Published .
Edward Felten continua a riferire informazioni preziose sullo scandalo delle macchine per il voto elettronico negli Stati Uniti.
Dopo il problema delle falle trovate nel codice sorgente e quello del tabulatore centrale dei voti che permetteva di creare un nuovo insieme di risultati elettorali con pochi comandi, l’ultima riguarda l’architettura insicura del protocollo di autorizzazione al voto.
Quando un elettore entra nel seggio, firma i registri e gli viene data una smartcard abilitata. Poi entra nella cabina, inserisce la smartcard e vota. A questo punto la smartcard viene disabilitata e l’elettore la restituisce.
Il problema sta nella comunicazione tra smartcard e macchina elettorale:
- macchina -> smartcard: “la mia password è xxxxxxxx” [8 byte]
- smartcard -> macchina: “Okay”
- macchina -> smartcard: “Sei una smartcard valida ?”
- smartcard -> macchina: “Certo!”
- macchina -> smartcard: “Per favore, disattivati”
- smartcard -> macchina: “Va bene”
Per chi non si è ancora messo le mani nei capelli, immaginiamoci l’equivalente “analogico”:
- scrutatore -> elettore: “sono lo scrutatore #xxxxxx”
- elettore -> scrutatore: “Okay”
- scrutatore -> elettore: “Hai il diritto di voto?”
- elettore -> scrutatore: “Certo!”
- scrutatore -> elettore: “Per favore, non votare più”
- elettore -> scrutatore: “Va bene”
Il problema del protocollo è che è molto facile crearsi una smartcard che dice tutto quello che gli si vuol far dire, con un kit da poche decine di dollari. Il terminale non chiede alla smartcard di provare la sua validità (mostrare la carta di identità, nell’equivalente analogico), le chiede solo se è valida. Un elettore (o uno scrutatore) con una smartcard programmata per non disabilitarsi su richiesta del terminale può votare più di una volta.
Errori come questo dimostrano l’importanza di avere sempre una prova cartacea dei voti (legittimi!) che sono stati inseriti nel terminale, e soprattutto, di avere sistemi elettorali il cui codice sorgente sia ispezionabile: macchine con il sistema visto sopra sono state già utilizzate, e se il codice sorgente non fosse stato svelato “per errore”, nessuno avrebbe pubblicizzato queste falle.
Published .
Published .
Finalmente è uscita la versione 1.2.1 di WordPress che rimedia ai recenti problemi di sicurezza. Update: aggiornamento completo. Sembra tutto a posto.
Published .
Keyforum: un programma peer-to-peer per gestire gruppi di discussione anonimi e criptati senza la necessità di un server. Come Freenet, ma per i forum [da Alessandro Capra].
Published .
Finalmente Bruce Schneier ha un blog.
Schneier è uno dei maggiori esperti di sicurezza informatica (e tout-court) e di criptologia. Ha scritto diversi libri che dovrebbero essere obbligatori per tutti coloro che si occupano di sicurezza: Secrets & Lies, Beyond Fear e Practical Cryptography (o Applied Cryptograhy per chi vuole proprio approfondire). Da sette anni pubblica una interessantissima newsletter.
Ad esempio, questo post parla dei reali motivi per cui gli Stati Uniti stanno spingendo affinchè tutti i passaporti (nazionali e stranieri) di coloro che entrano negli Stati Uniti siano dotati di un chip che memorizzi i dati del titolare. Non solo questo: vogliono un chip RFID leggibile via radio. Tutti gli usi “accettabili” dei passaporti richiedono che il passaporto venga maneggiato dagli addetti alla sicurezza, quindi sarebbe suffciente che il passaporto abbia un chip che venga letto per contatto (come certe carte di credito).
L’unico “vantaggio” che avrebbe un passaporto con chip RFID sarebbe quello di poter essere letto a distanza, senza farsi notare, e in maniera completamente automatica (cosa che permette lo screening di massa). La cosa diventa più allarmante se si considera che in alcuni test la lettura dei chip RFID è riuscita da distanze fino a 20 metri. E più allarmante ancora se si considera cosa può succedere quando (e non se) la sicurezza di questi chip verrà compromessa: chi porterà in giro un passaporto trasmetterà continuamente i propri dati personali a chi volesse leggerli.
Published .
IBM vende sempre più computer che contengono elementi di “trusted computing” (computing fidato). Buona o cattiva notizia ?
Nel gergo degli esperti di sicurezza, trusted vuol dire un componente o sistema la cui malfunzione può compromettere la policy di sicurezza. Un componente o sistema trustworthy è invece un sistema che non compromette la policy di sicurezza.
Il giorno in cui diventasse obbligatorio per tutti avere computer fidati, sarà bene tenere in mente chi è che stabilisce la policy di sicurezza, e chi è il beneficiario della eventuale “fiducia”: saranno Intel e Microsoft con l’input di Hollywood e delle case discografiche. Il computer sarà fidato per loro, non per chi lo comprerà e lo userà.
Due letture illuminanti e raggelanti al riguardo: la Trusted Computing FAQ, seguita a ruota dal Digital Imprimatur.
Published .
Cercare di avere un ambiente informatico sicuro è una fatica di Sisifo: Firefox security update, aggiornare alla versione 0.10.1.
I fortunati che hanno la 0.10, basta che installino una piccola patch. Che Firefox cercherà di bloccare: arriva da update.mozilla.org anzichè da www.mozilla.org. Forse è meglio che il progetto Mozilla decida in anticipo quali sono i siti fidati per il browser …
[hat-tip Antonio]
Published .
Periodico reminder che anche il software Open Source soffre di problemi di sicurezza: è stata trovata una importante falla in Wordpress 1.2.
Grazie alla falla, è possibile iniettare contenuti in un weblog wordpress anche senza avere privilegi di amministrazione.
Si attende al più presto la versione 1.2.1. Sul forum di supporto di WordPress si lamenta l’eccessiva fretta dello scopritore della falla, che ha comunicato la scoperta agli sviluppatori poco tempo prima di renderla pubblica.
Nell’attesa di una patch, tutti coloro che hanno un weblog wordpress vigilino sui log del server per controllare che non ci siano strani tentativi di accesso alle pagine di amministrazione.
[via Paolo Valdemarin]
Published .
Le notizie sulla vulnerabilità nell’elaborazione delle immagini JPG resa pubblica 15 giorni da Microsoft continuano a peggiorare.
La prima cattiva notizia è che non è sufficiente aggiornare il PC da WIndows Update per essere al sicuro. Il programma di scansione di Microsoft non individua tutte le versioni della libreria GDI+ installate da applicazioni di terze parti.
E’ molto poco rassicurante far girare GDI Scan, il programma di scansione realizzato da Tom Liston e trovarsi un lungo elenco di librerie vulnerabili scritte in rosso (soprattutto in programmi di elaborazione grafica).
E il fatto che rimangano librerie vulnerabili non è di interesse solo accademico: dopo il primo exploit, è stato trovato il primo virus JPG (su Usenet, da Easynews).
Quando l’immagine viene visualizzata, il virus si connette ad un sito ftp e installa software di gestione remota del PC, come WinVNC e radmin. Poi si connette a IRC.
Published .
Microsoft ha confermato che d’ora in poi le patch per Internet Explorer saranno disponibili solo per chi ha Windows XP SP2. Gli altri 200 milioni di clienti Microsoft saranno un pò meno affezionati, dovendo fare una scelta tra browser insicuro e pagare per l’aggiornamento del sistema operativo.
La scelta di Microsoft sembra quella di monetizzare l’insicurezza del proprio browser per spingere gli aggiornamenti a XP. Questa scelta potrebbe rivelarsi controproducente: gli utenti potrebbero semplicemente scegliere un browser migliore:
[via Slashdot]
Published .
Published .
Alcuni giorni fa è comparso su Engadget un video su come sia possibile aprire un lucchetto Kryptonite con una penna Bic.
L’informazione su come aprire questo tipo di lucchetti pare giri da anni tra gli “addetti ai lavori”, ma i salti decisivi verso la diffusione universale sono stati:
A questo punto il post di Engadget è già diventato il quarto risultato per “kryptonite locks” su Google.
Tra l’altro, Kryptonite promette (almeno negli Stati Uniti) di risarcire le persone che si sono registrate e le cui biciclette siano state rubate, fino ad un totale di 3.500$.
Se è vero che l’informazione su come aprire questi lucchetti era disponibile da anni, questo è un disastro dal punto di vista delle public relations per Kryptonite, e la prima risposta data è piuttosto insoddisfacente.
Secondo Edward Felten questo evento sarà molto importante nel dibattito sull’opportunità di svelare le falle nella sicurezza o meno.
P.S. Pare che tutti i lucchetti del tipo a “barrell lock” siano vulnerabili, non solo quelli di Krpytonite.
Update: La seconda risposta di Kryptonite è molto più soddisfacente della prima: chiunque abbia comperato uno dei modelli vulnerabili (Evolution, KryptoLok, New York Chain, New York Noose, Evolution Disc Lock, KryptoDisco o DFS Disc Lock) negli ultimi due anni e abbia una prova d’acquisto ha diritto alla sostituzione gratuita. Per chi abbia comprato uno di questi modelli prima di due anni fa è previsto uno sconto sostanziale su acquisti sostitutivi.
Published .
Le prossime memory cards professionali di Lexar offriranno la possibilità di criptare le immagini e i dati memorizzati. La prima fotocamera a supportare le nuove funzioni di Lexar sarà la nuova Nikon D2X [via Design Technica].
Published .
Published .
Il più recente bollettino di sicurezza di Microsoft è piuttosto allarmante: un buffer overrun che colpisce la libreria GDI+ per la gestione della grafica.
La vulnerabilità è particolarmente grave: consente di nascondere codice eseguibile all’interno di immagini jpeg ed è in una libreria usata da moltissime applicazioni Microsoft.
Se qualcuno riuscisse a sfruttare la vulnerabilità, potrebbe compromettere qualsiasi computer che ne soffre al quale riuscisse a far visualizzare una immagine jpeg.
La lista dei programmi vulnerabili è lunghissima, da Windows Server 2003 a XP e XP SP1 (non SP2), Office 2003 (non SP1),Office XP e via andare. I link per scaricare gli aggiornamenti si trovano nel bollettino.
Ovviamente anche Internet Explorer e Outlook sono vulnerabili. Una ragione in più per passare a un browser migliore e ad un programma di posta più sicuro ?
Microsoft offre anche una feed RSS degli avvisi di sicurezza che però genera errori nel mio aggregatore proprio sulla item più recente.
[Via Ars Technica]
Published .
Grouper è un altra applicazione peer-to-peer per piccoli gruppi privati con funzioni di protezione della confidenzialità degli scambi. Altre applicazioni di questo tipo sono Groove, Waste, Bad Blue. Grouper è solo per Windows, gratuito (non libero) e a detta degli autori senza spyware o adware [via Many-to-Many]
Published .
Secondo il principio, “noi possiamo vedere, chi si crede di essere il cittadino per vedere anche lui?”, un disegno di legge negli Stati Uniti prevede che il governo possa impedire l’accesso al pubblico delle foto acquistate
da operatori commerciali di satelliti, assieme a qualsiasi prodotto derivato, anche se le foto non presentano esigenze di sicurezza e non sono classificate.
Non sia mia che un urbanista possa studiare una foto satellitare di una città, un geologo la conformazione di un fiume, un meteorologo studiare i fenomeni atmosferici o un giornalista qualsiasi vedere che la fabbrica di armi nucleari che un certo paese starebbe ricostruendo in realtà rimane nello stesso stato di sempre …
Sotto l’egida della lotta al terrorismo sembra nascondersi l’eterna lotta alla trasparenza da parte dei governi. Se non c’era bisogno di nascondere queste foto quando il nemico (URSS) era dotato di missili nucleari e bombardieri a lunga gittata, perchè sarebbe necessario nasconderle ora ?
La legge appare anche inutile oltre che dannosa, visto che operatori commerciali di altri paesi (Russia, Israele, EU) saranno ben felici di approfittare delle nuove opportunità offerte da una legge di questo tipo. Un pò come succedeva fino a qualche anno fa, quando le aziende software Americane non potevano esportare software per criptare seriamente i dati.
Published .
Chi usa PC sul lavoro ora ha un motivo in più per sperare che Longhorn, la prossima versione di Windows, ritardi il più possibile.
Microsoft ha intenzione di offrire una funzione che permette agli amministratori di sistema di impedire la connessione di gadget USB tipo iPod, fotocamere, pen-drive.
Come mai ? Perchè recentemente alcuni consulenti hanno richiamato l’attenzione sul fatto che le periferiche di questo tipo possono essere usati per rubare dati confidenziali.
Questa è una risposta semplice a un problema molto difficile. E come tutte le risposte di questo tipo creerà più problemi di quanti ne risolva, visto che il ladro di dati determinato ha sempre a disposizione canali alternativi (e-mail, il file upload, le stampe, le fotografie dello schermo, appunti su fogli di carta e la propria testa), mentre l’utente normale si trova con un PC meno funzionale.
D’altronde, come insegna Bruce Schneier, rendere più sicuro un computer (o un azienda) costa e richiede molto cervello, mentre avere l’illusione di un PC più sicuro costa molto poco …
Published .
Il numero di password che bisogna ricordarsi continua a crescere: webmail, home banking, hosting web, amministrazione dei weblog, gallerie fotografiche, intranet ecc. ecc.
La maggior parte delle soluzioni che si usano per affrontare il problema sono disastrosamente insicure: post-it sul PC (magari in un ufficio open space …), stessa password per tutti gli accessi (basta che venga compromessa la sicurezza di un solo sito …), password semplici da ricordare (e quindi da indovinare).
Nic Wolff ha avuto un idea interessante per risolvere il problema (via Jon’s Radio): un generatore di password che prende il nome del sito e una pass-phrase (una frase facile da ricordare ma difficile da indovinare) e ne fa un hash per creare una password specifica per il sito. In questo modo è sufficiente ricordarsi solo la pass-prase, e anche se la sicurezza di uno dei siti cui abbiamo accesso viene compromessa, le password per gli altri siti rimangono sicure.
Il generatore di password è in Javascript, quindi tutta l’elaborazione viene effettuata dal browser in locale. C’è anche una versione bookmarklet che può essere trascinata sulla barra degli strumenti del browser. Il bookmarklet prende automaticamente il nome del sito e riempie automaticamente il campo password, quindi è sufficiente fornire la pass-prase.