Crittoanalisi alternativa

Security

Se gli attacchi di crittoanalisi matematica non funzionano, rimane sempre il metodo Rubber-hose.

 

Conferenza sulla sicurezza dei tag RFID fermata da una azione legale

Una presentazione sulla sicurezza delle tecnologie RFID che doveva essere presentata, alla conferenza Black Hat che si sta svolgendo in queste ore, è stata cancellata all’ultimo minuto dal programma.

Chris Paget, l’autore della presentazione cancellata, voleva dimostrare come la tecnologia RFID utilizzata per il controllo degli accessi sia aggirabile. La HID Corporation, casa degli RFID presi in esame, ha comunicato a Chris che i tool utilizzati per preparare la presentazione violavano i loro brevetti e per questo la presentazione doveva essere annullata.
IOActive, società dove Chris lavora, in una nota ufficiale ha spiegato che gli unici materiali utilizzati per lo studio sono pubblicamente accessibili a tutti, in quanto presenti sul sito della stessa società.
IOActive aggiunge anche che le idee che stanno alla base della presentazione non sono nuove e il lavoro preparato era solo volto a dimostrare i possibili risvolti di sicurezza in sistemi di controlli di accesso.

Penso che HID più che interessata al rispetto dei propri brevetti sia stata spaventata da quello che una presentazione del genere può creare sulla reputazione dell’azienda. Cercando di nascondere falle di sicurezza di questo tipo si rischia di compromettere la sicurezza di intere società.
Questa notizia mi sa di déjà vu, o sbaglio?

Aggiornamento: Grazie a “ACLU of Northen Californiala conferenza si è tenuta ugualmente, ma è stata presentata da Nicole Ozer al posto della IOActive.

 

Create le chiavi di accesso al dispositivo per voto elettronico Diebold da una foto

Diebold KeysI dispositivi, Diebold, per il voto elettronico sono di nuovo sotto i riflettori per una gaffe sulla loro sicurezza dopo che un hacker è riuscito a creare la chiave, per aprire la macchina. Due delle tre chiavi create da Ross Kinard sono state capaci di aprire la macchina di Diebold, ricevuta dall’Università di Princeton per condurre dei test. Visti i risultati dell’attacco condotto è auspicabile che le serrature della macchina possano essere aperte da chiunque abbia un minimo di praticità con il lockpicking. Essendo la chiave corta ed ad unico profilo, è molto probabile che funzionino anche tecniche di bumping.
Diebold, subito dopo l’annuncio della compromissione della macchina ha rimosso l’immagine colpevole (sostituendola con quella di badge magnetico) dalla pagina del proprio sito web. Nella cache di Google è sempre presente una miniatura delle chiavi.

Il cassetto che si apre tramite l’uso della chiave da libero accesso alla memoria del dispositivo. In questo modo è possbile inserire memoria aggiuntiva contenente malware o virus. E’ altresì possibile alterare il software interno per falsare i conteggi elettorali. In verità, sopra la memoria della macchina c’è un nastro anti-manomissione, ma solo i responsabili di seggio sono addetti a questa verifica.

A rendere più critica la situazione è che la serratura è sempre la stessa tra macchine del solito modello.

 

Rubano dispositivi di tracciamento GPS scambiandoli per GSM, arrestati.

Una curiosa storia arriva da Lindenhurst (New York).

Tre ladri, nella notte dello scorso lunedì, hanno rubato 14 dispositivi GPS nell’officina Town of Babylon a New York. I dispositivi sottratti non erano semplici ricevitori GPS ma sistemi di localizzazione a distanza montanti su camion spala neve, furgoni pulisci strade e altri veicoli pubblici dall’officina Babylon.

I ladri pensando di avere tra le mani telefoni cellulari GSM hanno deciso di accendere i dispositivi rubati per provarli. La polizia non ci ha messo molto per andargli a suonare il campanello di casa.

 

Il Governo U.S.A. decide di criptare i dati dei laptop

Per evitare la compromissione di dati sensibili, il Governo U.S.A. sta per adottare la Full Disk Encryption su tutti i suoi computer portatili. Questo tipo particolare di tecnica, prevede di applicare tecniche di crittografia ad ogni singolo bit salvato sul disco rigido, compreso anche lo spazio di swap del sistema operativo.

Il 23 Giugno 2006, sono state stilate le linee guida per l’adozione della FDE su tutti i computer portatili Governativi. Attualmente il Governo sta svolgendo il più grande confronto mai fatto su software FDE, per poterne scegliere uno in base alla specifiche richieste.
Come per tutti gli altri software, utilizzati dal Governo, che utilizzano crittografia anche quelli per FDE dovranno essere certificati FIP 140-2.

Per i più curiosi è disponibile la lista di tutte le società che hanno presto parte al confronto.

Operazioni di questa grandezza, essendo molto il denaro in gioco, dovrebbero portare molta concorrenza tra le società in gara. In questo contesto, concorrenza è sinonimo di maggiore qualità/sicurezza del software; speriamo!

Via full-disk-encryption.net