"Il mio computer" son parole di altri tempi (Re: Troiani e firme digital

Commento questo msg, ma il commento e' da intendersi relativamente a tutto
il thread:

stiamo andando sempre piu' verso un thread tipo 'bar security', sicuramente
interessante e quant'altro ma off-topic. Pregherei tutti di evitare i
commenti di costume, per quanto pienamente condivisibili e quant'altro, e
limitarsi alla parte piu' strettamente tecnica.[*] 
Senza contare che sono portatissimo per la bar security :) ed imho e' il
concetto base ad essere sbagliato. Non pensare che un 286 fosse il TUO
computer solo perche' non c'era la rete, a meno che tu non abbia scritto
personalmente os, bios, applicazioni e quant'altro :)

[*]: traduzione: sto cassando il thread

ps: cortesemente sarebbe opportuno cercare di adottare uno stile decente di
formattazione, quoting, firma & co. dei messaggi [sempre non riferito in
particolare a questo msg]

citando il tanno:

http://learn.to/edit_messages
http://erlug.linux.it/~tann/quote.txt

bye
Koba (moderatore)

--- Enclosed, please find the posted message.
Subject: "Il mio computer" son parole di altri tempi (Re: Troiani e firme
 digitali)
From: N0SPAMmar<at>i.amTogli.invalid (Marc Munari 16095.45411)

Il fato fa si che abbia letto questa mail,

~\/~ "Raistlin" == Raistlin  <raistlin<at>gioco.net> writes:

Raistlin> > In un ambiente dove utilizzano la firma digitale a seguito
Raistlin> delle ultime > notizie (troiani vari che recepiscono il pin
Raistlin> etc.) ci hanno chiesto di > verificare la possibilità di
Raistlin> usare tecniche diverse.

Raistlin> La soluzione e' spiegare ai tuoi clienti che hanno problemi
Raistlin> molto peggiori della bufala relativa ai troiani che
Raistlin> recepiscono il pin...

Raistlin> Sinceramente: nel momento in cui parti dal presupposto che
Raistlin> la tua macchina possa avere a bordo un troiano, c'e' poco da
Raistlin> fare;

Il concetto di voler avere sotto controllo cio` che compie il computer e`
un ottimo punto di partenza

riprendendo gli header...
        > X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
        > X-Virus-Scanned: by AMaViS

Raistlin> se qualcuno ti convince ad eseguire qualche cosa sul tuo
Raistlin> computer, fondamentalmente non e' piu' il tuo computer.

Hai ragione, erano bei tempi quando avevo il computer... ero uno dei
pochi, un 286 con hard disk da 20 Mega e 1024 Kbyte di RAM, il mio
prompt preferito era "-", nessuno mi aveva convinto ad eseguire
qualcosa nel mio computer che non fosse stato vagliato da me,
poi dei rumori che emetteva il sistema computerizzato, della velocita`
e continuita` con cui produceva l'output capivo se l'esecuzione
era regolare, non solo perche` avevo visto l'esecuzione piu` volte,
ma sapendo per _ogni_ cosa le opreazioni necessarie fino a livello
macchina, sapevo anche quanto tempo ognuna di queste microoperazioni
impiegava (molte cose le avevo ottimizzate io), tanto che il sospetto
poteva essere evidente...
Ricordo l'emozione di quando per la prima volta quel classico
carattere simile all'uguale usato per le cornici (205, CD in
esadecimale) seguito dal punto esclamativo (21h) presente
ripetutamente sul fondo dell'eseguibile sospetto mi ha permesso di
scoprire, guardandolo, un troiano.

Ora i computer sono troppo veloci e paurosamente capienti
per sapere veramente con sicurezza cosa stanno facendo,
ed avere una idea di cosa passa attraverso i fili e come precisamente
questo flusso di bit viene interpretato,
e cosi` gli "esperti" ricorrono alle utilita` che creano una immagine
virtuale della realta`, ma in quanto virtuale puo` essere falsificata
con fantasia mirata allo scopo.
Chi non si spaventa e si sente sicuro e` solo perche` ha poca fantasia
e conoscenza.

Raistlin> Partendo da questo presupposto, non c'e', in realta', un
Raistlin> modo per ovviare al problema.

Raistlin> Per essere ancora piu' chiari, creare un "attacco" che
Raistlin> presupponga l'installazione di un troiano e' come fare un
Raistlin> piano d'assedio che presupponga che la porta principale sia
Raistlin> aperta (bufala, anyone?).



Raistlin> Il modo corretto per affrontare il problema e': come cerco
Raistlin> di evitare che installino un trojan sulle macchine ? Come
Raistlin> imposto le politiche di security per consentirne
Raistlin> eventualmente la rimozione, e per rendergli la vita piu'
Raistlin> difficile ?

Credo che la parola "difficile" possa essere uno stimolante, quindi
non la userei. Molte volte la compromissione di un computer non e`
data dall'esecuzione di un troiano ricevuto via mail, questo sarebbe il
primo (e ultimo :( ) passo del controllo dell'utente medio sulla macchina.

Le cose stanno cosi`:
Oltre al fatto che il browser potrebbe contenere parti di codice
troiane (ma vogliamo evitare di pensare questo perche` quando lo
abbiamo installato, abbiamo accettato la licenza che ne impedisce l'analisi),
uno stesso sito web potrebbe sfruttare le vulnerabilita` di buffer
owerflow dei browser, dare al browser un link artefatto ad esempio
con sequenze UTF-8 stupidamente e vergognosamente interpretate da Internet Explorer,
per fare eseguire poche precise istruzioni per accedere al file o la
memoria dove i browser memorizzano le password.
NB: A proposito.. e` buona norma lanciare da zero il browser quando
si intende accede ad un sito protetto da password, e chiuderlo dopo,
perche` dato che il sistema operativo manda sin dal suo avvio,
il microprocessore x86 in una modalita` detta protetta,
che impedisce ad un processo anche di leggere lo spazio di memoria di
altri processi (che potrebbe contenere le password di connessione in
chiaro... decifrate magari da una password dell'utente).


Raistlin> Raistlin

Tornando alla firma digitale, posso dire che circa nel lontano 1995
mi trtovavo d'accordo con un certo signor Bruce Schneier, che era
talmente bravo che ha scritto poi alcuni libri sulla sicurezza,
abbiamo degli algoritmi che sono matematicamente sicuri, se non altro
contro crittoanalisi da possibili malintenzionati, ma il problema che lui ci
teneva a sottolineare prima che ci fosse approvazione legale della
firma digitale, e` che dato che quasi nessuno applica a livello matematico
(sicuro) la crittografia, essa e` infatti demandata ad un programma ed
una interfaccie, e la vulnerabilita` principale e` qui`, e puo`
sfuggire dal controllo dell'utente, il rimedio a queste possibili
vulnerabilita` ha un inevitabile intervallo di tempo dalla loro
scoperta (che non e` detto che coincida col la pubblicazione)...
A causa di questo intervallo di tempo,
il concetto crittografico di ripudio della firma, va tenuto in
considerazione, assolutamente se la persona e` veritiera.

Stando sull'argomento di applicazione delle firme digitali,
Ho letto che e` pratica comune che attribuzioni su carte di credito
possono essere ripudiate (nel senso che e` possibile affermare di
non aver acquistato), e diventa responsabilita` dell'esercente provare che
l'acquirente era il titolare della carta, guai poi se infatti lo e`.
[non ho mai dovuto (fortunatamente) ripudiare transazioni su mie
carte, comunque non contateci, potrebbe non riguardare tutte le carte]


Morale: Alice e Bob vissero felici e contenti senza computer.

Saluti,
MAR
-- 
x(t),y(t) = th(3t-34.5)*e^[-(3t-34.5)^2]/2-4.3+e^(-1.8/t^2)/(.8*atg(t-
3)+2)(t-1.8)-.3th(5t-42.5),(1.4e^[-(3t-34.5)^2]+1-sgn[|t-8.5|-.5]*1.5*
|sin(pi*t)|^[2e^(-(t-11.5)^2)+.5+e^(-(.6t-3.3)^2)])/(.5+t)+1  ; 0<t<14

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List