Leonardo Musumeci

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Ross Anderson segnala:

Le transazioni online con carte di credito o carte di debito, vengono validate sempre più dal sistema 3D Secure, contrassegnato come “Verified by Visa” e “MasterCard SecureCode”. Attualmente, è il sistema ad autenticazione unica maggiormente utilizzato, con oltre 200 milioni di titolari registrati. Sta diventando difficile effettuare acquisti online senza essere costretti ad usarlo.

In un paper che presenterò oggi alla Financial Cryptography insieme a Steven Murdoch, analizzeremo 3D Secure. Dal punto di vista ingegneristico, fa quasi tutto sbagliato e sta diventando un grosso bersaglio per il phishing. Allora perché ha avuto un tale successo di mercato?

Molto semplicemente, ci sono forti incentivi per l’adozione. I commercianti che ne fanno uso scaricano la responsabilità per frode alle banche, che a loro volta la scaricano ai titolari della carta. I sistemi ad autenticazione unica adeguatamente progettati, come OpenID e InfoCard, non possono offrire nulla di simile. Quindi questo è l’ennesimo caso in cui l’aspetto economico della sicurezza, trionfa sulla progettazione; ma in maniera talmente aggressiva da lasciare i titolari della carta meno protetti. Concludiamo con un suggerimento in merito a ciò che le autorità di regolamentazione bancaria potrebbero fare per risolvere il problema.

Fonte: Online Credit/Debit Card Security Failures

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Non so se questo sia reale. Ma sembra del tutto ragionevole che tutto quanto sia su Facebook, venga memorizzato in un enorme database e che qualcuno con permessi appropriati possa accedervi e modificarlo. Ha anche senso che gli sviluppatori ed altre persone, abbiano la necessità di assumere l’identità di chiunque.

Rumpus: Hai accennato, prima, ad una password principale, che non è più utilizzata.

Dipendente: Non so esattamente quando il suo uso sia stato disapprovato, ma avevamo una master password; tale da poter digitare l’user ID di qualsiasi utente e successivamente questa password. Non ho intenzione di dare la password esatta. Ma usando lettere maiuscole e minuscole, simboli, numeri e tutto il resto, era ‘Chuck Norris,’ più o meno. Era fantastico.

Rumpus: Era accessibile a tutti i dipendenti Facebook?

Dipendente: Tecnicamente, sì. Ma è stata più o meno limitata ai soli ingegneri originari, in fondo le uniche persone che ne fossero a conoscenza. Non poteva accadere che persone scelte a caso, delle risorse umane ad esempio, avessero potuto utilizzare la password per accedere ai profili. È stata creata e progettata per motivi tecnici. Ma era lì e tutti i dipendenti avrebbero potuto trovarla, se avessero saputo dove cercare.

Devo dire, inoltre, che era utilizzabile solo internamente. Se avessi voluto accedere da un liceo o da una libreria, non avrei potuto usarla. Si doveva essere nell’ufficio Facebook ed utilizzare l’ISP Facebook.

Rumpus: Pensi che i dipendenti Facebook abbiano mai abusato del privilegio di avere un accesso universale?

Dipendente: Per quanto ne so, è successo in passato, visto che almeno due persone sono state licenziate.

[...]

Dipendente: Vedi, il fatto è che – e non so quanto tu ne sappia – è tutto memorizzato in un database sul backend. Letteralmente tutto. I messaggi vengono memorizzati in un database, che siano stati eliminati o meno. Quindi interrogando il database, possiamo consultarlo facilmente senza mai accedere al tuo account. Questo è ciò che molte persone non capiscono.

Rumpus: Quindi la master password è sostanzialmente irrilevante.

Dipendente: Sì.

Rumpus: È solo un vezzo.

Dipendente: Esatto. Ma non è più usata. Come ho già accennato, abbiamo dato un giro di vite ultimamente; ma è stata sostituita da uno strumento veramente fantastico. Se, ad esempio, visito il tuo profilo sulla nostra rete interna trovo un tasto ‘cambia accesso’. Facendo un semplice clic, spiegando perché mi stia autenticando tramite il tuo account e poi confermando con ‘OK’, ecco, sono te. Si può fare finché si fornisce una spiegazione, visto che è sempre meglio esser in grado di motivarla. Ad esempio, se si sta indagando su un account compromesso, è necessario essere effettivamente in grado di accedere a tale account.

Rumpus: l manager ti stanno veramente col fiato sul collo, ogni volta che ti autentichi come qualcun altro?

Dipendente: No, ma se salta fuori, è meglio essere in grado di giustificarlo. O vieni licenziato.

Rumpus: Cos’hanno fatto?

Dipendente: So che uno di loro è entrato ed ha modificato i dati di altre persone, ha cambiato le loro opinioni religiose, o qualcosa di simile. Non ricordo esattamente cosa fosse, ma è stato fatto rapporto, scoperto e licenziato.

Fonte: Privacy Violations by Facebook Employees

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Il video merita di essere guardato, anche se non si parla tedesco. Lo scanner rileva il telefono cellulare del soggetto, un coltellino svizzero e il microfono che indossava; ma non rileva i componenti per costruire una bomba nascosti sul corpo. Certo, il soggetto era soltanto in posizione frontale rispetto allo scanner e non di lato. Ma non ha nascosto nulla nelle cavità corporee, a parte la bocca – non lo avrei mai pensato – non ha usato PETN a bassa densità, o tagliato a fette sottili e non ha nascosto nulla nel bagaglio a mano.

I full-body scanner: non sono solo un’idea stupida, in realtà non funzionano.

Fonte: German TV on the Failure of Full-Body Scanners

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Riprodurre chiavi da fotografie angolate e scattate a distanza :

Abstract:
Il controllo dell’accesso, fornito da una serratura fisica, si basa sul presupposto che il contenuto informativo della chiave corrispondente sia privato – la duplicazione dovrebbe richiedere o il possesso della chiave, o la conoscenza a priori di come sia stata intagliata. Tuttavia, la sempre maggiore capacità e diffusione delle tecnologie di digital imaging, rappresenta la sfida principale a questo presupposto di privacy. Tramite l’uso di modeste apparecchiature di imaging e di algoritmi di visione computerizzata standard, abbiamo dimostrato l’efficacia della teleduplicazione delle chiavi fisiche: l’estrazione completa e precisa del bitting code di una chiave, effettuato a distanza tramite decodifica ottica e successiva duplicazione tramite una precisa intagliatura. Descriviamo il nostro sistema prototipale, Sneakey, e ne valutiamo l’efficacia, sia in laboratorio che nel mondo reale, utilizzando i tipi di chiavi residenziali maggiormente diffuse negli Stati Uniti

Quelli di voi che portano le chiavi appese ad un anello in un passante della cintura, prendano nota.

Fonte: Reproducing Keys from Photographs

Già nel 2005, ho scritto in merito al fallimento dell’autenticazione a due fattori per limitare le frodi bancarie.

Ci sono due nuovi attacchi che stiamo iniziando a vedere:

• Man-in-the-middle. L’attacker crea un sito Web contraffatto della banca e attira l’utente sul sito. L’utente inserisce la password e l’attacker a sua volta la utilizza per accedere al sito web reale della banca. Ben fatto, l’utente non si accorgerà mai che non è sul sito web della banca. Poi l’attacker o disconnette l’utente e compie le transazioni fraudolente che vuole, o permette che le transazioni bancarie dell’utente vengano effettuate, mentre, allo stesso tempo, compie le proprie.
• Attacco tramite cavallo di Troia. L’attacker installa un cavallo di Troia sul computer dell’utente. Quando l’utente accede al sito della sua banca, l’attacker effettua un piggyback su quella sessione, tramite il Trojan, per compiere qualsiasi operazione fraudolenta desideri.

Vedete come l’autenticazione a due fattori non risolva nulla? Nel primo caso, l’attacker può bypassare la parte dinamica della password della banca, insieme con la parte che non cambia. Nel secondo caso, l’attacker si basa sul login dell’utente

Ecco un esempio:

Il furto è accaduto nonostante l’uso, da parte di Ferma, di una one-time password e un codice a sei cifre rilasciato da un piccolo dispositivo elettronico ogni 30 o 60 secondi. I ladri online si sono adattati a questa protezione aggiuntiva tramite la creazione di programmi speciali – cavalli di Troia in tempo reale – in grado di effettuare le transazioni verso la banca, mentre il titolare del conto è online;trasformando la one-time password nell’anello debole della catena della sicurezza finanziaria. “Penso che sia un modello errato”, sostiene Ferrari.

Naturalmente si tratta di un modello errato. Dobbiamo smettere di cercare di autenticare la persona invece di autenticare la transazione :

L’autenticazione a due fattori risolve i problemi di sicurezza che coinvolgono l’autenticazione. L’attuale ondata di attacchi contro i sistemi finanziari, non sta sfruttando le vulnerabilità del sistema di autenticazione, di conseguenza l’autenticazione a due fattori non funziona.

La sicurezza è sempre una corsa agli armamenti e si potrebbe sostenere che questa situazione rappresenti semplicemente il prezzo da pagare per rimanere a galla. Il problema con questo ragionamento è che ignora le contromisure atte a ridurre le frodi in maniera permanente. Concentrandosi sull’autenticazione dell’individuo piuttosto che autenticare la transazione, le banche sono costrette a difendersi contro le tattiche criminali piuttosto che contro il reato stesso.

Le carte di credito sono un esempio perfetto. Notate come si presti scarsa attenzione all’autenticazione del titolare della carta. Gli impiegati a malapena controllano le firme. Le persone utilizzano le loro carte per telefono e su Internet, dove l’esistenza della carta non è nemmeno verificata. Le società delle carte di credito usano il loro security dollar per autenticare la transazione, non il titolare della carta.

Maggiori informazioni su come limitare il furto di identità.

Fonte: Hacking Two-Factor Authentication

L’eliminazione di file è una questione di controllo. Generalmente, non è mai stato un problema. I dati erano sul vostro computer e voi decidevate quando e come cancellare un file. Potevate utilizzare la funzione dì eliminazione, se non vi interessava che un file potesse essere recuperato; ed un programma per l’eliminazione dei file – io uso BCWipe per Windows – se ci si vuole assicurare che nessuno possa essere in grado di recuperare i file.

Ora che mettiamo molti dei nostri dati sulle piattaforme di cloud computing come Gmail, Facebook e piattaforme proprietarie chiuse, come Kindle e l’iPhone , l’eliminazione dei dati è molto più difficile.

Ci si deve fidare che queste aziende cancellino i nostri dati quando lo richiediamo, ma generalmente non sono interessate a farlo. Siti come questi, sono più propensi a rendere i dati inaccessibili che eliminarli fisicamente. Facebook è il colpevole più noto: in realtà l’eliminazione dei dati dai suoi server richiede una procedura complessa , che potrebbe o non potrebbe funzionare. E anche se si riesce a cancellare i dati, le copie è certo che restano nei sistemi di backup delle aziende. Gmail lo fa esplicitamente presente nell’informativa sulla privacy.

I backup online, i messaggi SMS, le foto su siti di photo sharing, le applicazioni per smartphone che memorizzano i dati nella rete: non avete idea di ciò che realmente accade quando si eliminano alcune parti dei dati o l’intero account, perché non controllate i computer che memorizzano i vostri dati.

Questa nozione di controllo inoltre spiega come Amazon sia stata in grado di eliminare un libro acquistato su Kindle, il loro lettore di e-book. Gli aspetti legali sono discutibili, ma Amazon ha la capacità tecnica di eliminare i file perché controlla tutti i Kindle. Chi ha progettato Kindle, ha permesso che decida quando aggiornare il software, se le persone sono autorizzate a comprare i libri e quando spegnerlo completamente .

Vanish è un progetto di ricerca di Roxana Geambasu ed alcuni colleghi dell’Università di Washington. Hanno progettato un prototipo di sistema che automaticamente elimina i dati dopo un intervallo di tempo stabilito . Quindi è possibile inviare un’ e-mail, creare un documento di Google, postare un aggiornamento di Facebook, caricare una foto su Flickr e tutto questo è progettato per scomparire dopo un certo periodo di tempo. Dopo esser scomparso, nessuno – chi ha scaricato i dati, il sito che si occupa dell’hosting, chi ha intercettato i dati in transito, nemmeno tu – sarà in grado di leggerlo. In caso arrivasse la polizia a Facebook, Flickr o Google con un mandato, anche loro non sarebbero in grado di leggerlo.

I dettagli sono complicati, ma Vanish divide la chiave di decodifica dei dati in varie parti e la disperde in giro per il web usando una rete peer-to-peer. Poi si usa il turnover naturale di queste reti – le macchine si connettono e disconnettono continuamente – per far si che i dati scompaiano. A differenza di programmi precedenti, che contemplavano l’eliminazione dei file, questo non ha bisogno di riporre fiducia in qualsivoglia società , organizzazione, o sito web. É così, semplicemente.

Naturalmente, Vanish non impedisce al destinatario di un’ e-mail o il lettore di una pagina Facebook, di copiare i dati ed incollarli in un altro file; esattamente come la funzione d’eliminazione dei dati di Kindle, non impedisce di copiare i file di un libro e salvarli sul proprio computer. Vanish, per ora, è solo un prototipo e funziona solo se chi legge i vostri post di Facebook o guarda le vostre immagini di Flickr, lo ha installato sul computer; ma è una buona dimostrazione di come il controllo influisca sull’eliminazione dei file. Sebbene si tratti di un passo nella giusta direzione, è anche nuovo e merita, quindi, ulteriori analisi per quanto riguarda la sicurezza, prima di essere adottato su larga scala.

Abbiamo perso il controllo dei dati su alcuni computer che possediamo e anche nel cloud. Non abbiamo intenzione di smettere di usare Facebook e Twitter soltanto perché non elimineranno i nostri dati quando lo richiediamo e non abbiamo intenzione di smettere di usare Kindle e l’IPhone, perché potrebbero cancellare i nostri dati quando vogliono.
Ma abbiamo bisogno di riprendere il controllo dei dati nel cloud e progetti come Vanish, ci mostrano come farlo.

Ora abbiamo bisogno di qualcosa che possa proteggere i nostri dati quando una grande azienda decide di eliminarli.

Articolo originariamente apparso sul Guardian .

Fonte: File Deletion

Flash possiede l’equivalente dei cookie ed è difficile da eliminare :

A differenza dei tradizionali

cookie del browser, i cookie di Flash sono relativamente sconosciuti agli utenti del web e non sono controllabili tramite la gestione della privacy del browser.
Di conseguenza, se un utente pensa di essersi liberato dagli oggetti traccianti, molto probabilmente non è così.

Ma cos’è ancora più meschino?

L’articolo sostiene che numerosi servizi utilizzino la memorizzazione occulta dei dati per ripristinare i cookie tradizionali che un utente ha eliminato, questa tecnica viene chiamata ‘re-spawning’, in omaggio ai videogame dove gli zombie tornano in vita anche dopo essere stati “uccisi”. Quindi, anche se un utente si libera di un cookie tracciante appartenente ad un sito, l’ID univoco di quel determinato cookie verrà assegnato ad un nuovo cookie utilizzando i dati flash come “backup”.

Fonte: Flash Cookies

Proprio divertente:

Consigli per la sicurezza online

Tutti i cittadini possono seguire alcune semplici linee guida per mantenersi sicuri nel ciberspazio. In tal modo, non solo proteggono i loro dati personali, ma contribuiscono anche alla sicurezza del ciberspazio.

• Installare software antivirus, firewall, software anti-spyware e, se necessario, aggiornarli .

• Creare password forti e cambiarle spesso. Non registrare le password o darle a qualcuno.

• Fare i backup dei file importanti.

  Ignorare

• le mail sospette e non fare clic sui link che chiedono informazioni personali.

• Aprire gli allegati solamente quando attesi e se si conosce il loro contenuto.

• Se non c’è altro riparo, appiattirsi in un fossato o altre zone basse. Non sotto un ponte o un cavalcavia. Si è al sicuro solamente in un luogo basso e piano.
• Ulteriori suggerimenti sono disponibili all’indirizzo www.staysafeonline.org.

Questi son proprio allegati pericolosi.

Ecco la versione attuale della pagina, con la voce dell’elenco puntato rimossa. Ed ecco da dove è stato copiato ed incollato.

Fonte: Tips for Staying Safe Online

C’è un nuovo attacco crittanalitico ad AES, migliore rispetto a quello a forza bruta:

Abstract . In questo articolo vi presentiamo due attacchi basati su chiavi, a full AES. Per AES-256, presentiamo il primo attacco atto a recuperare la chiave che funziona per tutte le chiavi con complessità di 2 ¹¹⁹; mentre il recente attacco di Biryukov-Khovratovich-Nikolic, funziona per una classe di chiavi più debole ed ha una maggiore complessità. Il secondo attacco è il primo che riguardi la crittanalisi di full AES-192. Entrambi i nostri attacchi sono attacchi boomerang, basati sulle recenti idee di trovare collisioni locali nella cifratura a blocchi e rafforzati dalle tecniche di switching boomerang per ottenere fasi ulteriori nella parte centrale.

In un’e-mail, gli autori hanno scritto:

Ci attendiamo, inoltre, che un’attenta analisi possa ridurre le complessità. Come risultato preliminare, riteniamo che la complessità degli attacchi ad AES-256 possa essere abbassata da 2 ¹¹⁹ a circa 2 ^110,5 , per quanto riguarda i dati ed il tempo.

Riteniamo che questi risultati possano gettare una nuova luce sulla progettazione del key-schedule della cifratura a blocchi, ma non rappresentino una minaccia immediata per il mondo reale per quanto riguarda le applicazioni che utilizzano AES.

Sono d’accordo. Sebbene questo tipo di attacco sia migliore di quello a forza bruta, e per questo alcuni crittografi classificheranno l’algoritmo come “violato”, è ancora molto, molto al di là delle nostre capacità di calcolo. L’attacco è e probabilmente sarà per sempre, teorico. Ma ricordate: gli attacchi migliorano sempre, non peggiorano. Altri continueranno a migliorare basandosi su questi numeri. Sebbene non ci sia alcun motivo di panico, nessuna ragione per smettere di usare AES, alcun motivo per insistere sul fatto che il NIST scelga un altro standard di cifratura; questo sarà certamente un problema per alcune delle funzioni hash, basate su AES, candidate allo SHA-3

Fonte : New Attack on AES

Dal comunicato stampa:

Diversamente da alcune soluzioni esistenti per la computer forensics, EnCase Portable viene eseguito su un drive USB, piuttosto che su un computer portatile; permette all’utente di eseguire facilmente e rapidamente il boot di un computer di destinazione tramite il drive USB ed eseguire una ricerca pre-configurata dei dati ed una successiva copia. La facilità d’uso e l’ultra portabilità di EnCase Portable, crea nuove ed eccitanti possibilità di acquisizione dei dati. Anche il personale non addestrato nella computer forensics, potrà acquisire documenti ineccepibili dal punto di vista della forensics, la cronologia di Internet, le immagini digitali ed altri elementi di prova; compresi interi hard disk, con pochi e semplici clic della tastiera.

Fonte :  New Computer Snooping Tool