Category Archives: Security

Un motivo nuovo per diffidare dell’RFID

Un motivo tutto nuovo per diffidare di RFID: la possibilità che le micro-etichette a radio-frequenza possano essere usate per propagare virus per computer.

Possibilità ipotizzata non da un paranoico con tanto di tin-foil hat ma esposta in un paper da rispettati scienzati dell’informazione, tra cui Andy Tanenbaum.

Si aprono interessanti scenari di etichette RFID “cattive” da usare, ad esempio, per infettare o mandare in buffer-overflow il lettore RFID e passare così indenni alle {casse del supermercato, controllo passaporti, ecc}.

[Via Freedom to Tinker]

EFF – no a Google Desktop

La Electronic Frontier Foundation sconsiglia l’uso di Google Desktop per i rischi che comporta per la privacy degli utenti:

Se un utente la abilita, la funzione “Search Across Computers” archivierà sui server di Google copie di documenti Word, PDF, fogli di calcolo e altri documenti di testo, per permettere all’utente di effettuare ricerche su questi documenti da qualsiasi PC. EFF consiglia caldamente ai consumatori di evitare questa funzione, perchè renderà i loro dati personali più vulnerabili a richieste di informazioni da parte del governo e potenzialmente da privati cittadini nel corso di cause legali.

Quando verrà offerto il tasto “purge all my data” ?

Sony rootkit – crollano le vendite

Oh! Che strano. Gli artisti che hanno avuto la fortuna di vedere i loro CD “protetti” dal rootkit Sony, ora hanno la fortuna di vedere le loro vendite crollare. Chissà, magari gli artisti si uniranno ai consumatori, nell’avviare cause legali per ottenere un risarcimento dei danni (mancate vendite e perdita di reputazione) …

La lezione per Sony e per le altre case discografiche ? Magari non trattare i propri clienti come ladri, e non installare sui loro PC un pezzo di software che permette a chiunque di intrufolarsi in quel PC [Via Techdirt].

Sony: la “cause célèbre” contro il DRM ?

Eff e Stato del Texas denunciano Sony per il Rootkit. Rischio di risarcimenti milionari in caso di sconfitta. Una “cause célèbre” che potrebbe insegnare a tutti (produttori e consumatori) ad essere più diffidenti nei confronti dei consumatori ?

E chi si sarebbe mai aspettato di sentire una chicca del genere da Microsoft:

“Un personal computer si chiama personal computer perchè è vostro. E’ giusto che abbiate il controllo su tutto il software che ci gira sopra”.

Da incidere nella pietra. Sulle tavole delle “Libertà Digitali”.

Sony rootkit: si fa fatica a crederci

Un epidemia di rootkit Sony diffusa ad almeno 1/2 milione di PC, denunce, poi la scoperta di codice LGPL proveniente da Lame ed infine la scoperta di codice GPL proveniente da VLC, scritto da Jon Johansen. E non codice qualsiasi. No! Il codice che serve per violare le protezioni DRM di Apple! Codice proscritto in mezzo mondo da leggi come EUCD e DMCA. Vedere applicate ai responsabili della diffusione del rootkit le leggi che vogliono pene detentive e pecuniarie per chi “traffica in codice che aggira le protezioni” sarebbe “poetic justice”. Preferirei però vedere queste leggi finire nel cestino della storia, che è il posto che meritano.

Update: e non basta, ora ci vuole anche un immunizzatore per proteggersi dall’uninstaller del rootkit … da far girare la testa.

Microsoft Windows Defender e il Sony rootkit

E’ appurato che il rootkit installato da alcuni CD Sony è una minaccia per la sicurezza dei PC che ne sono afflitti. Il problema è: Microsoft dovrebbe intervenire ?

Da una parte, la risposta è scontata: certo che dovrebbe intervenire. Il rootkit dovrebbe sicuramente essere classificato tra i candidati per la rimozione da parte dello strumento MSFT per la rimozione del malware, e Microsoft dovrebbe spingere attraverso Windows Update e i propri avvisi di sicurezza perchè questo avvenga. Dall’altra parte, la risposta non è così scontata: leggi farlocche come la EUCD minacciano gravi pene per chi fornisce strumenti per aggirare le protezioni dalla copia.

Fortunatamente, pare che Microsoft abbia deciso di fare la cosa giusta, e di aggiungere il rilevamento e l’eliminazione del rootkit Sony a Windows Defender.

Uova in faccia per Sony

Continuano le uova in faccia per Sony: via Bruce Schneier, la prima class-action negli USA, mentre attendiamo gli sviluppi della denuncia di ALCEI in Italia, e arriva il primo trojan che usa il rootkit.

Si può sperare che il rootkit Sony sarà la chiave da tanto attesa per spiegare al pubblico i problemi che sistemi DRM troppo aggressivi causano.

Citando Schneier:

Sony really overreached this time. I hope they get slapped down hard for it.

Google Maps e le basi militari

Probabilmente ci saranno teste che rotoleranno e militari molto incazzati nei prossimi giorni: Google Maps Italia mostra foto via satellite dettagliate di buona parte delle installazioni militari più sensibili in Italia: Decimomannu, Aviano, etc. Con tanto di aerei militari visibili sulle piste.

Manca la base dei sottomarini nucleari a S.to Stefano, ma sembra perchè non ci sono foto dettagliate dell’Arcipelago della Maddalena. C’è la base della Marina a Taranto. Basta cercare un po’ e si trovano.

Sono abbastanza incuriosito da quello che succederà: è una chiara violazione del codice sul segreto militare. Sia Italiano che USA. Per quanto obsoleto.

Update - Link per i curiosi: L’articolo originale di Alessandro Ronchi e gli approfondimenti di i-Dome,

[Via Motori di Ricerca].

Banche e negligenza criminale

Può capitare che UPS perda un pacco. Se in questo pacco ci sono alcuni nastri di backup contententi i dettagli su 3,9 milioni di clienti della più grande banca Americana (Citicorp), il fatto diventa gravissimo.

Il pacchetto era destinato ad una agenzia di “credit reporting”, una di quelle agenzie che danno informazioni su quanto sia rischioso fare prestiti ad una determinata persona. I nastri contenevano i dati anagrafici degli utenti e informazioni sui loro conti correnti (trasferimenti, depositi, ecc.) e sui loro prestiti.

Magari i nastri si sono persi o distrutti in transito. Oppure, possono essere finiti nelle mani di alcuni malintenzionati. Certo, se i nastri sono stati inviati via UPS come un semplice pacco, si tratta di un atto di negligenza che mette a rischio milioni di persone (furto di identità, rapine, sequestri ….). Mi chiedo se i dati sui nastri fossero almeno criptati …

Update: No, ovviamente i dati non erano criptati. Ma Citicorp ha promesso che da Luglio in poi i backup saranno criptati e spediti elettronicamente. [Via Techdirt]

The Skype Economy

Skype dà molti segni di essere, insieme all’iPod, una delle tecnologie più calde del momento.

I ritmi di crescita sono da vertigine: sono ormai quasi 2.500.000 gli utenti collegati contemporaneamente. Da ref=”http://www.skypejournal.com/blog/”>Skype Journal, un grafico della crescita del loro numero.

Oltre ai numeri, un altro modo per capire quando una nuova tecnologia comincia ad affermarsi in maniera decisiva è vedere quante aziende/sviluppatori sono disposti ad investirci sopra.

La API per sviluppare servizi collegati a Skype ha generato molto interesse (ne parla News.com). Al punto che Skype non riesce a fornire supporto a sufficienza per gli sviluppatori, soprattutto a causa dello staff ancora (giustamente) poco numeroso. Sono comunque nati siti di supporto per gli sviluppatori (tipo Summit Circle).

Dopo l’introduzione di SkypeOut, SkypeIn e Voice Mail, adesso il buzz si è trasferito su due temi:

  • SkypeCasting, ovvero modi semplici e/o automatici per creare podcast con Skype;
  • Video-telefonia con Skype. Il teaser di iChat per Mac OS X Tiger ha creato aspettative molto alte riguardo a ciò che è possibile in questo campo.

Ciò che manca, e di cui Skype sentirà fortemente la mancanza quando cercherà di entrare in contesti aziendali, sono garanzie riguardo alla sicurezza delle comunicazioni. E’ disponibile un paper in cui Simson Garfinkel cerca di analizzare la sicurezza di Skype.

L’opacità dei protocolli usati e la mancanza di informazioni sulla maniera in cui Skype cripta i dati sono gravi mancanze, che non permettono di avere particolare confidenza nella segretezza delle comunicazioni. D’altronde, chiunque segua il tema, sa perfettamente che la sicurezza/confidenzialità delle comunicazioni in Italia non è certo assoluta (basti vedere la colossale quantità di intercettazioni eseguite ogni anno). Si spera che Skype fornisca maggiori informazioni al riguardo.

Continua lo svilimento del termine hacker

Triste vedere a cosa si è ridotto il termine hacker nell’uso dei media Italiani.

Una volta il significato di “hacker” era la definizione data da Wikipedia:

una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che le vengono imposte, in primo luogo nei suoi ambienti di interesse, che solitamente comprendono l’informatica o l’ingegneria elettronica.

Progressivamente lo hacker è diventato quello che una volta si diceva “cracker”, ovvero chiunque usasse la propria perizia per compiere “malefatte tecnologiche”.

Ora è scomparso pure il requisito della perizia tecnologica. Si definiscono hacker gli ignoti che da una azienda della Regione Lazio sono entrati nei computer dell’anagrafe comunale di Roma per smascherare le firme false della lista Mussolini. Ma che razza di “hack” è ? Hanno usato una tessera contenente le password del database per accedervi al di fuori dei termini contrattuali e di legge. E’ un mezzuccio. Una violazione della privacy. Non è un hack. Non è neanche un “crack”. Avessero usato un “root-kit” … avessero mascherato le proprie tracce usando un Internet cafè o un proxy … Ma no, ormai, un hacker è diventato un ladro di dati di mezza tacca.

La criptografia debole di RFID

Si è rivelato piuttosto debole l’algoritmo criptografico dei chip RFID (identificazione in radiofrequenza) di Texas Instruments che vengono usati per gli immobilizer delle auto e per le tessere acquisto carburanti.

Un team di ricercatori dell’Università Johns Hopkins e di RSA Security ha sconfitto il sistema utilizzato nei chip RFID TI. I risultati della ricerca sono disponibili online e verranno annunciati pubblicamente sabato, ma secondo il team, tutto ciò che è necessario per rubare un auto sono alcuni secondi vicino al proprietario per estrarre i dati dalla chiave (non è necessario il contatto fisico con la chiave), meno di un ora di tempo per fare i calcoli necessari a decriptare i dati con un computer, e qualche secondo per entrare nella macchina, darle il codice e farla partire alla vecchia maniera (contatto tra i fili dell’accensione).

Ovviamente TI minimizza i risultati della ricerca pur non contestandoli.

Sta di fatto che se la vulnerabilità è comune anche ad altri chip RFID, tutta una serie di sistemi potrebbe “improvvisamente” rivelarsi insicura: immobilizer, sistemi tipo Telepass, sistemi di controllo accesso agli edifici, ecc. ecc.

Per non parlare dei balzani progetti di rendere i passaporti biometrici leggibili via radio già giustamente castigati da Bruce Schneier.

Ancora una volta, si dimostra che la cautela di coloro che vedevano nei chip RFID un potenziale strumento per violare la privacy in maniera massiccia si dimostra giustificata. Si può sperare che questa ricerca serva a migliorare la sicurezza dei sistemi RFID in futuro, e ad evitarne l’adozione laddove sono inutili o possono essere dannosi.

[Via Daily Wireless]

Windows Media, DRM e Crackers

Comincia ad essere dimostrato empiricamente quanto gli esperti di sicurezza predicano da tempo:

  1. E’ impossibile far funzionare le tecnologie DRM come impedimento assoluto alla copia non autorizzata. Su questo ci sono tutte le prove empiriche che si desiderano;
  2. La sicurezza anti-copia è incompatibile con la sicurezza e la privacy degli utenti costretti ad utilizzare le tecnologie DRM. Questo è dimostrato dall’inserimento di spyware nei file Windows Media da parte di Overpeer, emulato ora da schiere di cracker.