirittura sul router nel mio caso dato che è mio anche nel senso del firmware che ho flashato io)...Ma ripeto basta meno basta mettersi tra router e computer il gioco è fatto! ;)
l'unico modo sarebbe uno sniffer hardware(rotfl)(rotfl)Cosa sarenbbe uno sniffer hardwareUn altra scia cimica?(rotfl)(rotfl)
certo come no... per grazia ricevuta e
investitura
divina!
:D
Amico caro la steganografia richiede che tu
aggiunga qualcosa se i spedisco un pacchetto
con
xyz ci deve essere xyz (identico) in uscita
sulla
rete... se c'è
dell'altro...
TANA!
Ti ho beccato!
vale il discorso di prima, ovvero la modifica
avviene poco prima di immettere i frame ethernet
sulla
reteMa io sto sulla rete ripeto!Nulla passa che io non veda!è semplice...
il livello datalink non è minimamente sotto il
controllo del sistema
operativoNon vero in assoluto.. ma lasciamo perdere tanto è ininfluente..
puoi ovviamente intercettare le modifiche, ma
solo collegando uno sniffer hardware in
serieNon hai capito ancora?Tu col TCPDUMP di metti tra il computer e il router della tua rete...Bastano (se non ti vuoi mettere addirittura direttamente sul router come faccio io abitualmente) due cavetti ethernet uno attaccato al computer "target" e uno al router e tra i due ti ci metti tu con un PC (altro) in cui hai tcpdump..Ripeto nulla scappa perchè è forzato FISICAMENTE (capisci fisicamente?) a passare attraverso di te!è BANALE.Lasciamo perdere va.. se non ci arrivi...Pensa a studiare va invece di coltivare mitologie... -
Re: attenti a quale kernel linux usate!
Pensa a studiare va invece di coltivare mitologie...E a prendere la licenza media. -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Pensa a studiare va invece di coltivare
mitologie...
E a prendere la licenza media.Per te invece niente disegnino.. oggi è festa ma... non è la festa dei legulei.. :DAl massimo pernacchietta... :p -
Re: attenti a quale kernel linux usate!
E soprattutto la festa dei cloni.:-D :-D :-D :-D :-D :-D :-D :-D -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
E soprattutto la festa dei cloni.
:-D :-D :-D :-D :-D :-D :-D :-DSi... i cloni... "più sono scemi più sono boni"In rima "baciata"Ma sono cloni che tutti sgamano... infatti i "ciao leguleio" degli altri utenti si accumulano.Solo un clone da 2 palanche (lacrime nella pioggia appunto) pensa che basti il nik per essere furbi...Come ti ho già detto tu sei quello che "scava"... :D -
Re: attenti a quale kernel linux usate!
Cloni come se piovessero... e pensano pure di essere autentici.Ma non danno alcun fastidio.:-D :-DIl vero fastidio per loro é esistere. -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Cloni come se piovessero... e pensano pure di
essere
autentici.
Ma non danno alcun fastidio.
:-D :-D
Il vero fastidio per loro é esistere.Sopratutto quando l'unico vero danno lo fanno a se stessi per banale stupidità...Anche per fare il clone occorre che la natura non sia stata troppo matrigna... altrimenti è come darsi la zappa sui piedi. ;) -
Re: attenti a quale kernel linux usate!
Ambarabà Ciccì Coccòtre cloni sul comòche facevo l'amore con la figlia del dottorema la mamma li sgamò:Ambarabà Ciccì Coccò!!! ;-)In effetti sgamarti non è difficile... ma non è nel mio interesse, mi diverto troppo. (rotfl)Buon proseguimento trolletto da quattro palanche bucate! :-) -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Ambarabà Ciccì Coccò
tre cloni sul comò
che facevo l'amore
con la figlia del dottore
ma la mamma li sgamò:
Ambarabà Ciccì Coccò!!! ;-)
In effetti sgamarti non è difficile... ma non è
nel mio interesse, mi diverto troppo.
(rotfl)
Buon proseguimento trolletto da quattro palanche
bucate!
:-)Beh a nanna avevi già detto da un pezzo che ci andavi...Ma non ti preoccupare io aspetto (ci andrai prima tu come sempre)...Non "ti regge la pompa" come dicono a Roma...(Ghe la fa minga a milano... un ariva miga in Romagna... e via dicendo...) -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
No gli FPGA sono (lo dice l'acronimo) Field
Programmable Gate
Array.
Le porte le "disegni" come se ti costruissi un
proXXXXXre dedicato con istruzioni tue... fatto
questo devi poi successivamente dargli un
programma (o più di uno a tuo piacere) che lui
eseguirà con le capacità che tu ha
precedentemente
"disegnato".no, il programma di cui avrai letto in giro, non è altro che il file vhdl che definisce come devono essere connesse le portefatto ciò, il fpga è completamente autonomo, non ha nessun programma nel senso di Von Neumannè un dispositivo che riceve input, li fa passare attraverso una complicata rete di porte logiche ( che hai definito dinamicamente prima ) e ciò elabora tali inputil punto è che un fpga si può anche programmare in fabbrica, congelarlo in quello stato e quindi è equivalente ad un asic
In pratica è un proXXXXXre ma che opera con
logiche e istruzioni che ti sei inventato tu...
ma sempre proXXXXXre
rimane.
un proXXXXXre è tale perchè implementa il ciclo di Von Neumann, un fpga non lo implementaun proXXXXXre è seriale, un fpga è parallelo
Tcpdump gira fuori dal computer sul mio router o
su una macchina che stia (ripeto) tra il computer
da testare e la
rete...tcpdump è il software e puoi benissimo installarlo pure sul pc ( es: io che uso arch, vado qui https://www.archlinux.org/packages/extra/x86_64/tcpdump/ e lo installo, poi lo eseguo e faccio il dump dei pacchetti )nel caso che citi, tcpdump è il programma che fa il dump, ma l'hardware su cui gira è un dispositivo esterno al pc o è il router ( che però potrebbe essere a sua volta compromesso )
No occorre una routine di servizio nel driver
(S.O.) per gestire l'evento (risveglio)
agganciata al watch
dog..
ti ricordo che il wake on lan non serve solo per risvegliare un pc, ma pure per attivarlo da spento!!!in quel caso il sistema operativo nemmeno è stato avviato
Non hai capito sono io col tcpdump che sto tra il
computer e il router (o addirittura sul router
nel mio caso dato che è mio anche nel senso del
firmware che ho flashato
io)...ho capito, ma tcpdump non è il dispositivo che metti tra pc e router leggendo tcpdump avevo capito che volessi metterlo in esecuzione sullo stesso pc che probabilmente è compromesso
Ma ripeto basta meno basta mettersi tra router e
computer il gioco è
fatto!
;)finchè i frame ethernet viaggeranno in chiaroil tpm ha come scopo annullare qualsiasi tipo di comunicazione non criptata
Cosa sarenbbe uno sniffer hardware
Un altra scia cimica?
(rotfl)(rotfl)no, è quello che tu chiami tcpdump
Non vero in assoluto.. ma lasciamo perdere tanto
è
ininfluente..
considerando che il livello più alto del datalink ( cioè il mac ) è controllato dal firmware della scheda, direi che il sistema operativo si ferma al livello 3fino ad oggi non ho mai visto un sistema operativo che si occupa di decidere quanti volts mettere sulla linea per indicare la presenza di un bit alto
Lasciamo perdere va.. se non ci arrivi...
Pensa a studiare va invece di coltivare
mitologie...sei tu che dovresti usare i termini adatti e non confondere l'hardware che fa lo sniffing col software relativo -
Re: attenti a quale kernel linux usate!
guarda siccome oggi è festa per tuttiTi ci metto il disegnino..Visto questo mi spieghi poi come fai a fare passare un pacchetto che non cada sotto le mie grinfie...http://tinypic.com/r/wl65c2/5E giacchè ci siamo pure in versione embedded ..[IMG]http://i40.tinypic.com/wl65c2.jpg[/IMG]cuntent? -
Re: attenti a quale kernel linux usate!
peccato che lì tcpdump gira su un dispositivo messo in serie tra il pc e il router ( ovvero quello che ho scritto io )non è affatto la stessa cosa se tcpdump gira sul tuo pc -
Re: attenti a quale kernel linux usate!
Ma allora sei de coccio!E si che te l'ho spiegato e rispiegato.tcpdump è mio OKAY!(rotfl)(rotfl)Ora vai pure a divertirti con il cubo di Rubik, oltre a quello non sai andare! -
Re: attenti a quale kernel linux usate!
e tu chi saresti? leguleio? -
Re: attenti a quale kernel linux usate!
- Scritto da: collione
e tu chi saresti? leguleio? e chi altri volevi che fosse ovviamente...Lui crede che basti il nik per non farsi sgamare..Poveretto! -
Re: attenti a quale kernel linux usate!
Cloni di quacloni di là cloni a destracloni a sinistra(rotfl)(rotfl)Mi pare che oggi anche EType si é lamentato di cloni. Evidentemente c'è un'epidemia. -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Ma allora sei de coccio!
E si che te l'ho spiegato e rispiegato.
tcpdump è mio OKAY!
(rotfl)(rotfl)
Ora vai pure a divertirti con il cubo di Rubik,
oltre a quello non sai
andare!Tu invece non sei de coccio sei de XXXXX..Che è decisamente peggio. -
Re: attenti a quale kernel linux usate!
Di cloni ce ne sono sempre stati, ma un clone che soffre di acidità di stomaco è nuovo :|Meno male che c'è il rimedio:[img]http://www.cibo360.it/images/cibo_salute/farmaci/antiacidi.jpg[/img]Buona guarigione trollino!(rotfl)(rotfl)(rotfl)(rotfl) -
Re: attenti a quale kernel linux usate!
- Scritto da: collione
peccato che lì tcpdump gira su un dispositivo
messo in serie tra il pc e il router ( ovvero
quello che ho scritto io
)
non è affatto la stessa cosa se tcpdump gira sul
tuo
pcTu hai parlato di un fantomatico "sniffer hardware" (che non esiste neppure).Sono ore che te lo sto dicendo tcpdump su altro PC... (o su router)dove vedi che io dico che gira sul PC target e sopratutto perchè devrebbe farlo per fare un favore a NSA?(rotfl)(rotfl)Ripeto quindi il deep packet inspection non lo sanno fare solo loro (peccato!)...E sai com'è per definizione fino a tu controlli le comunicazioni sull'Endpoint che loro vorrebbero spiare hai per definizione la mano vincente... loro stanno all'altro capo e non hanno la più pallida idea di quello che tu possa o non possa (o peggio tu voglia) fare..Hanno la mano perdente.. ;)Questo non salva i niubbi (ovviamente quelli non saranno mai salvi) ma quelli come me sono comunque tanti... troppi pure per loro... e non ci sono santi non è teoria non è magia... è la natura della rete che non a caso è fatta in questo modo... chi la ha progettata e messa in piedi somiglia molto più a me che a loro.Sai Postel Cerf e compagnia cantante... purtroppo venivano da certe università in un certo periodo storico... e come dire avevano (e hanno ... purtroppo Postel ci ha lasciato) un certo "modo di pensare"... non so se mi spiego...Purtroppo per loro ormai la frittata è fatta!Nessuno è capace di rimettere il dentifricio nel tubetto dopo che o ha spremuto... :DSai pur avendo una certa età questa consapevolezza mi ha sempre mantenuto un "pericoloso e inguaribile ottimista" :)Per quanto ti riguarda fa te ma almeno pensa prima di azzardare ipotesi...Ripeto quando vedrai camminare sul laghetto... comincia pure a preoccuparti..Fino a quel momento studia che ti fa bene...Pensa che io lo faccio ancora nonostante l'età.. -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Tu hai parlato di un fantomatico "sniffer
hardware" (che non esiste
neppure).non diciamo XXXXXXX http://www.kaspersky.com/images/Veronica%20Swanson.pdf"A DIY Hardware Packet Sniffer"http://www.di.unisa.it/~ads/corso-security/www/CORSO-0001/Sniffing/sniffer_file/introsniffer.htm"Uno sniffer è un qualsiasi strumento, sia esso un software o un apparato hardware, che raccoglie le informazioni che viaggiano lungo una rete"giusto per citare due fonti
Sono ore che te lo sto dicendo tcpdump su altro
PC... (o su
router)forse non l'avro letto, ma non mi pare fosse specificato che veniva fatto girare su un altro dispositivo hardware
Ripeto quindi il deep packet inspection non lo
sanno fare solo loro
(peccato!)...questo è ovvio
E sai com'è per definizione fino a tu controlli
le comunicazioni sull'Endpoint che loro
vorrebbero spiare hai per definizione la mano
vincente... loro stanno all'altro capo e nonquesto è chiaro e infatti ho detto che interponendo uno sniffer hardware puoi ispezionare i pacchetti ( volendo pure i frame ethernet )il problema nascerà quando useranno il tpm che criptare pure le comunicazioni sulle reti, perchè in quel caso tu non potrai vedere niente di niente, tranne una sfilza di bytes pseudocasuali
Hanno la mano perdente..
;)fino ad oggi e finchè usi programmi di cui conosci il funzionamentose però prendi un qualsiasi programma ios, messo lì da apple, questo potrebbe inviare dati: 1. criptati, 2. steganografatiil tuo discorso quadra finchè hai gli strumenti per lo sniffing dei pacchetti e finchè sai cosa fanno i programmi installati sul tuo pc
Per quanto ti riguarda fa te ma almeno pensa
prima di azzardare
ipotesi...ipotesi? io vedo fatti, documentati e pubblicati su tutti i giornali del mondosoluzioni crittografati compromesse, algoritmi volutamente indeboliti, backdoor in svariati programmi ( e forse pure hardware ) -
Re: attenti a quale kernel linux usate!
Mi sa che lo sniffer è qualcosa che conosci molto bene, si avvicina alle piste soprattutto durante le serate in compagnia.(rotfl) (rotfl)Ora è il caso di andare a nanna. Troppi concetti complicati in una volta sola non so se sei in grado di reggerli. Domani è un altro giorno. Ciaooooo!;-) -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Mi sa che lo sniffer è qualcosa che conosci molto
bene, si avvicina alle piste soprattutto durante
le serate in
compagnia.
(rotfl) (rotfl)
Ora è il caso di andare a nanna. Troppi concetti
complicati in una volta sola non so se sei in
grado di reggerli. Domani è un altro giorno.
Ciaooooo!
;-)Ecco vai a nanna che tanto nessuno ti presta attenzione... -
Re: attenti a quale kernel linux usate!
Oltre ai problemi di acidità evidenziati sopra soffri anche di deficit di accudimento?Di male in peggio... -
Re: attenti a quale kernel linux usate!
Dei tuoi problemi con la psichiatria non so nulla e nemmeno voglio sapere. Solo non so perché il reparto non ha fatto la conta dei degenti a mezzanotte. ;-)Più che altro è l'acidità, che alla lunga degenera in gastrite e ulcera, e anche ulcera grave. :-(Su con l'Alka Seltzer!(rotfl) (rotfl) -
Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari
Dei tuoi problemi con la psichiatria non so nulla
e nemmeno voglio sapere. Solo non so perché il
reparto non ha fatto la conta dei degenti a
mezzanotte.
;-)
Più che altro è l'acidità, che alla lunga
degenera in gastrite e ulcera, e anche ulcera
grave.
:-(Sei proprio ignorante... è ormai acclarato che l'ulcera è di origine "biotica" (batteri) e ormai definitivamente curabile ..
Su con l'Alka Seltzer!
(rotfl) (rotfl)L'alka Seltzer la vendono solo ai minus habens che pensano di curarcesi l'ulcera come te..Purtroppo quello che ti raccontano quando ti danno la tua dose di psicofarmaci...(ti dicono che curano l'ulcera) non è la verità te lo dicono per tenerti tranquillo. ;) -
Re: attenti a quale kernel linux usate!
- Scritto da: collione
- Scritto da: tucumcari
Tu hai parlato di un fantomatico "sniffer
hardware" (che non esiste
neppure).
non diciamo XXXXXXX
http://www.kaspersky.com/images/Veronica%20Swanson
"A DIY Hardware Packet Sniffer"
http://www.di.unisa.it/~ads/corso-security/www/CORGuarda (te lo ripeto per la ennesima volta) oltre che totalmente inutile... purtroppo senza software inevitabilmente non funziona...Tu ha una idea piuttosto sbagliata di "hardware"... il software anche se emmbedded o in rom resta software!
"Uno sniffer è un qualsiasi strumento, sia esso
un software o un apparato hardware, che raccoglie
le informazioni che viaggiano lungo una
rete"
giusto per citare due fontiPeccato ripeto che senza software non ci fai nulla!
Sono ore che te lo sto dicendo tcpdump su
altro
PC... (o su
router)
forse non l'avro letto, ma non mi pare fosse
specificato che veniva fatto girare su un altro
dispositivo
hardwareRouter o altro PC per te cosa significa è scritto per 4 volte (puoi contare)...
Ripeto quindi il deep packet inspection non
lo
sanno fare solo loro
(peccato!)...
questo è ovvioA quanto pare per te non sembrava così "ovvio".
E sai com'è per definizione fino a tu
controlli
le comunicazioni sull'Endpoint che loro
vorrebbero spiare hai per definizione la mano
vincente... loro stanno all'altro capo e non
questo è chiaro e infatti ho detto che
interponendo uno sniffer hardware puoi
ispezionare i pacchetti ( volendo pure i frame
ethernet
)Aridaje non ti serve a nulla lo sniffer "hardware" sopratutto perchè "hardware" non è (come ti ho mostrato).
il problema nascerà quando useranno il tpm che
criptare pure le comunicazioni sulle reti, perchè
in quel caso tu non potrai vedere niente di
niente, tranne una sfilza di bytes
pseudocasualiAnche questo è purtroppo (e anche questo te lo ho già spiegato) è ininfluente... non ho bisogno di decifrare nulla io trasmetto xyz e dall'altra parte SOLO xy e z devono uscire tutto il resto è tagliato (packet drop) di netto... è irrilevante... non riceveranno nulla cifrato o non cifrato che sia!
Hanno la mano perdente..
;)
fino ad oggi e finchè usi programmi di cui
conosci il
funzionamentoeggià vedi è indispensabile ... ieri ..oggi... e domani...
se però prendi un qualsiasi programma ios, messo
lì da apple, questo potrebbe inviare dati: 1.
criptati, 2.
steganografatiMa perchè dovrei usare IOS?Per fagli un favore?A parte che è anche quello è ininfluente... sempre tramite me deve passare e a quel punto se non è quello che gli ho detto.... DROP! :D
il tuo discorso quadra finchè hai gli strumenti
per lo sniffing dei pacchetti e finchè sai cosa
fanno i programmi installati sul tuo
pceggià come ho detto ieri.. oggi.. domani... studiare.. la libertà non la regala nessuno e quelli che dicono di regalarla va sempre a finire che si dimostrano impostori...Tocca darsi da fare... :D
Per quanto ti riguarda fa te ma almeno pensa
prima di azzardare
ipotesi...
ipotesi? io vedo fatti, documentati e pubblicati
su tutti i giornali del
mondoPerchè non rileggi quello che ho detto ?Software commerciale=exploit assicurato..Software libero... sono amari! ;)
soluzioni crittografati compromesse, algoritmi
volutamente indeboliti, backdoor in svariati
programmi ( e forse pure hardware
)Ripeto non ci sono santi il disegno è chiaro e incontrovertibile.. :D -
Re: attenti a quale kernel linux usate!
tu puoi solo arrivare a 'pensare' di essere completamente proprietario e controllore del dispositivo della figura, denominato TCPDUMP. In quel dispositivo, però, non esiste solo il firmware dove hai provveduto ad installare la tua bella versione di TCPDUMP. A monte ancora, esiste il chip di controllo del firmware e di entrambe le interfacce Ethernet sulle quali sta operando TCPDUMP. Ecco, ammettendo per ipotesi che NSA ha stretto contatti con il chip-maker interessato, e dentro il chip di controllo esiste una bella porzione di transistors che funge da back-door o quant'altro, al momento di veder passare il traffico NSA, è addirittura possibile che quella porzione di transistors non faccia nemmeno accendere il led "DATA" del tuo bel dispositivo di pseudocontrollo. Quindi, prima di dare tutto per scontato, il consiglio che ti do è di andare anche tu a studiare. Che è meglio. -
Re: attenti a quale kernel linux usate!
- Scritto da: esperto
tu puoi solo arrivare a 'pensare' di essere
completamente proprietario e controllore del
dispositivo della figura, denominato TCPDUMP.
In quel dispositivo, però, non esiste solo il
firmware dove hai provveduto ad installare la tua
bella versione di TCPDUMP. A monte ancora, esiste
il chip di controllo del firmware e di entrambe
le interfacce Ethernet sulle quali sta operando
TCPDUMP.Beh sai se viaggia (come gli tocca) su internet deve per forza passare via IP altrimenti non arriva da nessuna parte! :DSai mi dicono che sia una rete IP... e fino a che non hanno un loro filo direttamente in casa mia... tocca si rassegnino a spedire trame IP che haimè (hailoro e haitè) passano sotto le mie grinfie e... il MIO filo :De la telepatia (come il camminare sulle acque) è piuttosto complicata anche per loro.P.S.Mio cuggino sostiene anche che riescono a mettere un piccolo teletrasporto sulla scheda ethernet che così il fatto di passare dal filo non è più un problema... trasportano direttamente il tu PC da loro!Tu non sai di quali incredibili mezzi dispongono...Gli ultimi assunti sono James Kirk McCoy e Spock al momento non hanno ancora assunto Scott (l'ingegnere capo) perchè sta ancora lavorando alla miniatarizzazione del "tricorder" ma pare che sia a buon punto. :D -
Re: attenti a quale kernel linux usate!
tuo cuggino si che e' avanti!senzaltro lui non utilizza semplicemente tcpdump, oltre la Enterprise conoscera' molto bene anche Security Onionse e' lecito chiederlo, modello e revision del router dove hai alloggiato tcpdump? vorrei togliermi dei dubbi -
Re: attenti a quale kernel linux usate!
PBX4Linux, perché?Il discorso non cambia con altri router. ;-)
-
-
-
Re: attenti a quale kernel linux usate!
- Scritto da: collione
ok, metto linux senza blob binari, e poi? chi mi
assicura che non infilino un codice malevolo
nella rom della mia scheda di rete? e nell'hard
disk? e nel
bios?Infatti mi ricordo che avevano creato un malware che si installava nella scheda di rete un pò di tempo fa,se non ricordo aveva capacità da sniffer sul traffico di rete.....purtroppo la sicurezza al 100% non si avrà mai.-
Re: attenti a quale kernel linux usate!
Rakshasa ed è un malware di basso livello ( bios ) che si replica pure nel firmware della scheda di rete e ( volendo ) in altri firmwareciò lo rende ineliminabile, anche riflashando il bios del computer
-
-
-
Re: attenti a quale kernel linux usate!
Finalmente qualcuno che dice cose coerenti, non gente come panda rossa che parla di open source e di guerra al closed e poi utilizza Quantal Quetzal-
Re: attenti a quale kernel linux usate!
- Scritto da: Alleluia
Finalmente qualcuno che dice cose coerenti, non
gente come panda rossa che parla di open source e
di guerra al closed e poi utilizza Quantal
QuetzalPuoi usare pure "lupo ulilì e lupo ululà" come distro tutto sta a vedere che kernel ci metti e nessuno ti obbliga a mettercene uno con blob binari.
-
-
-
Il Bug di Debian
Questa storia mi ricorda il Bug di Debian, quello per cui le chiavi generate da Openssl erano quasi sempre le stesse e di cui ci si porta ancora dietro una blacklist a ricordo.La storia fu che un tizio riempì il buffer di generazione pseudo casuale per inizializzarlo, mentre in realtà doveva contenere valori di memoria presi a caso.Allora mi chiesi a cosa serviva il generatore hardware di numeri casuali integrato nel sistema operativo (/dev/random) visto che pareva che le openssl non lo usassero, ma queste sono questioni di lana caprina che poco si addicono ai toni delle discussioni su PI.-
Re: Il Bug di Debian
questo è il motivo per cui Torvalds non ha voluto integrare il supporto a RDRAND nel kernelRDRAND = backdoor NSA-
Re: Il Bug di Debian
e io che avevo capito il contrario :Dmi avevano pure sbattuto in faccia il fatto che freebsd supportasse rdrand e linux no!?!invece il problema è che vogliono far rimuovere il supporto a rdrand-
Re: Il Bug di Debian
invece il problema è che vogliono far rimuovere
il supporto a
rdrandPiù che altro hanno capito che sarebbe meglio toglierlo, se non altro per sospetti sempre più fondati. Poi ogni soggetto si regoli come crede.... Linus ha già tracciato la sua via.-
Re: Il Bug di Debian
- Scritto da: tucumcari
invece il problema è che vogliono far
rimuovere
il supporto a
rdrand
Più che altro hanno capito che sarebbe meglio
toglierlo, se non altro per sospetti sempre più
fondati. Poi ogni soggetto si regoli come
crede.... Linus ha già tracciato la sua
via.Nel tuo caso invece il problema è stare attento a non allargarti troppo a parlare di cose che non conosci...Per te "la via" è poco tracciata e molto perigliosa... ;) -
Re: Il Bug di Debian
È vero, dovrei mettermi a consigliare XENIX come fai tuhttp://punto-informatico.it/b.aspx?i=3885908&m=3886233 -
Re: Il Bug di Debian
- Scritto da: tucumcari
È vero, dovrei mettermi a consigliare XENIX
come fai
tu
http://punto-informatico.it/b.aspx?i=3885908&m=388Farina del tuo sacco bucato!e poi come ti ho già detto le citazioni dei cloni hanno la stessa persistenza (scarsa) di quelle di Leguleio... :D -
Re: Il Bug di Debian
- Scritto da: tucumcari
È vero, dovrei mettermi a consigliare XENIX
come fai
tu
http://punto-informatico.it/b.aspx?i=3885908&m=388Si buona questa..è come quella dello strappo sul tavolo da bigliardo!Ma facci capire legù pensi davvero che mettendo come nik tucumcari ti dimostri un volpone oppure è una forma di terapia che ti hanno suggerito nel reparto psichiatico dove sei ricoverato? -
Re: Il Bug di Debian
- Scritto da: tucumcari
- Scritto da: tucumcari
È vero, dovrei mettermi a consigliare
XENIX
come fai
tu
http://punto-informatico.it/b.aspx?i=3885908&m=388
Si buona questa..
è come quella dello strappo sul tavolo da
bigliardo!
Ma facci capire legù pensi davvero che mettendo
come nik tucumcari ti dimostri un volpone oppure
è una forma di terapia che ti hanno suggerito nel
reparto psichiatico dove sei ricoverato?Poveraccio, fa sempre piu' pena.E non si rende conto della figura che fa...
-
-
-
Re: Il Bug di Debian
- Scritto da: off line
è tutto il contrario
Petition | Linus Torvalds: Remove RdRand from
/dev/random
https://www.change.org/en-GB/petitions/linus-torvaLa risposta del pacato Torvalds alla petizione comincia così:"Dovè che si fa partire una petizione per innalzare lIQ e la conoscenza del kernel delle persone? ..."-
Re: Il Bug di Debian
- Scritto da: Stefano Lavori
- Scritto da: off line
è tutto il contrario
Petition | Linus Torvalds: Remove RdRand from
/dev/random
https://www.change.org/en-GB/petitions/linus-torva
La risposta del pacato Torvalds alla petizione
comincia
così:
"Dovè che si fa partire una petizione per
innalzare lIQ e la conoscenza del kernel delle
persone?
..."Beh, con un guru di tale spocchia come "genitore" non c'è da stupirsi se dopo vent'anni Linux ha un misero un per cento del mercato desktop.La gente non è poi così stupida da buttarsi in massa su un prodotto limitato, fatto e "supportato" (ah, ah, ah!) da dilettanti presuntuosi, solo perchè gli si magnificano le meraviglie del "free source".-
Re: Il Bug di Debian
- Scritto da: Livigno2000
- Scritto da: Stefano Lavori
- Scritto da: off line
è tutto il contrario
Petition | Linus Torvalds: Remove RdRand
from
/dev/random
https://www.change.org/en-GB/petitions/linus-torva
La risposta del pacato Torvalds alla petizione
comincia
così:
"Dovè che si fa partire una petizione per
innalzare lIQ e la conoscenza del kernel delle
persone?
..."
Beh, con un guru di tale spocchia come "genitore"
non c'è da stupirsi se dopo vent'anni Linux ha un
misero un per cento del mercato
desktop.
La gente non è poi così stupida da buttarsi in
massa su un prodotto limitato, fatto e
"supportato" (ah, ah, ah!) da dilettanti
presuntuosi, solo perchè gli si magnificano le
meraviglie del "free
source".nessun sospetto che possa avere ragione invece? :| -
Re: Il Bug di Debian
- Scritto da: Livigno2000
Beh, con un guru di tale spocchia come "genitore"
non c'è da stupirsi se dopo vent'anni Linux ha un
misero un per cento del mercato
desktop.
La gente non è poi così stupida da buttarsi in
massa su un prodotto limitato, fatto e
"supportato" (ah, ah, ah!) da dilettanti
presuntuosi, solo perchè gli si magnificano le
meraviglie del "free
source".Certo è meglio la gente che invece di chiedere di innalzare il livello di conoscenza e comprensione pensa che l'ignoranza (aggravata dal menarne pure vanto) sia una ottima soluzione! ;)Complimenti lei è un candidato ideale per il premio "pane e volpe 2013". -
Re: Il Bug di Debian
Complimenti lei è un candidato ideale per il
premio "pane e volpe
2013".Ma c'é anche il premio per i cloni?!? ;-)Perché io una candidatura robusta ce l'ho!!! :_D -
Re: Il Bug di Debian
- Scritto da: tucumcari
Complimenti lei è un candidato ideale per il
premio "pane e volpe
2013".Allora mi aggiungo ai linari che hanno vinto il premio nel 1994, 1995, 1996 ... fino al 2012! :D -
Re: Il Bug di Debian
- Scritto da: Livigno2000
Beh, con un guru di tale spocchia come "genitore"
non c'è da stupirsi se dopo vent'anni Linux ha un
misero un per cento del mercato
desktop.pessima trollata
La gente non è poi così stupida da buttarsi in
massa su un prodotto limitato, fatto e
"supportato" (ah, ah, ah!) da dilettanti
presuntuosi, solo perchè gli si magnificano le
meraviglie del "free
source".1. evidentemente non hai mai letto la lista dei contributors ( tra cui figurano le più grandi multinazionali IT, compresa microsoft )2. la gente non si butta su linux, visto che in vendita non lo trovi!!3. lo share su pc non è l'unico share che conta, visto che ci sono altri millemila settori ( a cominciare dal mobile )GET THE FACTS (rotfl) -
Re: Il Bug di Debian
- Scritto da: collione
- Scritto da: Livigno2000
Beh, con un guru di tale spocchia come
"genitore"
non c'è da stupirsi se dopo vent'anni Linux
ha
un
misero un per cento del mercato
desktop.
pessima trollata
La gente non è poi così stupida da buttarsi
in
massa su un prodotto limitato, fatto e
"supportato" (ah, ah, ah!) da dilettanti
presuntuosi, solo perchè gli si magnificano
le
meraviglie del "free
source".
1. evidentemente non hai mai letto la lista dei
contributors ( tra cui figurano le più grandi
multinazionali IT, compresa microsoft
)Io parlo del pubblico, non dei "contributors".Ma se mi vuoi dire che MS "spinge" su Linux ti ricordo che a suo tempo "spingeva" su Unix (Xenix), poi si è visto "quanto" spingeva ...A molti major player come IBM e MS fa comodo avere un piede dentro a Linux, per motivi diversi. Per Novell e Intel è poi ovvio, dato che non producono SO, comunque non per la distribuzione di massa.L'unico tra i top contributor che produce una distribution di sucXXXXX è Red Hat, che guarda caso è secondo me (dopo averne provate tante) la distribution migliore (o meno peggiore) che ci sia in giro. Ad ulteriore dimostrazione che l'open source va bene per progetti piccoli ma quando diventano grandi ci vuole (purtroppo) un committment di tipo commerciale.Per il resto, vedo grandi schiere di dilettanti nel mondo linaro ...
2. la gente non si butta su linux, visto che in
vendita non lo
trovi!!E che c'entra? Io parlo di scegliere Linux, non se sia in vendita o meno.Anzi, il fatto che abbia un 1% dei desktop pur essendo gratuito la dice lunga sull'"appeal" del prodotto, a parte una esiguissima minoranza di entusiasti (spesso spocchiosi al pari di Torvalds, come si vede anche qui).
3. lo share su pc non è l'unico share che conta,
visto che ci sono altri millemila settori ( a
cominciare dal mobile
)Si, certo, il mobile.Peccato che Android, l'UNICO prodotto su kernel Linux ad avere sucXXXXX!, sia anche la smentita totale alle illusioni di "robustezza" di Linux.E non mi si venga a dire che il problema sono solo le app e le cattive abitudini degli utenti, ci sono anche le vulnerabilità e pure gravi (es.: http://www.informationweek.com/security/vulnerabilities/hack-99-of-android-devices-big-vulnerabi/240158013).
GET THE FACTS (rotfl)Appunto. (super-rotfl) -
Re: Il Bug di Debian
- Scritto da: Livigno2000
Io parlo del pubblico, non dei "contributors".in pratica sei stato smentito e rigiri la frittata?riporto: "fatto e "supportato" (ah, ah, ah!) da dilettanti presuntuosi, "dalle mie parti questo significa che chi lo sviluppa e chi lo usa, sono entrambi dilettanti
A molti major player come IBM e MS fa comodo
avere un piede dentro a Linux, per motivi
diversi. Per Novell e Intel è poi ovvio, dato chetutto ciò implica che però chi lo sviluppa non è un dilettante
non producono SO, comunque non per la
distribuzione di
massa.
novell non produce sistemi operativi? la novell è stata la creatrice di netwareriguardo intel, è la creatrice di meego e adesso lavora su tizen insieme a samsung
sia in giro. Ad ulteriore dimostrazione che
l'open source va bene per progetti piccoli ma
quando diventano grandi ci vuole (purtroppo) un
committment di tipo
commerciale.e haiku? e minix? e freebsd? e mysql? e postgresql? e lua? e python? ci sono millemila esempi di grandi software opensource, interamente sviluppati da entità non commerciali
Per il resto, vedo grandi schiere di dilettanti
nel mondo linaro
...
non più di quanti ce ne sono nel mondo winaro
E che c'entra? Io parlo di scegliere Linux, non
se sia in vendita o
meno.come fanno a scegliere qualcosa di cui non conoscono nemmeno l'esistenza?android è linux ed è l'os mobile preferito da oltre il 70% degli utentiquindi?
Anzi, il fatto che abbia un 1% dei desktop pur
essendo gratuito la dice lunga sull'"appeal" del
prodotto, a parte una esiguissima minoranza di
entusiasti (spesso spocchiosi al pari di
Torvalds, come si vede anche
qui).
forse saremo spocchiosi, ma non siamo ignoranti
Si, certo, il mobile.
Peccato che Android, l'UNICO prodotto su kernel
Linux ad avere sucXXXXX!, sia anche la smentita
totale alle illusioni di "robustezza" di
Linux.e quali e quanti bug avrebbe android? i trojan non si possono annoverare tra le vulnerabilità del sistema, visto che è l'utente stesso ad installarlosu windows esistono centinaia di malware autoinstallanti, su android nemmeno uno
E non mi si venga a dire che il problema sono
solo le app e le cattive abitudini degli utenti,
ci sono anche le vulnerabilità e pure gravi (es.:
http://www.informationweek.com/security/vulnerabil
ecco, ce n'è una!! finalmente ne hanno trovata unalo sai vero, che per ios ce ne sono di più? http://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-15556/Apple-Iphone-Os.html -
Re: Il Bug di Debian
- Scritto da: collione
su windows esistono centinaia di malware
autoinstallanti, su android nemmeno
unoPotresti riportami qualcuno di questi malware che si autoinstalla sotto Windows 7/8? -
Re: Il Bug di Debian
- Scritto da: collione
- Scritto da: Livigno2000
Io parlo del pubblico, non dei
"contributors".
in pratica sei stato smentito e rigiri la
frittata?Non c'è nessuna smentita e nulla che debba rigirare.
riporto: "fatto e "supportato" (ah, ah, ah!) da
dilettanti presuntuosi,
"
dalle mie parti questo significa che chi lo
sviluppa e chi lo usa, sono entrambi
dilettantiE, infatti, tu diresti mai che Linux "è sviluppato da MS o IBM o Intel"?No, perchè danno comunque contributi minimi rispetto al mare magnum di dilettanti (più o meno allo sbaraglio) che contribuiscono per il 90% dello sviluppo.Lo sostieni ora solo per cercare una pezza alla tua "logica".
A molti major player come IBM e MS fa comodo
avere un piede dentro a Linux, per motivi
diversi. Per Novell e Intel è poi ovvio,
dato
che
tutto ciò implica che però chi lo sviluppa non è
un
dilettanteVedi sopra.
non producono SO, comunque non per la
distribuzione di
massa.
novell non produce sistemi operativi? la novell è
stata la creatrice di
netwareChe praticamente nessuno usa più da anni (oops! ... ma già, i linari non possono che essere convinti che quote di mercato attorno all'1% siano già "significative" :D).
riguardo intel, è la creatrice di meego e adesso
lavora su tizen insieme a
samsungEcco, bravo, dimmi quanta gente usa meego o tizen.E pensare che lo avevo scritto chiaro: "comunque non per la distribuzione di massa".
sia in giro. Ad ulteriore dimostrazione che
l'open source va bene per progetti piccoli ma
quando diventano grandi ci vuole (purtroppo)
un
committment di tipo
commerciale.
e haiku? e minix? e freebsd? e mysql? e
postgresql? e lua? e python? ci sono millemila
esempi di grandi software opensource, interamente
sviluppati da entità non
commercialiEh? Python un "grande software"? MySQL un "grande software"?Io sto parlando di grandi e complesse piattaforme (come un SO) sviluppate, SUPPORTATE e MANTENUTE in modo professionale, non di singoli tool.Nei singoli tool ci sono meno problemi, possono essere abbastanza agevolmente supportati da entusiasti sviluppatori non professionali, che li curano amorevolmente come loro "creature" ... almeno fino a quando non si stancano e passano a lavorare su qualcos'altro!Infatti pochi mesi fa è uscita una ricerca che mostrava che all'inizio i prodotti open source vengono debuggati più rapidamente di quelli commerciali ma più si va avanti nel tempo e più sono i prodotti professionali a diventare meno bacati.Nessuna sorpresa, alla lunga chi con un prodotto ci fa i soldi è più indotto, quasi "obbligato", a curarlo.
Per il resto, vedo grandi schiere di
dilettanti
nel mondo linaro
...
non più di quanti ce ne sono nel mondo winaroSpero tu stia scherzando.A parte che nel mondo winaro ce n'è una, criticabile sotto tanti aspetti ma certamente non dilettantesca, che da sola pesa più di tutti gli sviluppatori linari messi assieme, secondo te la miriade di software house (molte grosse) che scrive A PAGAMENTO per Windows è composta per lo più da dilettanti?Poi ci sono ANCHE i dilettanti, che è motivo ulteriore per cui Windows ha un parco enorme di programmi.
E che c'entra? Io parlo di scegliere Linux,
non
se sia in vendita o
meno.
come fanno a scegliere qualcosa di cui non
conoscono nemmeno
l'esistenza?Eh? Credi che la gente non abbia mai sentito nominare Linux, prodotto meraviglioso e gratuito?Lo ha sentito nominare e come.Ma è come per la satira di nonciclopedia su Linux:- 0.1%: percentuale di persone che usa ancora Linux dopo una settimana dall'installazione.- 0.00001%: percentuale di persone che usa Linux dopo un mese dall'installazione.Che è poi satira solo fino ad un certo punto.
android è linux ed è l'os mobile preferito da
oltre il 70% degli
utenti
quindi?Perchè, secondo te la gente compra Android perchè è Linux?Anch'io ho un Android (e, preciso, non mi fa schifo che sia Linux) ma l'ho scelto perchè mi piaceva di più degli Apple iOS o dei Win Mobile.
Anzi, il fatto che abbia un 1% dei desktop
pur
essendo gratuito la dice lunga sull'"appeal"
del
prodotto, a parte una esiguissima minoranza
di
entusiasti (spesso spocchiosi al pari di
Torvalds, come si vede anche
qui).
forse saremo spocchiosi, ma non siamo ignorantiBeh, a volte essere ignoranti è meglio che essere incapaci di vedere le cose come stanno.
Si, certo, il mobile.
Peccato che Android, l'UNICO prodotto su
kernel
Linux ad avere sucXXXXX!, sia anche la
smentita
totale alle illusioni di "robustezza" di
Linux.
e quali e quanti bug avrebbe android? i trojan
non si possono annoverare tra le vulnerabilità
del sistema, visto che è l'utente stesso ad
installarloChe è vero anche per Windows.
su windows esistono centinaia di malware
autoinstallantiCome ti hanno già chiesto: quali? qualche esempio di queste "centinaia"?, su android nemmeno
unoCerto, come no ...
E non mi si venga a dire che il problema sono
solo le app e le cattive abitudini degli
utenti,
ci sono anche le vulnerabilità e pure gravi
(es.:
http://www.informationweek.com/security/vulnerabil
ecco, ce n'è una!! finalmente ne hanno trovata unaUna?http://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224E non sono tutte legate ad applicazioni terze.
lo sai vero, che per ios ce ne sono di più?
http://www.cvedetails.com/vulnerability-list/vendoMai pensato che iOS fosse un sistema particolarmente robusto.E' "debole" come tutti i sistemi molto diffusi che sono oggetto di molte attenzioni da parte dei creatori di malware.Se Linux diventasse diffuso come Windows avrebbe lo stesso numero di vulnerabilità sfruttate del sistema di MS o poco meno (e, se un pò meno, forse più per le molteplicità di distribuzioni, quindi bersagli non del tutto univoci, che per altro).
-
-
-
Re: Il Bug di Debian
- Scritto da: collione
RDRAND = backdoor NSANon capisco da dove salta fuori questa convinzione.RDRAND è una "black box" come tutto il resto della CPU, perciò non c'è modo di verificarne l'implementazione, ma questo non si traduce automaticamente nel fatto che sia o meno fallata.David Johnston, il tizio che ha realizzato questa istruzione nei proXXXXXri Intel, afferma che la sua implementazione non ha subito alcuna influenza/pressione o modifica da parte di NSA o di altri. Non solo, ma non contento ha anche verificato il suo funzionamento una volta implementata in hardware attraverso microscopio elettronico e pico-probes.[ Puoi trovare l'intera discussione qui https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J che, per la cronaca, è davvero interessante ]In realtà non vedo alcuna prova né alcuna ragione per sostenere che l'istruzione rdrand di Intel sia stata in qualche modo manomessa.Tuttavia, anche se fosse, anche se l'istruzione RdRand generasse una banale sequenza fissa di zeri, il risultato di /dev/random sarebbe comunque sicuro... dato che, per come è implementato, mischia varie sorgenti di dati random e pseudorandom (e RdRand è "xorato" a queste sorgenti di entropia) prima di buttare fuori i dati random. In altre parole, anche se David Johnston fosse un agente dell'NSA infiltrato in Intel e mentisse spudoratamente l'implementazione di /dev/random sarebbe comunque al sicuro.L'unico modo per RdRand di "XXXXXXX" l'RNG di Linux sarebbe quello di riuscire a prevedere i bit provenienti dalle altre sorgenti di entropia e non vedo come potrebbe fare una cosa del genere (anche perché la cosa funzionerebbe su Linux, ma non altrove).-----------------------------------------------------------Modificato dall' autore il 13 settembre 2013 01.25-----------------------------------------------------------
-
-
-
Che poi
Indipendentemente dalla fondatezza delle accuse, i numeri generati dalle macchine in commercio non sono mai casuali, ma pseudocasuali. Con qualunque sistema.Per generare numeri davvero casuali ci sono macchine realizzate in modo da rendere apposta instabili i cicrcuiti.-
Re: Che poi
Vero, ma fuorviante.Perché se il punto da quale "inizi" ad usare la sequenza pseudocasuale è scelto a caso, e la sequenza è veramente pseudocasuale (S=cost), non c'è alcun modo di stabilire in quale punto della sequenza tu sia, per quanto lunga sia la sequenza che hai intercettato finora.Certo, se tutti partono dallo stesso punto, di casuale non c'è nulla.Poi se puoi permetterti di usare un fenomeno fisico intrinsecamente casuale per generare numeri casuali invece di sequenze bianche, molto meglio. Ma anche le prime, correttamente implementate, sarebbero sufficienti.-
Re: Che poi
Se leggi l'articolo sembra che l'algoritmo progettato dalla NSA sia pseudocasuale, mentre gli altri no. Era meglio specificarlo.Pseudocasuale non significa necessariamente prevedibile, siamo d'accordo, mi importa sapere di che tipo di "casualità" si parla.-
Re: Che poi
- Scritto da: tucumcari
Se leggi l'articolo sembra che l'algoritmo
progettato dalla NSA sia pseudocasuale, mentre
gli altri no. Era meglio
specificarlo.
Pseudocasuale non significa necessariamente
prevedibile, siamo d'accordo, mi importa sapere
di che tipo di "casualità" si
parla.NSA non saprei può pure fare quello che gli pare... Ma nell'articolo si parla di NIST (National Institute of Standards and Technology) che è tutt'altra cosa e non "fa gli algoritmi" li valida o certifica che è tutt'altra cosa!L'articolo è scritto comunque come al solito coi piedi!-
Re: Che poi
- Scritto da: tucumcari
- Scritto da: tucumcari
NSA non saprei può pure fare quello che gli
pare...
Ma nell'articolo si parla di NIST (National
Institute of Standards and Technology) che è
tutt'altra cosa e non "fa gli algoritmi" li
valida o certifica che è tutt'altra
cosa!Dal blog di Schneier, che qualcosa ne saprà: Dual_EC_DRBG "It's in the standard only because it's been championed by the NSA, which first proposed it years ago in a related standardization project at the American National Standards Institute". (https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html).Di chi ha realmente scritto l'algoritmo poco mi cale. Il NIST lo ha sostenuto chiaramente, lo ha fatto proprio... il nocciolo del discorso è quello.
L'articolo è scritto comunque come al solito coi
piedi! -
Re: Che poi
- Scritto da: tucumcari
- Scritto da: tucumcari
- Scritto da: tucumcari
NSA non saprei può pure fare quello che gli
pare...
Ma nell'articolo si parla di NIST (National
Institute of Standards and Technology) che è
tutt'altra cosa e non "fa gli algoritmi" li
valida o certifica che è tutt'altra
cosa!
Dal blog di Schneier, che qualcosa ne saprà:
Dual_EC_DRBG "It's in the standard only because
it's been championed by the NSA, which first
proposed it years ago in a related
standardization project at the American National
Standards Institute".
(https://www.schneier.com/blog/archives/2007/11/th
Di chi ha realmente scritto l'algoritmo poco mi
cale. Il NIST lo ha sostenuto chiaramente, lo ha
fatto proprio... il nocciolo del discorso è
quello.Ripeto (è meglio che leggi)Il NIST non fa algoritmi!NSA li può fare e farli certificare come può fare chiunque in USA.Il problema è se e quanto un algoritmo sia stato sottoposto a peer rewiev e crytpo analisi e questo lo fa (col codice "reference" in mano) la comunità.Se non c'è codice "reference" non c'è "peer rewiev" e se usi un algoritmo del genere (che ripeto non fa il NIST) sai già a cosa rischi di andare incontro!P.S.Ti risulta che siano in molti a usare il Dual_EC_DRBG? :DProvarci è un conto riuscirci è un altro.. :D -
Re: Che poi
- Scritto da: tucumcari
- Scritto da: tucumcari
Se leggi l'articolo sembra che l'algoritmo
progettato dalla NSA sia pseudocasuale,
mentre
gli altri no. Era meglio
specificarlo.
Pseudocasuale non significa necessariamente
prevedibile, siamo d'accordo, mi importa
sapere
di che tipo di "casualità" si
parla.
NSA non saprei può pure fare quello che gli
pare...
Ma nell'articolo si parla di NIST (National
Institute of Standards and Technology) che è
tutt'altra cosa e non "fa gli algoritmi" li
valida o certifica che è tutt'altra
cosa!
L'articolo è scritto comunque come al solito coi
piedi!L'articolo e a firma di tale Alfonso Maruccia, una persona la cui qualita' professionale e' nota a molti lettori di qeusta testata. -
Re: Che poi
- Scritto da: attonito
L'articolo e a firma di tale Alfonso Maruccia,
una persona la cui qualita' professionale e' nota
a molti lettori di qeusta
testata.Si lo so e bisogna dire che i suoi difettucci "Alfonso Alonso" (come lo chiamo io) li ha però a me ispira simpatia e non trovo bello che tanti gli diano addosso perchè ha "una guida" un pochino "spericolata" almeno lui dice chiaro quello che pensa...E poi mettiti nei suoi panni in una redazione di vetero-macachi il winaro dichiarato mi fa quasi (e sottolineo il quasi) un pochino di simpatia... è quel tipo di simpatia che a volte (anche in modo ingiustificato) mi prende per chi ha il coraggio di essere in minoranza... mica tutti ne sono capaci!Insomma l'articolo (lo ho detto per primo) non è un granchè ma il "dagli al Maruccia" non mi trova per nulla d'accordo.C'è di peggio (anche tra chi "spaccia un look" apparentemente più "professional"). -
Re: Che poi
Ad esempio Luca Annunziata è molto meno autoironico, e in caso di attacchi o risponde e poi luchetta la discussione o cancella direttamente. :-( -
Re: Che poi
- Scritto da: tucumcari
Ad esempio Luca Annunziata è molto meno
autoironico, e in caso di attacchi o risponde e
poi luchetta la discussione o cancella
direttamente.
:-(Se ci riesce.. :Da volte (quando rompe troppo i XXXXXXXX e esagera) i post cancellati ricompaiono a ripetizione...Ma questo vale anche per altre "personificazioni" del t-1000. ;) -
Re: Che poi
- Scritto da: tucumcari
Ad esempio Luca Annunziata è molto meno
autoironico, e in caso di attacchi o risponde e
poi luchetta la discussione o cancella
direttamente.
:-(Annunziata? un individuo che, post dopo post, arrampicata sui vetri dopo arrampicata sui vetri, ribaltamento dei fatti dopo ribaltamento dei fatti, alla fine ce l'ha fatta e si e' guadagnato la mia totale disistima. Mi auguro solo di campare abbastanza per vederlo un giorno mendicare un tozzo di pane sui gradini di una chiesa e di essere li' per avere il piacere di negaglierlo. -
Re: Che poi
- Scritto da: tucumcari
Ad esempio Luca Annunziata è molto meno
autoironico, e in caso di attacchi o risponde e
poi luchetta la discussione o cancella
direttamente.
:-(i dittatori di tutte le latiutudini (sudamerica, africa, asia, europa, etc) non hanno mai amato l'ironia del popolo ed il vedersi buttati in faccia i propi difetti. Annunziata, dittatorello di Pi, non e' da meno ed ecco cancellati TUTTI i post che anche lontanamente accennano a qualcosa contro di lui. -
Re: Che poi
Ricordo un tuo post di alcuni mesi fa dove dicevi che l'unico momento in cui si può commentare in pace è mentre Luca Annunziata è a fare la XXXXX. :|Scomparso pure quello. :-(Poteva scrivere che lui la XXXXX non la fa, e che quel momento arriva ogni qual volta vediamo un articolo con la sua firma. O poteva scrivera altre cose... nisba, ha preferito confermare la malelingua censurando con la mannaia. -
Re: Che poi
- Scritto da: tucumcari
Ricordo un tuo post di alcuni mesi fa dove dicevi
che l'unico momento in cui si può commentare in
pace è mentre Luca Annunziata è a fare la XXXXX.
:|
Scomparso pure quello. :-(
Poteva scrivere che lui la XXXXX non la fa, e che
quel momento arriva ogni qual volta vediamo un
articolo con la sua firma. O poteva scrivera
altre cose... nisba, ha preferito confermare la
malelingua censurando con la
mannaia.io invece me lo figuro mentre, spingendo sulla tazza, sditeggia sul surface omaggiatogli da microsoft italia, mentre cancella e lucchetta furiosamente quei post che non inneggiano alla sua imparziale professianalita', cioe' tutti. A proposito, sul fronte leguleio possiamo archiviare la piena vittoria! procognizzai che da livello "furio" (lo spicotico precisino) http://it.wikipedia.org/wiki/File:Bianco,_rosso_e_verdone_(furio).JPGlo avremmo portato al livello "pasquale" (il coatto semi-analfabeta) http://it.wikipedia.org/wiki/File:Bianco,_rosso_e_verdone_(pasquale).JPG, unico modo per poter stare su PI. Insomma, anche Leguleio, "uno di noi". lo avevo detto: "o ti adegui o ti spazziamo via". Si e' adeguato. -
Re: Che poi
- Scritto da: tucumcari
- Scritto da: attonito
L'articolo e a firma di tale Alfonso
Maruccia,
una persona la cui qualita' professionale e'
nota
a molti lettori di qeusta
testata.
Si lo so e bisogna dire che i suoi difettucci"difettucci"? Come dire che il monte Rosa e' un "pochino" alto.
"Alfonso Alonso" (come lo chiamo io) li ha però a
me ispira simpatia hai presente quando sei vestito in tiro che devi andare ad un matrimonio il *tuo* matrimonio e scendendo dall'auto per entrare in chiesa pesti un XXXXX di cane? ecco, leggere le cappelle di alfonsuccio mi da la stessa sensazione.
e non trovo bello che tanti
gli diano addosso perchè ha "una guida" un
pochino "spericolata" almeno lui dice chiaro
quello che pensa...le due cose no sono ne' correlate le la seconda scusante della prima.
E poi mettiti nei suoi panni in una redazione di
vetero-macachi il winaro dichiarato mi fa quasi
(e sottolineo il quasi) un pochino di simpatia...macachi i winari, ma enteambi piegati ai voleri degli sponsor, giuarda caso apple e microsft. direi che si compensano vicendevolmente.
è quel tipo di simpatia che a volte (anche in
modo ingiustificato) mi prende per chi ha il
coraggio di essere in minoranza... mica tutti ne
sono capaci!effettivamente la capacita' di alfonso di fottersene delle tonnellate di XXXXX che giustamente gli si riversa addosso per le XXXXXXX che dice, e' notevole.
Insomma l'articolo (lo ho detto per primo) non è
un granchè ma il "dagli al Maruccia" non mi trova
per nulla d'accordo.si spara su mariuccia sulla fiducia, tanto al 90% ce sempre la magagna da quanche parte nei suoi copiati-e-poi-tradotti-male-con-google articoli
C'è di peggio (anche tra chi "spaccia un look"
apparentemente più
"professional").si, quelli sono i peggio. ma tra e' come distinguere tra un gobbo e uno piu' gobbo: cambia l'intensita', non il difetto.
-
-
-
Re: Che poi
- Scritto da: Skywalker
Vero, ma fuorviante.
Perché se il punto da quale "inizi" ad usare la
sequenza pseudocasuale è scelto a caso, e la
sequenza è veramente pseudocasuale (S=cost), non
c'è alcun modo di stabilire in quale punto della
sequenza tu sia, per quanto lunga sia la sequenza
che hai intercettato
finora.
Certo, se tutti partono dallo stesso punto, di
casuale non c'è
nulla.
Poi se puoi permetterti di usare un fenomeno
fisico intrinsecamente casuale per generare
numeri casuali invece di sequenze bianche, molto
meglio. Ma anche le prime, correttamente
implementate, sarebbero
sufficienti.Io nel C64 per la questione numeri casuali, mettevo nel programma un ciclo continuo per andare avanti bisogna premere un tasto qualsiasi (un classico :) ) o quello che decidevo intanto nell'attesa si generavano cicli di numeri peseudocasuali quindi nel momento in cui si andava avanti il generatore di numeri casuali era arrivato ad un certo punto e c'era una certa casualità, il tempo di risposta dell'utente alla richiesta del programma. Ovvimente è una cosa amatoriale, che divertimento fare i giochini in basic nel C64, che nostalgia! :)
-
-
Re: Che poi
- Scritto da: tucumcari
Indipendentemente dalla fondatezza delle accuse,
i numeri generati dalle macchine in commercio non
sono mai casuali, ma pseudocasuali. Con qualunque
sistema.
Per generare numeri davvero casuali ci sono
macchine realizzate in modo da rendere apposta
instabili i
cicrcuiti.Vero...Ci sono addirittura proXXXXXri (ma tu evidentemente non lo sai) come la serie prodotta da VIA che hanno la circuiteria integrata direttamente on chip.sono:VIA C5XL core (2 circuiti randomizzaztori)VIA C5P core (2 circuiti randomizzatori + AES encryption)VIA C5J core (2 circuiti randomizzatori + AES encryption + NX execute protection + SHA1 e SHA2 + Montgomery Multiplication)N.B.La Montgomery Multiplication è una operazione base che si utilizza per le chiavi RSA (si veda teorema del resto cinese ecc.)In laboratorio da me (e anche al TUV in germania) è stato fatto un lavoro anche di cryptoanalisi sull'output della serie corrispondente alla sigla C5J (in particolare il VIA nano quadcore 64 bit e VIA nano X2 dual core 64 bit).Il lavoro è stato fatto in occasione della certificazione Common Criteria di un apparato (firmware basato su Linux da noi prodotto) installato presso alcuni clienti...Il proXXXXXre in questione tra l'altro ha le più elevate prestazioni crittografiche tra quelli in commercio (ad esempio oltre 25 GB/sec di throughput in AES 256) la serie in questione fornisce anche (ma c'è già anche nel kernel standard se andate a vedere) il sorgente dei drivers con le istruzioni estese che loro chiamano "PADLOCK" security engine.Le istruzioni sono anche incorporabili (a prescindere dal kernel) pure in openssl (anche li se andate sul sorgente trovate il codice in forma di "crypto engine".se dovete fare delle macchinette/serverelli mooolto performanti per la crittografia non c'è di meglio sul mercato.P.S.E nella versione "fanless" (leggermente underclockkato) consuma pure il giusto....-
Re: Che poi
Parlavo delle macchine in commercio per gli utenti che vogliono un PC stazionario o portatile. Tutti quei proXXXXXri sono per usi particolari, per università o centri di ricerca.Il resto del commento non c'entra nulla, serve solo ad allungare il brodo e far credere di avercelo più lungo. (rotfl) (rotfl)-
Re: Che poi
- Scritto da: tucumcari
Parlavo delle macchine in commercio per gli
utenti che vogliono un PC stazionario o
portatile. Tutti quei proXXXXXri sono per usi
particolari, per università o centri di
ricerca.
Il resto del commento non c'entra nulla, serve
solo ad allungare il brodo e far credere di
avercelo più lungo. (rotfl)
(rotfl)guarda che il VIA è usato anche in diversi PC "commerciali" anche HP ad esempio..Come vedi tra far credere di "avercelo più lungo" e essere informati ci corre qualche differenza! ;)Lo so che è complicato per uno come te ma purtroppo non è colpa mia..Io sono assolutamente incolpevole! :D-
Re: Che poi
Aspettavo proprio che mi dicessi che i VIA sono presenti su PC in commercio. Mavà?!??!?!???Dimmi, mi rivelerai come scoop che ci sono proXXXXXri Intel, ora?(rotfl)(rotfl)Io parlo di questi VIA:C5XL core C5P core C5J coreE parlo anche di chi ce l'ha lungo, si, ma il naso.(rotfl)(rotfl)
-
-
-
-
Re: Che poi
- Scritto da: tucumcari
Indipendentemente dalla fondatezza delle accuse,
i numeri generati dalle macchine in commercio non
sono mai casuali, ma pseudocasuali. Con qualunque
sistema.
Per generare numeri davvero casuali ci sono
macchine realizzate in modo da rendere apposta
instabili i
cicrcuiti.Ma non è vero ! Il device /dev/random di Linux utilizza i tempi di acXXXXX all'hard disk e i movimenti del mouse per creare una sequenza causale di numeri disponibili come stream di caratteri ... e senza generatori di rumore bianco.-
Re: Che poi
Il device /dev/random di Linux
utilizza i tempi di acXXXXX all'hard disk e i
movimenti del mouse per creare una sequenza
causale Causale, certo certo... la causale del versamento alle poste.-
Re: Che poi
- Scritto da: tucumcari
Il device /dev/random di Linux
utilizza i tempi di acXXXXX all'hard disk e i
movimenti del mouse per creare una sequenza
causale
Causale, certo certo... la causale del versamento
alle
poste.Anche se ho invertito due letter, io ho ragione e tu hai torto, fattene una ragione ... o un torto se preferisci.-
Re: Che poi
- Scritto da: Quelo
- Scritto da: tucumcari
Il device /dev/random di Linux
utilizza i tempi di acXXXXX all'hard disk
e
i
movimenti del mouse per creare una sequenza
causale
Causale, certo certo... la causale del
versamento
alle
poste.
Anche se ho invertito due letter, io ho ragione e
tu hai torto, fattene una ragione ... o un torto
se
preferisci.Si lui (non so chi sia... forse leguleio) ha indubbiamente torto ma questo non toglie che anche così si chiami sequenza "pseudocasuale" .Una sequenza realmente casuale ha una certa distribuzione nel tempo e deve essere "statisticamente" piatta (quante volte compare un certo valore in un dato intervallo di tempo t0-t1).Un generatore Hardware è basato sostanzialmente su un oscillatore (circuito RCL) instabile o ovviamente un DAC (nulla di complicato in teoria) un po' (passami la analogia) come un circuito di clock che "funziona male".... ;) -
Re: Che poi
Un generatore Hardware è basato sostanzialmente
su un oscillatore (circuito RCL) instabile o
ovviamente un DAC (nulla di complicato in teoria)
un po' (passami la analogia) come un circuito di
clock che "funziona
male"....
Conosco, conosco, ci sono anche versioni che usano i generatori di rumore bianco.Effettivamente sulla terminologia hai ragione, nel senso che molti definiscono il proXXXXX "pseudo casuale", ma non sono totalmente d'accordo.Secondo me i generatori "pseudo casuali" sono quelli a seed come <b
/dev/urandom </d
usato solo perché non è bloccante ma che non sono assolutamente adatti per la gestione di chiavi crittografiche.Leggere i movimenti del mouse e gli ultimi bit dei tempi di acXXXXX all'hard disk come fa <b
/dev/random </b
, non è molto lontano da una distribuzione piatta e sicuramente non è predicibile, quindi non è dissimile dal leggere il rumore o l'oscillazione di un circuito. -
Re: Che poi
Scusa il grassetto, ma oggi devo avere dei problemi di sincronizzazione tra le dita e la tastiera. -
Re: Che poi
- Scritto da: Quelo
Scusa il grassetto, ma oggi devo avere dei
problemi di sincronizzazione tra le dita e la
tastiera.Uno dei problemi della implementazione software (sempre meno ma ancora possibile date le prestazioni dei proXXXXXri) sono i limiti di throghput (di cui parlava già mi pare "unaDuraLezione") il secondo è che se sono male implementati corri il rischio di dovere aspettare un tempo x per accumulare un quantitativo sufficiente "di XXXXXte" (aka dati alla pene di molosso) da utilizzare per i seed come nel caso (già citato) della vulnerabilità del BSD.La implementazione linux è decente (ma resta il limite del throghput su CPU poco performanti cosa che ad esempio su un router a basso costo non è poi così rara) per cui generare una chiave crittografica su un router da 2 lire può non essere una genialata anche se ci hai messo (o lo hai comprato già) un linux embedded.Da un pochino i costruttori hanno cominciato a mettere il supporto HW in hardware (costa effettivamente poco) integrato direttamente sui chip che gestiscono le schede di rete... senza prendersi la briga (e i costi) di modificare la circuiteria delle board... o del SoC custom.In generale è chiaro che a quel punto il problema (casomai ci fosse stato) non esiste più.Linux comunque ha i driver per questo tipo di implementazioni Hardware se presenti.Direi che il problema oggi come oggi è diciamo "brillantemente risolto" e con una ragionevole confidenza questo tipo di chip non li fabbricano in USA ma ovviamente in cina e nei paesi "emergenti".E volendo è facile fare un test (se proprio si vuole essere come San Tommaso) sulla distribuzione (per vedere se è "genuinamente random") dell'output della funzione...
-
-
-
Re: Che poi
contenuto non disponibile-
Re: Che poi
- Scritto da: unaDuraLezione
- Scritto da: Quelo
Ma non è vero ! Il device /dev/random di
Linux
utilizza i tempi di acXXXXX all'hard disk e i
movimenti del mouse per creare una sequenza
causale di numeri disponibili come stream di
caratteri ... e senza generatori di rumore
bianco.
e se le chiamate di randomizzazione hanno una
frequenza di richieste superiore al throughput
(che è bassino, direi) fornito da quei due
dispositivi?Ti attacchi al tram...Anche per quel motivo ci sono i generatori HW... ;) -
Re: Che poi
e se le chiamate di randomizzazione hanno una
frequenza di richieste superiore al throughput
(che è bassino, direi) fornito da quei due
dispositivi?
Con tutti i limiti e tenendo in considerazione le vostre valutazioni, random è un device bloccante che accumula in un buffer gli eventi.Non chiedetemi nel dettaglio come funziona perché non sono mai andato a vedermi il codice, ma fino a quando non hai abbastanza bytes non funziona (normalmente il software ti chiede di muovere il mouse o usare un po` il pc)Di solito le chiamate a random sono usate solo per la creazione della chiave crittografica principale (cioè la classica 1024 o 2048 ) per le chiavi simmetriche di SSL non so cosa usino ma se il server deve rispondere immediatamente ovviamente ricorreranno ad altri sistemi.Se dall'altra parte (cioè sul server) c'è il classico acceleratore crittografico tutto il proXXXXX è interno all'acceleratore se è nell'hardware del PC immagino si possa passare da lì.
-
-
-