Matteo Carli » (In)Sicurezza fisica

Crittoanalisi alternativa

Matteo Carli — Tue, 03 Feb 2009 06:15:26 +0000

Se gli attacchi di crittoanalisi matematica non funzionano, rimane sempre il metodo Rubber-hose.

Conferenza sulla sicurezza dei tag RFID fermata da una azione legale

Matteo Carli — Thu, 01 Mar 2007 12:49:06 +0000

Una presentazione sulla sicurezza delle tecnologie RFID che doveva essere presentata, alla conferenza Black Hat che si sta svolgendo in queste ore, è stata cancellata all’ultimo minuto dal programma.

Chris Paget, l’autore della presentazione cancellata, voleva dimostrare come la tecnologia RFID utilizzata per il controllo degli accessi sia aggirabile. La HID Corporation, casa degli RFID presi in esame, ha comunicato a Chris che i tool utilizzati per preparare la presentazione violavano i loro brevetti e per questo la presentazione doveva essere annullata.
IOActive, società dove Chris lavora, in una nota ufficiale ha spiegato che gli unici materiali utilizzati per lo studio sono pubblicamente accessibili a tutti, in quanto presenti sul sito della stessa società.
IOActive aggiunge anche che le idee che stanno alla base della presentazione non sono nuove e il lavoro preparato era solo volto a dimostrare i possibili risvolti di sicurezza in sistemi di controlli di accesso.

Penso che HID più che interessata al rispetto dei propri brevetti sia stata spaventata da quello che una presentazione del genere può creare sulla reputazione dell’azienda. Cercando di nascondere falle di sicurezza di questo tipo si rischia di compromettere la sicurezza di intere società.
Questa notizia mi sa di déjà vu, o sbaglio?

Aggiornamento: Grazie a “ACLU of Northen California” la conferenza si è tenuta ugualmente, ma è stata presentata da Nicole Ozer al posto della IOActive.

Create le chiavi di accesso al dispositivo per voto elettronico Diebold da una foto

Matteo Carli — Mon, 29 Jan 2007 23:07:12 +0000

I dispositivi, Diebold, per il voto elettronico sono di nuovo sotto i riflettori per una gaffe sulla loro sicurezza dopo che un hacker è riuscito a creare la chiave, per aprire la macchina. Due delle tre chiavi create da Ross Kinard sono state capaci di aprire la macchina di Diebold, ricevuta dall’Università di Princeton per condurre dei test. Visti i risultati dell’attacco condotto è auspicabile che le serrature della macchina possano essere aperte da chiunque abbia un minimo di praticità con il lockpicking. Essendo la chiave corta ed ad unico profilo, è molto probabile che funzionino anche tecniche di bumping.
Diebold, subito dopo l’annuncio della compromissione della macchina ha rimosso l’immagine colpevole (sostituendola con quella di badge magnetico) dalla pagina del proprio sito web. Nella cache di Google è sempre presente una miniatura delle chiavi.

Il cassetto che si apre tramite l’uso della chiave da libero accesso alla memoria del dispositivo. In questo modo è possbile inserire memoria aggiuntiva contenente malware o virus. E’ altresì possibile alterare il software interno per falsare i conteggi elettorali. In verità, sopra la memoria della macchina c’è un nastro anti-manomissione, ma solo i responsabili di seggio sono addetti a questa verifica.

A rendere più critica la situazione è che la serratura è sempre la stessa tra macchine del solito modello.

Rubano dispositivi di tracciamento GPS scambiandoli per GSM, arrestati.

Matteo Carli — Mon, 22 Jan 2007 07:25:15 +0000

Una curiosa storia arriva da Lindenhurst (New York).

Tre ladri, nella notte dello scorso lunedì, hanno rubato 14 dispositivi GPS nell’officina Town of Babylon a New York. I dispositivi sottratti non erano semplici ricevitori GPS ma sistemi di localizzazione a distanza montanti su camion spala neve, furgoni pulisci strade e altri veicoli pubblici dall’officina Babylon.

I ladri pensando di avere tra le mani telefoni cellulari GSM hanno deciso di accendere i dispositivi rubati per provarli. La polizia non ci ha messo molto per andargli a suonare il campanello di casa.

Il Governo U.S.A. decide di criptare i dati dei laptop

Matteo Carli — Fri, 05 Jan 2007 00:58:38 +0000

Per evitare la compromissione di dati sensibili, il Governo U.S.A. sta per adottare la Full Disk Encryption su tutti i suoi computer portatili. Questo tipo particolare di tecnica, prevede di applicare tecniche di crittografia ad ogni singolo bit salvato sul disco rigido, compreso anche lo spazio di swap del sistema operativo.

Il 23 Giugno 2006, sono state stilate le linee guida per l’adozione della FDE su tutti i computer portatili Governativi. Attualmente il Governo sta svolgendo il più grande confronto mai fatto su software FDE, per poterne scegliere uno in base alla specifiche richieste.
Come per tutti gli altri software, utilizzati dal Governo, che utilizzano crittografia anche quelli per FDE dovranno essere certificati FIP 140-2.

Per i più curiosi è disponibile la lista di tutte le società che hanno presto parte al confronto.

Operazioni di questa grandezza, essendo molto il denaro in gioco, dovrebbero portare molta concorrenza tra le società in gara. In questo contesto, concorrenza è sinonimo di maggiore qualità/sicurezza del software; speriamo!

Via full-disk-encryption.net

Passaporto elettronico Inglese compromesso

Matteo Carli — Sun, 19 Nov 2006 20:00:33 +0000

The Guardian ha pubblicato un articolo riguardante la compromissione della sicurezza dei passaporti Inglesi con RFID.
L’articolo, avendo fatto molto “rumore”, è stato poi ripreso da quasi tutti i mass-media (anche Italiani).

Riporto una parte dell’articolo tradotta in Italiano:

Gli standard per i nuovi passaporti sono stati dati dall’International Civil Aviation Organisation (ICAO) nel 2003 e sono adottati dai paesi rinucianti (al visto consolare. NdR) e dagli Stati Uniti. L’ICAO suggerì di inserire nel passaporto i dati biometri del volto; tuttavia i paesi potranno inserire le impronte digitali nel futuro. Tutti questi dati sono salvati su un microchip chiamato Radio Frequency Identification (RFID), che può essere interrogato, da una limitata distanza, tramite onde radio. Microchip simili si trovano normalmente in vendita e vengono utilizzati per il controllo industriale.

Sortunatamente l’ICAO suggerì che la chiave necessaria per l’accesso ai dati, salvati sul microchip, doveva essere compresa da, nel seguente ordine, il numero di passaporto, la data di nascita della persona e di scadenza del passaporto, le quali sono comprese nella pagina, del passaporto, chiamata “machine readable zone”. Quando un ufficiale di stato passa un passaporto attaverso il lettore, questo genera la chiave, che gli permette di comunicare con l’RFID. I dati contenuti, comprendenti anche la foto del possessore, sono visualizzati sullo schermo dell’ufficiale. A questo punto, si suppone che il documento sia autentico e super-sicuro. E, come vedremo più avanti, questo è molto importante.

Per maggiori informazioni invito a leggere l’articolo originale.

Firefox 2 batte IE 7 nella battaglia dei filtri anti-phishing

Matteo Carli — Thu, 16 Nov 2006 09:20:31 +0000

Secondo uno studio commissionato dalla Mozilla Corporation, le tecnologie Anti-phishing di Mozilla Firefox 2.0 funzionano meglio di quelle di Microsoft IE7.

Le prove effettuate da SmartWare e verificate da iSEC, dimostrano come ognuno dei due browser si comporta quando viene indirizzato verso una URL di Phishing presente nei database di Phishtank.

Firefox ha bloccato l’81,5% dei 1040 siti di phishing provati. IE 7 invece è stato in grado di bloccare solamente il 66,4% di essi. Firefox si è abbassato al 78,9% di siti bloccati quando è stata tolta l’opzione “Verifica contattando Google”.

Durante il test è emerso che Firefox ha bloccato correttamente 243 siti di Phishing che IE 7, invece, ha permesso; al contrario IE 7 ha bloccato 117 siti Web di Phishing che Firefox invece aveva permesso. Entrambi i browser hanno fallito nel riconoscere 65 siti di Phishing.
In questo studio non sono stati presi in considerazione i falsi positivi ovvero i siti Web bloccati che in realtà erano del tutto legittimi.

Uno studio simile, commissionato da Microsoft nello scorso Settembre , aveva evidenziato che IE7 funzionava meglio di un gruppo di 7 applicativi di sicurezza di terze parti. Il sondaggio effettuato da 3sharp, partner di Microsoft, non aveva comparato IE7 con Firefox 2.0 in quando non ancora rilasciato in quel momento.

Via: theregister.co.uk

Batterie dei laptop come fuochi pirotecnici

Matteo Carli — Thu, 16 Nov 2006 08:45:01 +0000

I ragazzi di PC Pitstop hanno voluto sperimentare ciò che può succedere quando la batteria di un laptop si surriscalda.

Il video si commenta da solo:

La raccomandazione è di non provare niente di tutto questo a casa, in quanto potrebbe risultare molto pericoloso. I fumi, emanati dal materiale incendiato sono tossici, soprattutto ad alte temperature.