Una backdoor dell’NSA?!?

Non è detto. Almeno non è provato. Ciononostante gli esperti mondiali di sicurezza sono piuttosto preoccupati.
Un minimo di cronistoria è forse necessario.
Il National Institute of Standards and Technology (NIST) ha recentemente rilasciato la pubblicazione 800-90 in cui viene documentato uno standard, denominato Dual_EC_DRBG, per la generazione di numeri casuali (le 4 lettere finali del nome sono l’acronimo per Deterministric Random Bit Generator).
Alla conferenza CRYPTO2007 Niels Ferguson e Dan Shumow hanno presentato un loro lavoro (descritto più sinteticamente in questo blog), nel quale sollevano diversi dubbi sulla scelta di tale standard. Gli elementi che non tornano sono fondamentalmente legati all’interessato supporto/sponsorizzazione da parte della NSA, per un sistema che è per lo meno più lento di altri.
Il sistema si basa su una predefinita sequenza di numeri di cui non è stata comunicata l’origine che consente l’elaborazione delle chiavi di cifratura. Il sospetto, avanzato dai due ricercatori, è che possa esistere una seconda sequenza di numeri matematicamente legata alla prima, e che consentirebbe appunto di decodificare praticamente qualunque messaggio.
Per essere precisi cio’ che Shumow e Ferguson hanno dimostrato è che questa sequenza di numeri è in relazione con un secondo vettore. Loro non conoscono questa seconda sequenza, ma dato che non si sa come siano stati generati i numeri principali, chi li ha generati potrebbe benissimo conoscerla, e con tale conoscenza potrebbe predire la sequenza pseudo casuale dopo aver analizzato appena 32 caratteri di una sequenza crittografata, semplicemente sniffando su Internet.
Indipendentemente dalla “volontà” di inserire questa possibile backdoor, ne risulta che comunque l’algoritmo è molto fragile, potendo essere copromesso (l’algoritmo in se, e di conseguenza tutte le sue implementazioni!) dalla soluzione di un singolo problema matematico. C’è una sinteticissima presentazione qui, mentre l’articolo originale è apparso su Wired.

Tags: , ,

Windows Update: manca la fiducia!

C’è un’interessante analisi condotta da ZDNet sui problemi che il meccanismo di update automatico di Microsoft sembra incontrare, almeno in termini di apprezzamento da parte degli utenti.
Il problema principale sembra essere sostanzialmente la mancanza di fiducia, dovuta al fatto che le politiche con cui la casa di Redmond rilascia gli aggiornamenti non danno troppa sicurezza. Affinchè un utente possa accettare che il proprio sistema è collegato ad un canale attraverso il quale vengono veicolate le patch, richiede completa fiducia sul fatto che il fornitore non rischi di mettere a repentaglio la stabilità del sistema aggiornato. E comunque non scherzare con gli aggiornamenti. Se infatti da un lato ogni singolo aggiornamento può mettere in difficoltà il sistema, non è assolutamente accettabile che il fornitore nasconda la natura di certi aggiornamenti, come è successo in passato.
Per quanto mi riguarda le uniche macchine su cui faccio impostare gli aggiornamenti automatici sono quelle di frontiera, e mai gli application server. E questo vale sia per gli update di Windows che per le subscription di RedHat. E voi, come vi comportate?

[tags]widowsupdate, security[/tags]

OpenID e Orange

Conoscete [tag]OpenID[/tag]? No? Beh, dovreste.
Per farla breve OpenID è un sistema di gestione federata dell’identità particolarmente interessante in ottica di condivisione di risorse web. In sostanza serve ad abilitare una sorta di Web SSO fra diversi siti web, basandosi sulla disponibilità del vostro Identity Server, ovvero un’entità (verso cui va riconosciuta una relazione di trust, di fiducia) responsabile della vostra autenticazione.
Considerato che il più grosso progetto di FIDM che seguo va avanti da oltre 1 anno, non credevo di riuscire a sintetizzare il tutto in maniera comprensibile in meno di 100 parole! 😉
E’ notizia recente che l’operatore telefonico Orange abbia deciso di agire da Identity Server per tutti i suoi 40 Milioni di utenti. Si tratta di una grossa novità, e Orange è così il primo operatore di telecomunicazioni ad abbracciare OpenID, e in generale si piazza al secondo posto in termini di utenti, superato solo da AOL che qualche tempo fa ha annunciato di riservare lo stesso trattamento ai suoi 63 Milioni di utenti.
A me la notizia su AOL era completamente sfuggita, e ora so perchè: mentre Orange pubblicizza la cosa in pompa magna e pubblica sul proprio sito l’elenco dei servizi (ma in questo momento non funziona con Firefox) a cui i propri clienti possono ora accedere senza bisogno di generare un account, AOL ha fatto passare la notizia quasi come un insignificante upgrade.

Warning: Skype worm in azione!

A quanto pare nei giorni scorsi si è iniziato a diffondere un virus che ha come target il diffusissimo strumento di comunicazione VOIP.
Ho appreso la notizia qui, su Slashdot, e la riporto perchè mi sembra importante. L’articolo originale è su computerworld.
Il PC vittima (solo Windows, al momento) comincia a “spammare” i contatti di [tag]Skype[/tag] mandando un allegato o un link che sembra puntare ad una jpeg ed invece è un file .scr, vettore del virus stesso.
Fortunatamente sul forum di Skype ci sono anche le istruzioni per rimuoverlo.
Per completezza devo dire che l’articolo di computerworld è alquanto approssimativo in alcuni dettagli (e vabbè…fatemelo dire, in alcuni punti fa proprio pena!), mentre qui, sul sito di f-secure, trovate una precisissima, ehm….vivisezione del verme!

Concentrato su Aruba l’attacco ai siti italiani

Pare che siano per lo più ospitati su Aruba, l’ottimo provider Toscano che ospita anche questo sito, le migliaia di siti web che sono stati, negli ultimi sette giorni, oggetto di un attacco con un elaborato kit di pagine PHP, che sfrutta diverse falle di sistemi non adeguatamente aggiornati.

Molti i post e le notizie sull’evento: quello di PianetaPC contiene utili suggerimenti, mentre sulla community di Aruba c’è qualche polemica. Oggi invece ne parla Repubblica.it, mentre per i più curiosi qui c’è un interessante commento di Symantec su un tool che verrebbe utilizzato per supportare l’attacco.