Una lunga intervista a tutto campo, nell'incontro con il CEO di Facebook Mark Zuckerberg all'ultima edizione dell'evento Disrupt organizzato dalla testata TechCrunch . Tra i principi della Silicon Valley, Zuckerberg ha riservato parole amarissime all'esteso programma di sorveglianza adottato dal governo federale con l'agenzia NSA. Le autorità statunitensi avrebbero fatto un pessimo lavoro nel tentativo di bilanciare le norme di sicurezza nazionale con i fondamentali diritti civili .
Il founder e CEO di Facebook ha così espresso grande frustrazione nei vincoli imposti dallo stesso governo di Washington in materia di trasparenza. Mentre si prepara all' imminente incontro con un gruppo di deputati repubblicani – il gigante di Menlo Park ha speso un totale di 3,5 milioni di dollari in attività di lobbying nella prima parte del 2013 – Zuckerberg vorrebbe rilasciare al suo pubblico informazioni più dettagliate sulle National Security Letters (NSL) inviate dai federali per la consegna di informazioni personali.
Il social network californiano è finito, come molte altre aziende high-tech , nell'occhio del ciclone scatenato dalla talpa Edward Snowden, accusato di collaborazionismo nella consegna silente di comunicazioni e dati dei suoi utenti. Lo stesso Zuckerberg si è difeso con estrema fermezza, sottolineando come l'accesso ai server di Facebook venga garantito solo in base a determinati criteri di revisione delle singole richieste del governo .
Se il compito di Facebook resta la massima tutela dei suoi server (e dunque dei suoi iscritti), Zuckerberg si è unito ai vertici di Yahoo! per esercitare pressione sulla corte FISA, in modo da ottenere l'autorizzazione a pubblicare maggiori dettagli sulle richieste governative. La sfida del social network da oltre 1 miliardo di amici – il CEO non sembra intenzionato a fermarsi , perché la cosa straordinaria sarà “connettere il mondo intero, lì dove non c'è ancora Internet” – non verrà affrontata solo alla House of Representatives .
Dopo la missiva spedita da un gruppo di organizzazioni per la tutela della privacy, i vertici della Federal Trade Commission (FTC) analizzeranno il nuovo pacchetto di aggiornamenti alle policy in materia di raccolta e trattamento delle informazioni personali, compresa la feature di riconoscimento automatico dei visi per facilitare le operazioni di tagging social. La commissione a stelle e strisce dovrà decidere se gli update in blu risultano in violazione di un precedente accordo stipulato con Facebook nel 2012 .
Al di là delle spinose questioni legali, Zuckerberg si è soffermato sul futuro della sua piattaforma, in particolare sulla prossima costruzione di una nuova versione della casa di applicazioni Home, che porterà ad una diretta integrazione di Instagram e di altri contenuti condivisi da terze parti . Il CEO ha però ammesso che il ritmo di distribuzione della nuova famiglia di app per Android non procede come sperato inizialmente.
Mauro Vecchio
-
Chi vuole privacy deve usare linux
Ormai sono rimasti solo i winari e gli zombi (cit.) a credere alla storia di babbo natale buono che lavora alla NSA.Tutti gli altri (ovvero quella sparuta minoranza di esseri umani dotati di cervello), utilizzano linux: l'unico sistema che salvaguarda la pricacy, e non lascia aperture sul retro, attraverso le quali la NSA puo' penetrare a stantuffo.Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> Ormai sono rimasti solo i winari e gli zombi> (cit.) a credere alla storia di babbo natale> buono che lavora alla> NSA.> > Tutti gli altri (ovvero quella sparuta minoranza> di esseri umani dotati di cervello), utilizzano> linux: l'unico sistema che salvaguarda la> pricacy, e non lascia aperture sul retro,> attraverso le quali la NSA puo' penetrare a> stantuffo.Come questa per caso? :Dhttp://www.cvedetails.com/cve/CVE-2008-5162/Re: Chi vuole privacy deve usare linux
- Scritto da: ...> - Scritto da: panda rossa> > Ormai sono rimasti solo i winari e gli zombi> > (cit.) a credere alla storia di babbo natale> > buono che lavora alla> > NSA.> > > > Tutti gli altri (ovvero quella sparuta minoranza> > di esseri umani dotati di cervello), utilizzano> > linux: l'unico sistema che salvaguarda la> > pricacy, e non lascia aperture sul retro,> > attraverso le quali la NSA puo' penetrare a> > stantuffo.> Come questa per caso? :D> http://www.cvedetails.com/cve/CVE-2008-5162/Che c'entra quello con linux?Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> - Scritto da: ...> > - Scritto da: panda rossa> > > Ormai sono rimasti solo i winari e gli> zombi> > > (cit.) a credere alla storia di babbo> natale> > > buono che lavora alla> > > NSA.> > > > > > Tutti gli altri (ovvero quella sparuta> minoranza> > > di esseri umani dotati di cervello),> utilizzano> > > linux: l'unico sistema che salvaguarda> la> > > pricacy, e non lascia aperture sul> retro,> > > attraverso le quali la NSA puo'> penetrare> a> > > stantuffo.> > Come questa per caso? :D> > http://www.cvedetails.com/cve/CVE-2008-5162/> > Che c'entra quello con linux?Era il cugino più sicuro, figurati linussss :DRe: Chi vuole privacy deve usare linux
The arc4random function in the kernel in FreeBSD 6.3 through 7.1 does not have a proper entropy source for a short time period immediately after boot> Come questa per caso? :D> http://www.cvedetails.com/cve/CVE-2008-5162/Già mi immagino quanti sistemi FreeBSD e dintorni siano stati compromessi a causa di questa vulnerabilità critica 8)Non solo a me, invece, è tornato in mente il bug introdotto da Debian nel PRNG di OpenSSL. Pensare che nell'unica distro linux decente sia stata introdotta una falla del genere (che, questa sì, ha creato non pochi danni) la dice lunga su chi mette le mani nel software che i linari si installano alla cieca... Ovviamente bisogna dare atto della buna fede, è stato un errore di distrazione, mica un LinaroNSA che l'abbia fatto di proposito ``C-offuscando'' del codice: altrimenti non si sarebbe mai scoperto e non se ne parlerebbe nemmeno ;)Che poi i PRNG closed-source (per non dire "quelli della NSA") possano nascondere "pericoli" non mi sembra un novità particolare. Ma immagino che i winari e i macachi si fidino più di quello che non vedono che di quello che vedono.Re: Chi vuole privacy deve usare linux
- Scritto da: FreeBSD> The arc4random function in the kernel in FreeBSD> 6.3 through 7.1 does not have a proper entropy> source for a short time period immediately after> boot> > > Come questa per caso? :D> > http://www.cvedetails.com/cve/CVE-2008-5162/> > Già mi immagino quanti sistemi FreeBSD e dintorni> siano stati compromessi a causa di questa> vulnerabilità critica Dipende dai casi quanto è sfruttabile... Ad esempio se in un sistema hai nmila script di inizializzazione al boot di varie cose e sottosistemi prima che il sistema sia "completamente up and running" e sia quindi passato un certo tempo prima che tu cominci a usarlo il "randomizzatore"... non elimina le ragioni della vulnerabilità ma risulta di fatto non sfruttabile per quel sistema...Paradossalmente una sequenza di boot "laboriosa" dove ovviamente non si faccia uso del "randomizzatore" "para" la vulnerabilità...Un assesment di sicurezza si fa sui sistemi e sull'utilizzo concreto l'advisory (che invece guarda la vulnerabilità in astratto) serve appunto oltre che a correggere più che altro a fare si che tu possa capire se il sistema "reale" che tu hai installato è soggetto oppure no in modo concreto a quella vulnerabilità nelle condizioni concrete in cui opera.Re: Chi vuole privacy deve usare linux
se è per questo, furono inserite backdoor pure in openbsd ( si dice poi rimosse nel corso degli anni )aldilà di facili polemiche, trovo difficile che "bug" tipo quello di debian non siano presenti pure in freebsd ( o meglio nelle sue versioni "proprietarizzate" )Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> linux: l'unico sistema che salvaguarda la> pricacy, e non lascia aperture sul retro,> attraverso le quali la NSA puo' penetrare a> stantuffo.Anche io uso Linux per diverse applicazioni, ma da quel punto di vista, certezze non ne ho.Senza scomodare le blob binary di certe distribuzioni, credi davvero sia impossibile per qualcuno intenzionato a farlo e con il giusto sostegno aggiungere il "nuovo servizio essenziale", il tal accorgimento di sicurezza o la scelta della specifica implementazione di una funzione in un qualsiasi Linux?Re: Chi vuole privacy deve usare linux
- Scritto da: Teo_> - Scritto da: panda rossa> > linux: l'unico sistema che salvaguarda la> > pricacy, e non lascia aperture sul retro,> > attraverso le quali la NSA puo' penetrare a> > stantuffo.> > Anche io uso Linux per diverse applicazioni, ma> da quel punto di vista, certezze non ne> ho.> Senza scomodare le blob binary di certe> distribuzioni, credi davvero sia impossibile per> qualcuno intenzionato a farlo e con il giusto> sostegno aggiungere il "nuovo servizio> essenziale", il tal accorgimento di sicurezza o> la scelta della specifica implementazione di> una funzione in un qualsiasi> Linux?Aggiungere una cosa del genere e' sicuramente fattibile.Sperare che passi inosservata e' arduo.Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> - Scritto da: Teo_> > - Scritto da: panda rossa> > > linux: l'unico sistema che salvaguarda> la> > > pricacy, e non lascia aperture sul> retro,> > > attraverso le quali la NSA puo'> penetrare> a> > > stantuffo.> > > > Anche io uso Linux per diverse applicazioni,> ma> > da quel punto di vista, certezze non ne> > ho.> > Senza scomodare le blob binary di certe> > distribuzioni, credi davvero sia impossibile> per> > qualcuno intenzionato a farlo e con il giusto> > sostegno aggiungere il "nuovo servizio> > essenziale", il tal accorgimento di> sicurezza> o> > la scelta della specifica implementazione> di> > una funzione in un qualsiasi> > Linux?> > Aggiungere una cosa del genere e' sicuramente> fattibile.> Sperare che passi inosservata e' arduo.è più che arduo...è certo che ti beccano.Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> Ormai sono rimasti solo i winari e gli zombi> (cit.) a credere alla storia di babbo natale> buono che lavora alla> NSA.> > Tutti gli altri (ovvero quella sparuta minoranza> di esseri umani dotati di cervello), utilizzano> linux: l'unico sistema che salvaguarda la> pricacy, e non lascia aperture sul retro,> attraverso le quali la NSA puo' penetrare a> stantuffo.Salvaguardia la privacy?Con Ubuntu e Gnome che oramai integrano facebook,gmail+googledoc,twitter eccetera?L'unico modo valido per salvaguardare la privacy, ammesso sia possibile, è usare il cervello; e nemmeno linux è in grado di garantirne l'utilizzo.(Non conosco la situazione nel mondo kde: l'ho abbandonato eoni fa e non mi sono più informato)Re: Chi vuole privacy deve usare linux
- Scritto da: yupa non loggato> - Scritto da: panda rossa> > Ormai sono rimasti solo i winari e gli zombi> > (cit.) a credere alla storia di babbo natale> > buono che lavora alla> > NSA.> > > > Tutti gli altri (ovvero quella sparuta minoranza> > di esseri umani dotati di cervello), utilizzano> > linux: l'unico sistema che salvaguarda la> > pricacy, e non lascia aperture sul retro,> > attraverso le quali la NSA puo' penetrare a> > stantuffo.> > > Salvaguardia la privacy?> > Con Ubuntu e Gnome che oramai integrano> facebook,gmail+googledoc,twitter> eccetera?No, non integrano.Mettono a disposizione strumenti, che puoi benissimo non installare.Non c'e' proprio nulla di integrato.> L'unico modo valido per salvaguardare la privacy,> ammesso sia possibile, è usare il cervello; e> nemmeno linux è in grado di garantirne> l'utilizzo.Sta di fatto che cervello+linux e' una accoppiata vincente.Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> Sta di fatto che cervello+linux e' una accoppiata> vincente.Linux ce l'hai , ora ti manca l'altra parte per essere vincente. 8)Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> Ormai sono rimasti solo i winari e gli zombi> (cit.) a credere alla storia di babbo natale> buono che lavora alla NSA.> > Tutti gli altri (ovvero quella sparuta minoranza> di esseri umani dotati di cervello), utilizzano> linux: l'unico sistema che salvaguarda la> pricacy, e non lascia aperture sul retro,> attraverso le quali la NSA puo' penetrare a> stantuffo.dipendese usi un kernel blobbato o una distribuzione "venduta" (come ubuntu, tanto per fare un esempio), allora stai pure certo che le aprture ci sono eccomese usi un kernel "depurato" dai blob binari e una distribuzione un minimo seria, allora (forse) hai un sistema abbastanza sicurose vuoi approfondire ti rimando a questo commento:http://punto-informatico.it/b.aspx?i=3887437&m=3887805#p3887805Re: Chi vuole privacy deve usare linux
- Scritto da: off line> - Scritto da: panda rossa> > Ormai sono rimasti solo i winari e gli zombi> > (cit.) a credere alla storia di babbo natale> > buono che lavora alla NSA.> > > > Tutti gli altri (ovvero quella sparuta> minoranza> > di esseri umani dotati di cervello),> utilizzano> > linux: l'unico sistema che salvaguarda la> > pricacy, e non lascia aperture sul retro,> > attraverso le quali la NSA puo' penetrare a> > stantuffo.> > dipende> > se usi un kernel blobbato o una distribuzione> "venduta" (come ubuntu, tanto per fare un> esempio), allora stai pure certo che le aprture> ci sono> eccome> > se usi un kernel "depurato" dai blob binari e una> distribuzione un minimo seria, allora (forse) hai> un sistema abbastanza> sicuroNon devi spiegarle a me certe cose.Re: Chi vuole privacy deve usare linux
- Scritto da: panda rossa> - Scritto da: off line> > - Scritto da: panda rossa> > > Ormai sono rimasti solo i winari e gli> zombi> > > (cit.) a credere alla storia di babbo> natale> > > buono che lavora alla NSA.> > > > > > Tutti gli altri (ovvero quella sparuta> > minoranza> > > di esseri umani dotati di cervello),> > utilizzano> > > linux: l'unico sistema che salvaguarda> la> > > pricacy, e non lascia aperture sul> retro,> > > attraverso le quali la NSA puo'> penetrare> a> > > stantuffo.> > > > dipende> > > > se usi un kernel blobbato o una distribuzione> > "venduta" (come ubuntu, tanto per fare un> > esempio), allora stai pure certo che le> aprture> > ci sono> > eccome> > > > se usi un kernel "depurato" dai blob binari> e> una> > distribuzione un minimo seria, allora> (forse)> hai> > un sistema abbastanza> > sicuro> > Non devi spiegarle a me certe cose.bene... allora, se davvero le sai certe cose, sarebbe molto più opportuno che tu le spiegassi meglio agli altriChe poi
Indipendentemente dalla fondatezza delle accuse, i numeri generati dalle macchine in commercio non sono mai casuali, ma pseudocasuali. Con qualunque sistema.Per generare numeri davvero casuali ci sono macchine realizzate in modo da rendere apposta instabili i cicrcuiti.Re: Che poi
Vero, ma fuorviante.Perché se il punto da quale "inizi" ad usare la sequenza pseudocasuale è scelto a caso, e la sequenza è veramente pseudocasuale (S=cost), non c'è alcun modo di stabilire in quale punto della sequenza tu sia, per quanto lunga sia la sequenza che hai intercettato finora.Certo, se tutti partono dallo stesso punto, di casuale non c'è nulla.Poi se puoi permetterti di usare un fenomeno fisico intrinsecamente casuale per generare numeri casuali invece di sequenze bianche, molto meglio. Ma anche le prime, correttamente implementate, sarebbero sufficienti.Re: Che poi
Se leggi l'articolo sembra che l'algoritmo progettato dalla NSA sia pseudocasuale, mentre gli altri no. Era meglio specificarlo.Pseudocasuale non significa necessariamente prevedibile, siamo d'accordo, mi importa sapere di che tipo di "casualità" si parla.Re: Che poi
- Scritto da: tucumcari> Se leggi l'articolo sembra che l'algoritmo> progettato dalla NSA sia pseudocasuale, mentre> gli altri no. Era meglio> specificarlo.> Pseudocasuale non significa necessariamente> prevedibile, siamo d'accordo, mi importa sapere> di che tipo di "casualità" si> parla.NSA non saprei può pure fare quello che gli pare... Ma nell'articolo si parla di NIST (National Institute of Standards and Technology) che è tutt'altra cosa e non "fa gli algoritmi" li valida o certifica che è tutt'altra cosa!L'articolo è scritto comunque come al solito coi piedi!Re: Che poi
- Scritto da: Skywalker> Vero, ma fuorviante.> > Perché se il punto da quale "inizi" ad usare la> sequenza pseudocasuale è scelto a caso, e la> sequenza è veramente pseudocasuale (S=cost), non> c'è alcun modo di stabilire in quale punto della> sequenza tu sia, per quanto lunga sia la sequenza> che hai intercettato> finora.> > Certo, se tutti partono dallo stesso punto, di> casuale non c'è> nulla.> > Poi se puoi permetterti di usare un fenomeno> fisico intrinsecamente casuale per generare> numeri casuali invece di sequenze bianche, molto> meglio. Ma anche le prime, correttamente> implementate, sarebbero> sufficienti.Io nel C64 per la questione numeri casuali, mettevo nel programma un ciclo continuo per andare avanti bisogna premere un tasto qualsiasi (un classico :) ) o quello che decidevo intanto nell'attesa si generavano cicli di numeri peseudocasuali quindi nel momento in cui si andava avanti il generatore di numeri casuali era arrivato ad un certo punto e c'era una certa casualità, il tempo di risposta dell'utente alla richiesta del programma. Ovvimente è una cosa amatoriale, che divertimento fare i giochini in basic nel C64, che nostalgia! :)Re: Che poi
- Scritto da: tucumcari> Indipendentemente dalla fondatezza delle accuse,> i numeri generati dalle macchine in commercio non> sono mai casuali, ma pseudocasuali. Con qualunque> sistema.> Per generare numeri davvero casuali ci sono> macchine realizzate in modo da rendere apposta> instabili i> cicrcuiti.Vero...Ci sono addirittura proXXXXXri (ma tu evidentemente non lo sai) come la serie prodotta da VIA che hanno la circuiteria integrata direttamente on chip.sono:VIA C5XL core (2 circuiti randomizzaztori)VIA C5P core (2 circuiti randomizzatori + AES encryption)VIA C5J core (2 circuiti randomizzatori + AES encryption + NX execute protection + SHA1 e SHA2 + Montgomery Multiplication)N.B.La Montgomery Multiplication è una operazione base che si utilizza per le chiavi RSA (si veda teorema del resto cinese ecc.)In laboratorio da me (e anche al TUV in germania) è stato fatto un lavoro anche di cryptoanalisi sull'output della serie corrispondente alla sigla C5J (in particolare il VIA nano quadcore 64 bit e VIA nano X2 dual core 64 bit).Il lavoro è stato fatto in occasione della certificazione Common Criteria di un apparato (firmware basato su Linux da noi prodotto) installato presso alcuni clienti...Il proXXXXXre in questione tra l'altro ha le più elevate prestazioni crittografiche tra quelli in commercio (ad esempio oltre 25 GB/sec di throughput in AES 256) la serie in questione fornisce anche (ma c'è già anche nel kernel standard se andate a vedere) il sorgente dei drivers con le istruzioni estese che loro chiamano "PADLOCK" security engine.Le istruzioni sono anche incorporabili (a prescindere dal kernel) pure in openssl (anche li se andate sul sorgente trovate il codice in forma di "crypto engine".se dovete fare delle macchinette/serverelli mooolto performanti per la crittografia non c'è di meglio sul mercato.P.S.E nella versione "fanless" (leggermente underclockkato) consuma pure il giusto....Re: Che poi
Parlavo delle macchine in commercio per gli utenti che vogliono un PC stazionario o portatile. Tutti quei proXXXXXri sono per usi particolari, per università o centri di ricerca.Il resto del commento non c'entra nulla, serve solo ad allungare il brodo e far credere di avercelo più lungo. (rotfl) (rotfl)Re: Che poi
- Scritto da: tucumcari> Parlavo delle macchine in commercio per gli> utenti che vogliono un PC stazionario o> portatile. Tutti quei proXXXXXri sono per usi> particolari, per università o centri di> ricerca.> Il resto del commento non c'entra nulla, serve> solo ad allungare il brodo e far credere di> avercelo più lungo. (rotfl)> (rotfl)guarda che il VIA è usato anche in diversi PC "commerciali" anche HP ad esempio..Come vedi tra far credere di "avercelo più lungo" e essere informati ci corre qualche differenza! ;)Lo so che è complicato per uno come te ma purtroppo non è colpa mia..Io sono assolutamente incolpevole! :DRe: Che poi
- Scritto da: tucumcari> Indipendentemente dalla fondatezza delle accuse,> i numeri generati dalle macchine in commercio non> sono mai casuali, ma pseudocasuali. Con qualunque> sistema.> Per generare numeri davvero casuali ci sono> macchine realizzate in modo da rendere apposta> instabili i> cicrcuiti.Ma non è vero ! Il device /dev/random di Linux utilizza i tempi di acXXXXX all'hard disk e i movimenti del mouse per creare una sequenza causale di numeri disponibili come stream di caratteri ... e senza generatori di rumore bianco.Re: Che poi
Il device /dev/random di Linux> utilizza i tempi di acXXXXX all'hard disk e i> movimenti del mouse per creare una sequenza> causale Causale, certo certo... la causale del versamento alle poste.Re: Che poi
- Scritto da: tucumcari> Il device /dev/random di Linux> > utilizza i tempi di acXXXXX all'hard disk e i> > movimenti del mouse per creare una sequenza> > causale > > > Causale, certo certo... la causale del versamento> alle> poste.Anche se ho invertito due letter, io ho ragione e tu hai torto, fattene una ragione ... o un torto se preferisci.Re: Che poi
contenuto non disponibileRe: Che poi
- Scritto da: unaDuraLezione> - Scritto da: Quelo> > > Ma non è vero ! Il device /dev/random di> Linux> > utilizza i tempi di acXXXXX all'hard disk e i> > movimenti del mouse per creare una sequenza> > causale di numeri disponibili come stream di> > caratteri ... e senza generatori di rumore> > bianco.> > e se le chiamate di randomizzazione hanno una> frequenza di richieste superiore al throughput> (che è bassino, direi) fornito da quei due> dispositivi?Ti attacchi al tram...Anche per quel motivo ci sono i generatori HW... ;)Re: Che poi
> > e se le chiamate di randomizzazione hanno una> frequenza di richieste superiore al throughput> (che è bassino, direi) fornito da quei due> dispositivi?> Con tutti i limiti e tenendo in considerazione le vostre valutazioni, random è un device bloccante che accumula in un buffer gli eventi.Non chiedetemi nel dettaglio come funziona perché non sono mai andato a vedermi il codice, ma fino a quando non hai abbastanza bytes non funziona (normalmente il software ti chiede di muovere il mouse o usare un po` il pc)Di solito le chiamate a random sono usate solo per la creazione della chiave crittografica principale (cioè la classica 1024 o 2048 ) per le chiavi simmetriche di SSL non so cosa usino ma se il server deve rispondere immediatamente ovviamente ricorreranno ad altri sistemi.Se dall'altra parte (cioè sul server) c'è il classico acceleratore crittografico tutto il proXXXXX è interno all'acceleratore se è nell'hardware del PC immagino si possa passare da lì.Il Bug di Debian
Questa storia mi ricorda il Bug di Debian, quello per cui le chiavi generate da Openssl erano quasi sempre le stesse e di cui ci si porta ancora dietro una blacklist a ricordo.La storia fu che un tizio riempì il buffer di generazione pseudo casuale per inizializzarlo, mentre in realtà doveva contenere valori di memoria presi a caso.Allora mi chiesi a cosa serviva il generatore hardware di numeri casuali integrato nel sistema operativo (/dev/random) visto che pareva che le openssl non lo usassero, ma queste sono questioni di lana caprina che poco si addicono ai toni delle discussioni su PI.Re: Il Bug di Debian
questo è il motivo per cui Torvalds non ha voluto integrare il supporto a RDRAND nel kernelRDRAND = backdoor NSARe: Il Bug di Debian
e io che avevo capito il contrario :Dmi avevano pure sbattuto in faccia il fatto che freebsd supportasse rdrand e linux no!?!invece il problema è che vogliono far rimuovere il supporto a rdrandRe: Il Bug di Debian
> invece il problema è che vogliono far rimuovere> il supporto a> rdrandPiù che altro hanno capito che sarebbe meglio toglierlo, se non altro per sospetti sempre più fondati. Poi ogni soggetto si regoli come crede.... Linus ha già tracciato la sua via.Re: Il Bug di Debian
- Scritto da: off line> è tutto il contrario> > Petition | Linus Torvalds: Remove RdRand from> /dev/random> https://www.change.org/en-GB/petitions/linus-torvaLa risposta del pacato Torvalds alla petizione comincia così:"Dovè che si fa partire una petizione per innalzare lIQ e la conoscenza del kernel delle persone? ..."Re: Il Bug di Debian
- Scritto da: Stefano Lavori> - Scritto da: off line> > è tutto il contrario> > > > Petition | Linus Torvalds: Remove RdRand from> > /dev/random> >> https://www.change.org/en-GB/petitions/linus-torva> La risposta del pacato Torvalds alla petizione> comincia> così:> "Dovè che si fa partire una petizione per> innalzare lIQ e la conoscenza del kernel delle> persone?> ..."Beh, con un guru di tale spocchia come "genitore" non c'è da stupirsi se dopo vent'anni Linux ha un misero un per cento del mercato desktop.La gente non è poi così stupida da buttarsi in massa su un prodotto limitato, fatto e "supportato" (ah, ah, ah!) da dilettanti presuntuosi, solo perchè gli si magnificano le meraviglie del "free source".Re: Il Bug di Debian
- Scritto da: collione> RDRAND = backdoor NSANon capisco da dove salta fuori questa convinzione.RDRAND è una "black box" come tutto il resto della CPU, perciò non c'è modo di verificarne l'implementazione, ma questo non si traduce automaticamente nel fatto che sia o meno fallata.David Johnston, il tizio che ha realizzato questa istruzione nei proXXXXXri Intel, afferma che la sua implementazione non ha subito alcuna influenza/pressione o modifica da parte di NSA o di altri. Non solo, ma non contento ha anche verificato il suo funzionamento una volta implementata in hardware attraverso microscopio elettronico e pico-probes.[ Puoi trovare l'intera discussione qui https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J che, per la cronaca, è davvero interessante ]In realtà non vedo alcuna prova né alcuna ragione per sostenere che l'istruzione rdrand di Intel sia stata in qualche modo manomessa.Tuttavia, anche se fosse, anche se l'istruzione RdRand generasse una banale sequenza fissa di zeri, il risultato di /dev/random sarebbe comunque sicuro... dato che, per come è implementato, mischia varie sorgenti di dati random e pseudorandom (e RdRand è "xorato" a queste sorgenti di entropia) prima di buttare fuori i dati random. In altre parole, anche se David Johnston fosse un agente dell'NSA infiltrato in Intel e mentisse spudoratamente l'implementazione di /dev/random sarebbe comunque al sicuro.L'unico modo per RdRand di "XXXXXXX" l'RNG di Linux sarebbe quello di riuscire a prevedere i bit provenienti dalle altre sorgenti di entropia e non vedo come potrebbe fare una cosa del genere (anche perché la cosa funzionerebbe su Linux, ma non altrove).-----------------------------------------------------------Modificato dall' autore il 13 settembre 2013 01.25-----------------------------------------------------------attenti a quale kernel linux usate!
non fidatevi (e NON usate mai) il kernel linux vanilla del notosviluppatorecommerciale torvalds! questo kernel (e quindi tutte le distribuzioni che lo utilizzano) è "corredato" di una grande quantità di firmware/driver proprietari (non c'è alcun codice sorgente) in forma di blob binari...si tratta di firmware/driver -forniti direttamente dalle multinazionali che le producono (e chepaganocontibuiscono al progetto perché siano inserite nel kernel)- relativi a svariati device come certe schede video, webcam, controller disco ecc. ma, soprattutto, relativi a moltissime schede di rete...quindi, la possibilità che questi firmware/driver incorporino delle backdoor esiste eccome ed è anzi cosa molto ma molto probabile...https://en.wikipedia.org/wiki/Binary_blobhttp://packages.debian.org/source/sid/firmware-nonfreehttp://packages.debian.org/squeeze/firmware-linux-nonfreehttps://lwn.net/Articles/287056/http://www.kroah.com/log/linux/ols_2006_keynote.htmlcomunque, per fortuna, ci sono anche kernel linux liberi!si tratta di kernel linux "ripuliti" dai blob binari, come avviene per il kernel LinuxLibre e per il kernel Debian distribuito nel ramo 'main'https://en.wikipedia.org/wiki/Linux-librehttp://www.fsfla.org/ikiwiki/anuncio/2010-03-Linux-2.6.33-libre.en.htmlhttp://www.fsfla.org/ikiwiki/selibre/linux-libre/#downloadshttp://www.fsfla.org/ikiwiki/selibre/linux-libre/#binarieshttp://www.fsfla.org/ikiwiki/selibre/linux-libre/e ci sono anche varie distribuzioni che utilizzano kernel pultiti, per esempio:- gNewSensehttp://www.gnewsense.org/- Trisquelhttps://trisquel.info/it- Parabolahttps://parabolagnulinux.org/- Dragorahttp://www.dragora.org/en/index.html- Blaghttp://www.blagblagblag.org/- Debian (ATTENZIONE: *solo* col ramo 'main')http://www.debian.org/ovviamente, i device che richiedono blob frimware/driver *non* funzionano quando si usa un kernel libero: occorre quindi utilizzare hardware (che ESISTE ed è abbastanza facilmente REPERIBILE) che non richieda alcun blob... ecco dove iniziare a guardare (poi basta cercare...):https://www.fsf.org/resources/hwhttp://h-node.org/l'uso di hardware appropriato non è -non può e non deve essere- un problema per chi vuole un sistema libero da backdoor e sicuro da intrusioni e/o voglia evitare di essere spiato, tracciato ecc. o, semplicemente, per chi voglia essere libero (contribuendo così indirettamente anche alla libertà altrui)Re: attenti a quale kernel linux usate!
- Scritto da: off line> l'uso di hardware appropriato non è -non può e> non deve essere- un problema per chi vuole un> sistema libero da backdoor e sicuro da intrusioni> e/o voglia evitare di essere spiato, tracciato> ecc. o, semplicemente, per chi voglia essere> libero (contribuendo così indirettamente anche> alla libertà> altrui)Ti costruisci il pc a partire dalle porte logiche? :DRe: attenti a quale kernel linux usate!
- Scritto da: ...> - Scritto da: off line> Ti costruisci il pc a partire dalle porte logiche?mi costruisco il pc verificando prima la compatibilità dei componenti (ovvero scelgo componenti che funzionino cun il kernel linux *senza* richiedere/necessitare di frimware/driver proprietari)non è così difficile da capireRe: attenti a quale kernel linux usate!
- Scritto da: off line> - Scritto da: ...> > - Scritto da: off line> > Ti costruisci il pc a partire dalle > > porte logiche?> mi costruisco il pc verificando prima la> compatibilità dei componenti (ovvero scelgo> componenti che funzionino cun il kernel linux> *senza* richiedere/necessitare di frimware/driver> proprietari)> non è così difficile da capireCosa peraltro che va fatta quando compri hw con tutti i sistemi operativi, certo il mousettino sara' sempre compatibile, ma gia' certe grosse macchine industriali non sempre hanno driver per windows.Re: attenti a quale kernel linux usate!
Perchè tu ovviamente hai letto ogni singola riga delle milioni costituenti il kernel linux, e sei sicuro al di sopra di ogni sospetto che non contenga backdoor o falle dissimulate per permettere accessi remoti.Open source non è una condizione sufficiente alla sicurezza.Re: attenti a quale kernel linux usate!
- Scritto da: lullo> Perchè tu ovviamente hai letto ogni singola riga> delle milioni costituenti il kernel linux, e sei> sicuro al di sopra di ogni sospetto che non> contenga backdoor o falle dissimulate per> permettere accessi remoti.Visto che linux si studia nelle universita' decine di migliaia di studenti ne esaminano continuamente diverse parti; sicuramente il numero di elementi neutrani che si occupano di esaminare i sorgenti di linux rispeto ai sorgenti closed e' enormemente piu' alto.> Open source non è una condizione sufficiente alla> sicurezza.Infatti, nessuno dice che e' SUFFICIENTE, si dice che e' piu' sicuro ANCHE per quello.Re: attenti a quale kernel linux usate!
- Scritto da: krane> - Scritto da: lullo> > Perchè tu ovviamente hai letto ogni singola> riga> > delle milioni costituenti il kernel linux, e> sei> > sicuro al di sopra di ogni sospetto che non> > contenga backdoor o falle dissimulate per> > permettere accessi remoti.> > Visto che linux si studia nelle universita'> decine di migliaia di studenti ne esaminano> continuamente diverse parti; sicuramente il> numero di elementi neutrani che si occupano di> esaminare i sorgenti di linux rispeto ai sorgenti> closed e' enormemente piu'> alto.> > > Open source non è una condizione sufficiente> alla> > sicurezza.> > Infatti, nessuno dice che e' SUFFICIENTE, si dice> che e' piu' sicuro ANCHE per> quello.mmmhhmmm vediamoCi sono condizioni necessarie, condizioni sufficienti, e condizioni necessarie e sufficienti.L'open source è condizione necessaria (non sufficiente).Il peer rewiev del codice è condizione necessaria (non sufficiente)Il peer rewiev e il download del codice (già sottoposto a peer rewiev) da un repository in cui il codice sia già stato (appunto) a peer rewiev è condizione necessaria e sufficiente a garantire non la sicurezza ma la mancanza di "vulnerabilità note".Nessuna di queste 3 cose è condizione sufficiente a garantire la sicurezza ma sei già "un pezzo avanti"...Ovviamente nel caso del closed manca già la condizione necessaria... figuriamoci quella sufficiente!Re: attenti a quale kernel linux usate!
- Scritto da: krane> - Scritto da: lullo> > Open source non è una condizione sufficiente> alla> > sicurezza.> > Infatti, nessuno dice che e' SUFFICIENTE, si dice> che e' piu' sicuro ANCHE per> quello.Io non sono un esperto informatico, ma la logica di base è alla protata di tutti.http://it.wikipedia.org/wiki/Condizione_necessaria_e_sufficienteInfatti è obbligatorio considerare che la possibilità della lettura del codice (open-source) non è condizione SUFFICIENTE per la sicurezza ma NECESSARIA.Non rispondo a te Krane, anzi condivido il tuo discorso.Non volevo rispondere a lullo solo ed esclusivamente perchè credo sia un nick usa e getta, se mi sbaglio sono pronto a provvedere.PsIo non voglio buttar fango su Win o OSX, hanno e hanna avuto il loro ruolo nell'informatica mondiale ma alla luce del datagate, gli user close.souce dovrebbero rendersi conto di cosa dicono parlando di sicurezza.Re: attenti a quale kernel linux usate!
- Scritto da: lullo> Perchè tu ovviamente hai letto ogni singola riga> delle milioni costituenti il kernel linux, e sei> sicuro al di sopra di ogni sospetto che non> contenga backdoor o falle dissimulate per> permettere accessi> remoti.> > Open source non è una condizione sufficiente alla> sicurezza.Ma necessaria si! :DRe: attenti a quale kernel linux usate!
- Scritto da: tucumcari> Ma necessaria si!> :DDiscutevo dello stesso concetto :DRe: attenti a quale kernel linux usate!
- Scritto da: lullo> Perchè tu ovviamente hai letto ogni singola riga> delle milioni costituenti il kernel linux, e sei> sicuro al di sopra di ogni sospetto che non> contenga backdoor o falle dissimulate per> permettere accessi> remoti.> > Open source non è una condizione sufficiente alla> sicurezza.che stile, che autogol! :ORe: attenti a quale kernel linux usate!
- Scritto da: lullo> Open source non è una condizione sufficiente alla> sicurezza.è questione di probabilitàcol closed source gli rendi il lavoro più facile e quindi più economicoRe: attenti a quale kernel linux usate!
- Scritto da: lullo> Perchè tu ovviamente hai letto ogni singola riga> delle milioni costituenti il kernel linux, e sei> sicuro al di sopra di ogni sospetto che non> contenga backdoor o falle dissimulate per> permettere accessi> remoti.No, ma sono sicuro al di sopra di ogni sospetto che tu non sei in grado di farlo e quindi la tua opinione non ha alcuna importanza. > Open source non è una condizione sufficiente alla> sicurezza.Ma e' condizione necessaria.E questo basta.Re: attenti a quale kernel linux usate!
il vero problema è che una backdoor si può nascondere all'interno dell'hardware, magari implementata in un fpga messo lì all'uopobisognerebbe analizzare l'intera filiera ( non dimenticando che i dati che mandiamo su internet, una volta usciti da casa nostra, possono finire nelle mani di chiunque )in pratica puoi avere il tuo computer perfettamente "protetto", ma poi comunque la NSA può spiare le tue operazioni bancariealdilà delle facili patch, lo scenario che si è delineato, è talmente deprimente da far cadere le braccia pure al geek più spregiudicatook, metto linux senza blob binari, e poi? chi mi assicura che non infilino un codice malevolo nella rom della mia scheda di rete? e nell'hard disk? e nel bios?magari escono dalla fabbrica già così o magari li iniettano via internetRe: attenti a quale kernel linux usate!
- Scritto da: collione> il vero problema è che una backdoor si può> nascondere all'interno dell'hardware, magari> implementata in un fpga messo lì> all'uopo> > bisognerebbe analizzare l'intera filiera ( non> dimenticando che i dati che mandiamo su internet,> una volta usciti da casa nostra, possono finire> nelle mani di chiunque> )> > in pratica puoi avere il tuo computer> perfettamente "protetto", ma poi comunque la NSA> può spiare le tue operazioni> bancarie> > aldilà delle facili patch, lo scenario che si è> delineato, è talmente deprimente da far cadere le> braccia pure al geek più> spregiudicato> > ok, metto linux senza blob binari, e poi? chi mi> assicura che non infilino un codice malevolo> nella rom della mia scheda di rete? e nell'hard> disk? e nel> bios?> > magari escono dalla fabbrica già così o magari li> iniettano via> internet"NSA non ha fabbriche in cina"... ;) e l'hardware se non ci sono funzioni software che lo chiamano e gli danno istruzioni non fa nulla di sua iniziativa. Il Firmware (cosa che non è l'hardware) invece potrebbe essere malevolo (in teoria) ma purtroppo anche lui ha bisogno di essere "chiamato" insomma senza nascondere qualcosa a livello superiore sono amari!E se proprio uno vuole basta lasciare acXXXXX il pc per qualche giornata e catturare da sul router o comunque stando in messo tra computer e connessione al medesimo verso la rete (tcpdump lo fa "unattended" se vuoi) i pacchetti e guardarci con comodo dopo ... il deep packet inspection non è che lo sanno fare solo alla NSA eh! ;)Re: attenti a quale kernel linux usate!
- Scritto da: tucumcari> "NSA non ha fabbriche in cina"... ;) einfatti ne ha negli USA> l'hardware se non ci sono funzioni software che> lo chiamano e gli danno istruzioni non fa nulla> di sua iniziativa.> si e no, nel senso che un fpga è completamente autonomoma pure un asic, può contenere una piccola rom col programma da eseguire ( e senza accessi esterni che permettano a noialtri di metterci le mani sopra )> Il Firmware (cosa che non è l'hardware) invece> potrebbe essere malevolo (in teoria) ma purtroppo> anche lui ha bisogno di essere "chiamato" insomma> senza nascondere qualcosa a livello superiore> sono> amari!anche qui si e no, nel senso che un segnale esterno può fungere da trigger per l'avvio di un sottoprogramma presente nel firmware ( es: ascolto di un certo tipo di pacchetti sull'interfaccia ethernet, cosa che fa il wake on lan, per esempio )> E se proprio uno vuole basta lasciare acXXXXX il> pc per qualche giornata e catturare da sul router> o comunque stando in messo tra computer e> connessione al medesimo verso la rete (tcpdump lo> fa "unattended" se vuoi) i pacchetti e> guardarci con comodo dopo ... il deep packet> inspection non è che lo sanno fare solo alla NSA> eh!> ;)si può fare ovviamente, ma ci sono dei problemi1. potrebbero usare la steganografia ( e loro sanno usarla sicuramente meglio di noi )2. potrebbero ( grazie al TPM ) far girare solo pacchetti criptati ( e solo loro e i loro amici hanno le chiave per decriptarli )3. possono infettare all'uopo determinati hardware ( per cui diventa pressochè impossibile dire "questa famiglia di router esce con backdoor dalla fabbrica" )4. possono ( cosa che imho è la più realistica ed economica ) dragare i dati dalla rete e ( grazie al fatto che hanno compromesso i vari protocolli per la crittografia in rete ) leggerli a sbafo, infettando poi con un malware standard chi dicono loroRe: attenti a quale kernel linux usate!
- Scritto da: collione> ok, metto linux senza blob binari, e poi? chi mi> assicura che non infilino un codice malevolo> nella rom della mia scheda di rete? e nell'hard> disk? e nel> bios?Infatti mi ricordo che avevano creato un malware che si installava nella scheda di rete un pò di tempo fa,se non ricordo aveva capacità da sniffer sul traffico di rete.....purtroppo la sicurezza al 100% non si avrà mai.Re: attenti a quale kernel linux usate!
Rakshasa ed è un malware di basso livello ( bios ) che si replica pure nel firmware della scheda di rete e ( volendo ) in altri firmwareciò lo rende ineliminabile, anche riflashando il bios del computerRe: attenti a quale kernel linux usate!
Finalmente qualcuno che dice cose coerenti, non gente come panda rossa che parla di open source e di guerra al closed e poi utilizza Quantal QuetzalRe: attenti a quale kernel linux usate!
- Scritto da: Alleluia> Finalmente qualcuno che dice cose coerenti, non> gente come panda rossa che parla di open source e> di guerra al closed e poi utilizza Quantal> QuetzalPuoi usare pure "lupo ulilì e lupo ululà" come distro tutto sta a vedere che kernel ci metti e nessuno ti obbliga a mettercene uno con blob binari.SHA-512
Trollate a parte, mi interessava avere un giudizio sull'utilizzo dell'hash SHA-512. Ho letto che all'epoca è stato sviluppato dalla NSA.Puo' essere selezionato tutt'ora come hash ad esempio in Truecrypt, quindi mi interessava sapere se è sicuro da selezionare come scelta.Re: SHA-512
Schneier ha chiarito questo punto in vari articoligli algoritmi sono matematicamente verificati, quindi sicurisono le implementazioni ad essere state sabotatetruecrypt non è stato creato dalla NSA ( ma dai servizi bulgari ) e usa algoritmi non sabotati ( sotto linux usa le crypto api del sistema operativo )Re: SHA-512
Questa dei servizi bulgari non la sapevo :| Ok grazie per le info, i miei dubbi comunque non riguardavano Truecrypt in quanto tale, ma solo l'utilizzo di questo specifico hash. Fino ad ora mi sembrava quello di maggior affidabilità, ma dopo aver saputo che e' stato creato dalla NSA mi sono sorti dubbi...Re: SHA-512
whirlpool è un pochino più complesso e imho più robustoè bene usare algoritmi in cascate ( specialmente aes+serpent )sorveglianza globale = strumento neutro.
Ragazzi,avete pensato che la NSA,avendo il controllo sugli algoritmi di cifratura,nel caso in cui ci sia una grave crisi economica in cui le persone si fiondano alle banche per ritirare i soldi,potrebbero congelare i conti correnti fino a che l'ondata di paura non passi ? Ora tutti gridano allo scandalo,ma la sorveglianza globale alla fine e' uno strumento neutro. Sono le persone che fanno la differenza,in base a come la vogliono usare. Zio Mario,studente in psicologia.Re: sorveglianza globale = strumento neutro.
Il compito dell'NSA non è quello di salvare l'economia americana e di aspettare che la psicosi passi.... ci dev'essere senz'altro un team che si occupa anche di queste evenienze, in America c'è di tutto, ma non è di sicuro l'NSA...Ogni correntista ha diritto a ritirare i soldi che ha depositato entro un tempo massimo. E anche se ormai pensiamo ai soldi come a una serie di codici binari che viaggiano su reti, le procedure manuali, in caso di paralisi dei loro sistemi centrali, si possono ancora usare. Quello che prospetti tu è una dittatura arrivata dall'oggi al domani, che si arroga il diritto di proprietà dei propri cittadini per la salvezza dello Stato-nazione... ma non ci sono avvisaglie.Re: sorveglianza globale = strumento neutro.
- Scritto da: tucumcari> Il compito dell'NSA non è quello di salvare> l'economia americana e di aspettare che la> psicosi passi.... ci dev'essere senz'altro un> team che si occupa anche di queste evenienze, in> America c'è di tutto, ma non è di sicuro> l'NSA...> Ogni correntista ha diritto a ritirare i soldi> che ha depositato entro un tempo massimo.> > E anche se ormai pensiamo ai soldi come a una> serie di codici binari che viaggiano su reti, le> procedure manuali, in caso di paralisi dei loro> sistemi centrali, si possono ancora usare.> > Quello che prospetti tu è una dittatura arrivata> dall'oggi al domani, che si arroga il diritto di> proprietà dei propri cittadini per la salvezza> dello Stato-nazione... ma non ci sono> avvisaglie.Il compito dei cloni invece quale è quello di farsi sgamare puntualmente? ;)o quello di fare i pagliacci come stai facendo ormai da mesi?Re: sorveglianza globale = strumento neutro.
:-D :-DIl clone soffre profondamente per non avere una vita sua... si deve attaccare a quella di un altro, come un fungo si attacca a un'alga in un lichene. Li lascio divertire... che male mi fanno? ;-)(rotfl) (rotfl)Re: sorveglianza globale = strumento neutro.
- Scritto da: mario mario> Ragazzi,avete pensato che la NSA,avendo il> controllo sugli algoritmi di cifratura,nel caso> in cui ci sia una grave crisi economica in cui le> persone si fiondano alle banche per ritirare i> soldi,potrebbero congelare i conti correnti fino> a che l'ondata di paura non passi ? Ora tutti> gridano allo scandalo,ma la sorveglianza globale> alla fine e' uno strumento neutro. Sono le> persone che fanno la differenza,in base a come la> vogliono usare. Zio Mario,studente in psicologia.Se fosse neutro sarebbe dell'onu, invece e' di un singolo paese che peraltro ha gia' dimostrato di utilizzarlo per spiionaggio industriale, quindi nel caso da te ipotizzato farebbero in modo di salvare gli usa ma fare di tutto per affossare gli altri stati.Re: sorveglianza globale = strumento neutro.
> Se fosse neutro sarebbe dell'onu, Ma nemmeno. Se fosse neutro sarebbe dei cittadinini, cittadini di tutto il mondo. L'Onu, spesso si dimentica, non comprende tutti gli Stati. E in particolare non comprende quei territori che non hanno ancora ottenuto l'indipendenza, come il Sahara Occidentale, il Kosovo e la Palestina, e per ragioni storiche nemmeno Taiwan.Re: sorveglianza globale = strumento neutro.
- Scritto da: Guidone> > Se fosse neutro sarebbe dell'onu, > > Ma nemmeno. Se fosse neutro sarebbe dei> cittadinini, cittadini di tutto il mondo.> > L'Onu, spesso si dimentica, non comprende tutti> gli Stati. E in particolare non comprende quei> territori che non hanno ancora ottenuto> l'indipendenza, come il Sahara Occidentale, il> Kosovo e la Palestina, e per ragioni storiche> nemmeno Taiwan.Vero... avrei dovuto scrivere "minimo minimo dell'ONU". Comunq quello che conta e' che e' pieno di polli che vegono gli usa come i buoni mentre gli usa sfilano loro il portafoglio.beh che succede?
clonucciooo!clonuccioo legulucciiooooo!Niente... :|Lo ha acchiappato l'infermiere mentre postava di nascosto col pc del medico di guardia...:'(Re: beh che succede?
- Scritto da: tucumcari> clonucciooo!> clonuccioo legulucciiooooo!> Niente...> :|> Lo ha acchiappato l'infermiere mentre postava di> nascosto col pc del medico di> guardia...> :'(speriamo gli faccia 8000cc di torazina.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti12 09 2013
Link copiato negli appuntiTi potrebbe interessare
![Mauro Vecchio]()
12 09 2013Link copiato negli appunti
