Posts Tagged ‘crittografia’

TrueCrypt -> VeraCrypt

venerdì 10 aprile 2015

Si dice che VeraCrypt sia il successore morale (e tecnologico) di TrueCrypt.

Io inizio ad usarlo, che per ora non c’è ragione per non farlo.

Per quanto riguarda TrueCrypt, oggi sappiamo che non era malaccio. Poi ha chiuso i battenti, ma nessuno sa il vero motivo (da PuntoInformatico):

TrueCrypt, concluso l’auditing
Risultati sostanzialmente positivi per la revisione del codice di TrueCrypt, software per la cifratura delle unità di storage la cui scomparsa continua a essere avvolta dal mistero. Per lo meno, le tanto temute backdoor NSA non ci sono

[film] The imitation game

venerdì 2 gennaio 2015

Titolo: The imitation game
Regia: Morten Tyldum
Soggetto: Andrew Hodges
Sceneggiatura: Graham Moore
Scenografia: Maria Djurkovic
Costumi: Sammy Sheldon
Altro: basato sulla biografia di Andrew Hodeges – Alan Turing. Storia di un enigma – Bollati Boringhieri, anno 2014, Stati Uniti – UK, 113 minuti, genere: biografia, storico, Miglior Film al Toronto International Film Festival e molte nomination ad altri premi, Direzione del doppiaggio: Rodolfo Bianchi.

Attori:
Benedict Cumberbatch: Alan Turing
Keira Knightley: Joan Clarke

(Dati tratti da wikipedia e Antonio Genna per il doppiaggio.)

Voto: 7/10

Il film è veramente bello, gli attori bravi, la storia coinvolge, anche se si sa chi era Alan Turing e cosa ha fatto, almeno a grandi linee. Però, pur basandosi su fatti reali, il film non può considerarsi una biografia fedele di Turing. Aggiunge del dramma che non ci fu – l’avversione dei militari a Turing, la sua depressione – e in alcuni casi risulta ridicolo, come il suo colloquio di assunzione da parte del comandante Denniston. Per quel che ho potuto vedere dopo una breve ricerca superficiale, le differenze fra realtà e fantasia sono sostanziali. Spero che il libro da cui è tratto – già inserito nella lista dei desideri preso in biblioteca – sia più fedele alla realtà.

Due parole su Turing, i fatti veri mantenuti anche nel film e che non rovinano la visione. Turing è stato un matematico, logico e crittografo britannico, fra i padri fondatori dell’informatica moderna. Fu veramente reclutato dai militari britannici per decifrare i messaggi in codice dei nazisti e il suo contributo fu sostanziale per la riuscita dell’impresa, contribuendo alla vittoria degli Alleati. Le scoperte relative alla decrittazione di Enigma rimasero segrete fino alla fine degli anni ’70 e furono rese completamente pubbliche nel 2000. Era omosessuale e al tempo, nel Regno Unito, la cosa era considerata illegale. Quando fu scoperto, nel 1952, fu costretto alla castrazione chimica e due anni dopo morì, forse suicida.

–ATTENZIONE SPOILER–
Ora, chi non vuole sapere altri dettagli del film, può fermarsi qui. Da qui in poi segnalerò le maggiori differenze fra finzione e realtà.

Il film calca molto la mano sulla persecuzione omofobica e anti-nerd dei militari e sulla sua depressione (inesistente) a seguito della condanna per omofobia. In realtà Turing non era sociopatico, almeno non come è disegnato nel film, ed ebbe il pieno appoggio dei militari. Il vero Comandante Denniston, che nel film fa la parte del cattivo, era lui stesso un crittografo e scrisse lui a Churchill (e non Turing come nel film) per continuare l’ambizioso progetto di decodifica iniziato dai polacchi. Il reclutamento di Turing da parte di Denniston è inverosimile e ridicolo. Non è vero che non vi furono risultati fino all’invenzione della macchina di Turing. La macchina che nel film decritterà i messaggi dei nazisti era già esistente quando Turing entrò nel gruppo di lavoro e aveva dato i suoi risultati. Era stato costruita dai polacchi (Marian Rejewski et al.) nel 1938 e si chiamava Bomba. Turing non costruì la nuova versione, ma diede la basi teoriche a Max Newman che costrui Colossus, quello che nel film viene chiamata Christopher. Colossus si rese necessario sia perché era molto più efficiente e veloce nella decodifica, sia perché dopo l’invenzione di Bomba i tedeschi capirono di essere decodificati e usarono una versione migliorata di Enigma, la Lorenz SZ40/42, rendendo meno efficiente Bomba. Questo spiega perché nel film Turing propone di non usare subito le informazioni decrittate dei tedeschi. Se il nemico avesse sospettato di essere decodificato avrebbe migliorato ancora la macchina rendendo inutili gli sforzi fatti.

Nel film di vede correre Turing. Un allusione al fatto che Turing fu anche un discreto sportivo e un maratoneta.

Sulla morte di Turing la versione ufficiale parla di suicidio, ma le indagini furono condotte in modo superficiale e la madre e gli amici furono convinti di una morte accidentale. (I complottisti, che non mancano mai in questi casi, ipotizzarono un omicidio di Stato, visti i segreti che Turing conservava e la condizione di omosessuale, che allora equivaleva ad essere antisociale.) Turing morì per ingestione di cianuro di potassio. La mela morsicata che gli fu trovata in casa, e che si suppone lo abbia avvelenato, non fu analizzata. Turing usava abitualmente cianuro di potassio e non è improbabile una assunzione accidentale (il cianuro di potassio è letale anche per inalazione). Turing, contrariamente da quanto raccontato nel film, non ebbe segni di depressione durante la terapia ormonale imposta a causa della sua condanna per omosessualità. Continuò a lavorare e ad avere progetti per il futuro. Quando morì la terapia era conclusa da un anno. Non fu trovata nessuna lettera di addio.

Le leggi omofobiche del Regno Unito di quegli anni non hanno certo agevolato la vita di Turing ed oggi sono sicuramente da condannare, ma bisogna dare atto agli inglesi che hanno saputo evolversi molto più velocemente di noi. (Qualcuno ricorda Galileo? E il matrimonio fra omosessuali chi l’ha visto da queste parti?) Nel 2009 il primo ministro Gordon Brown chiese pubblicamente scusa a Turing e indirettamente a tutti i perseguitati dalle leggi omofobiche dell’epoca. Nel 2013 la Regina Elisabetta II diede la grazia postuma a Turing riabilitandolo completamente.

In suo onore nel 1966 è stato istituito il Premio Turing, “assegnato annualmente dalla Association for Computing Machinery (ACM), ad una personalità che eccelle per i contributi di natura tecnica offerti alla comunità informatica, in particolare per progressi che siano duraturi e di elevata importanza tecnica.” (wikipedia, ovviamente) L’unico italiano della lista, Silvio Micali, non lavora in Italia. Da noi abbiamo il Silvio sbagliato, accidenti!

Se siete interessati alla vita di Turing, oltre alla solita wikipedia, la cui versione inglese è molto meglio curata di quella italiana, segnalo anche:

A Poor Imitation of Alan Turing
di Christian Caryl

(In inglese, dove si segnalano le maggiori differenze fra film e realtà. Via Punto Informatico.)

Il compleanno di Turing dei Rudi Mathematici, numero 89, giugno 2006. (In italiano.)

No, un “supercomputer” non ha superato il Test di Turing
di Paolo Attivissimo

(Dove si spiega il titolo.)

Aggiornamento 01/02/2015:

Sembra che il film abbia portato alla ribalta il problema della legge contro l’omosessualità che permise di condannare Turing (da Repubblica.it):

Le star alla Regina: “Non solo Turing, è ora di riabilitare 50 mila gay inglesi”
Appello dell’attore che interpreta il genio suicida “Riscattare le vittime delle vecchie leggi omofobe”
di ENRICO FRANCESCHINI

TrueCrypt

venerdì 30 maggio 2014

Prima di andare in letargo, avviso l’unico lettore che usa TrueCrypt di non fare nulla alla sua installazione.

È successo che ieri ho visitato la pagina della fondazione che rilascia il software e mi sono trovato in bella vista il consiglio di migrare a BitLocker. Per aiutarmi nel passaggio mi condigliavano di scaricare una fantomatica versione 7.2 del software. (L’ultima, di più di due anni fa, è la 7.1a.)

La cosa è stranissima. Per i non addetti è come se i produttori di Brunello di Montalcino annunciassero la chiusura della produzione e vi consigliassero di bere il tavernello e come incoraggiamento vi regalassero la loro ultima bottiglia (che pare buona).

Molti si sono scatenati in fantasiose ipotesi, ma per ora supportate dal nulla. State sintonizzati su Schneier per le ultime notizie. Per il resto non toccate la vostra installazione di TrueCrypt e non mettete la versione 7.2 proposta. Aspettiamo.

Aggiornamento 30/05/2014:

Alcuni articoli in italiano:

Da PuntoInformatico:
TrueCrypt, messaggi indecifrabili dagli sviluppatori
Uno dei tool di sicurezza più popolari cessa lo sviluppo e il sito ufficiale accoglie gli utenti con allarmanti messaggi di (in)sicurezza. Defacement, trovata pubblicitaria o minacce legali sono le spiegazioni più accreditate
di A. Maruccia

Da Paolo Attivissimo:
Misteriosa chiusura di Truecrypt: “è insicuro”, dice il suo sito

Aggiornamento 07/04/2015:
TrueCrypt era sicuro (e sembra esserlo ancora). Il testimone pare sia stato preso da VeraCrypt.

Da PuntoInformatico:

TrueCrypt, concluso l’auditing
Risultati sostanzialmente positivi per la revisione del codice di TrueCrypt, software per la cifratura delle unità di storage la cui scomparsa continua a essere avvolta dal mistero. Per lo meno, le tanto temute backdoor NSA non ci sono

Heartbleed /3

domenica 13 aprile 2014

Ho ancora due cose da dire. Poi la pianto, prometto.

La prima è che non è sufficiente cambiare la password quando sul server è stato aggiornato il software incriminato. Prima di cambiare le password bisogna che il server – il sito a cui vi collegate – abbia anche cambiato il certificato che ne attesta l’autenticità.

Se nel vostro browser cliccate sul lucchetto affianco all’indirizzo che visitate, potrete avere i dettagli di questo certificato, un piccolo file che vi assicura che il sito visualizzato è proprio quello che volete visitare. Se il certificato è stato emesso prima dell’8 aprile 2014 e (AND) il server era vulnerabile al baco heartbleed, allora cambiare password potrebbe essere inutile.

La seconda cosa da notare è come i vari servizi colpiti hanno reagito alla notizia. Ad oggi, fra i numerosi siti che uso, solo yahoo e tumblr hanno certificati nuovi. Solo tumblr ha mandato via mail un avviso di sicurezza, pregando i suoi utenti di cambiare la password. Chi gestisce la posta elettronica ci metterebbe un attimo a spedire a tutti le istruzioni su cosa fare dopo la scoperta di heartbleed. Ad oggi, google (gmail), yahoo, tiscali, fastweb, aruba (pec.it) e sicuramente ne dimentico altri, non hanno ancora avvisato personalmente i loro utenti su cosa devono fare (o NON devono fare). E fin qui sono solo gli affari nostri che sono visibili al primo pirata informatico che passa. Poi ci sono i servizi di vendita on line, che tralascio, altrimenti faccio notte ad elencarli. Tutti quelli che uso – e sono tanti – non mi hanno avvisato via mail su cosa fare. (Il loro spam, invece, arriva copioso.) Poi ci sono le banche on line. Ho a che fare con tre istituti di credito e nessuno mi ha ancora detto nulla. Ho spedito una mail di chiarimenti alla mia banca e ad oggi il silenzio. Domani telefono. Ho dei pensieri cattivi nei loro confronti…

PS: Ribadisco a scanso di equivoci. Non sto affermando che i servizi citati (e non) siano stati vulnerabili al baco heatbleed e/o siano stati violati. Sto dicendo che non hanno informato i loro utenti su cosa fare o NON fare, perché magari non colpiti dalla vulnerabilità.

Aggiornamento 17/04/2014:

Un’intervista al mio guru di fiducia Schneier.
Heartbleed, the Branding of a Bug, and the Internet of Things
by Scott Berinato

(Grazie e Giovanna Cosenza)

E il lato comunicativo del problema (da Kalzumeus blog):

What Heartbleed Can Teach The OSS Community About Marketing
di Patrick McKenzie

Aggiornamento 25/04/2014:

Mentre i modi per sfruttare il baco Heartbleed si fanno sempre più interessanti e aggressivi, rimaneva in sospeso un piccolo problema: chi ha finanziato fino a oggi le generose persone che sviluppano OpenSSL? Quasi nessuno. Banche, commercio online, socialcosi e chi più ne ha più ne metta (enti commercilai, non privati) usavano il codice senza sentirsi in dovere di dare le briciole di quanto guadagnavano usando OpenSSL. Risultato: il gruppo di sviluppo era ridotto ad un gruppo di poche persone. L’errore extra large era solo questione di tempo. Il seguito ce lo racconta Paolo Attivissimo:

Heartbleed, scappati i buoi qualcuno finanzia il recinto

Heartbleed – una catastrofe!

mercoledì 9 aprile 2014

Segnalo questo articolo de ilPost:

La falla più pericolosa di Internet
È enorme e potenzialmente riguarda due terzi dei server che fanno funzionare il Web: quelli che utilizzano il sistema OpenSSL per la posta, i social network e molte altre cose

Per profani: dei ricercatori hanno scoperto un errore di programmazione (bug) che consente di rubare le password (e non solo!) da tutte le connessioni che consideriamo sicure. (Tutte le connessioni che usano il protocollo https: banche, posta, facebook, eccetera) Siccome al peggio non c’è mai fine, il bug coinvolge i due terzi dei server che consideravamo sicuri. Per rendere la catastrofe completa l’attacco è assolutamente invisibile. In altre parole non c’è modo di sapere in modo certo se (e come) in passato i pirati informatici abbiano usato questo baco per carpire informazioni riservate.

Cosa possiamo fare noi utonti, oggi? Cambiare password. Sì, ma è utile farlo dopo che i server che usiamo hanno aggiornato il loro software fallato. Non è facile sapere se yahoo, tanto per fare un esempio, ha aggiornato i suoi server, perché all’indirizzo mail.yahoo.com corrispondono diversi server fisici sparsi per il mondo. Prima di cambiare password bisogna che siano tutti aggiornati. Personalmente aspetterò qualche giorno prima di cambiare le password più importanti.

Per il resto speriamo bene…

In inglese, Schneier qui.

Aggiornamento 10/04/2014:
Dimenticavo una cosa importante, per assaporare meglio la catastrofe: questo baco c’è da due anni. Non è meraviglioso?

Altre info tecniche, ma comprensibili ai più, da Paolo Attivissimo:

Heartbleed, falla di sicurezza senza precedenti ferma Internet. Come difendersi

Per controllare se è ora di cambiare la password dei servizi che usate (da CNET, in inglese):

Which sites have patched the Heartbleed bug?
We compiled a list of the top 100 sites across the Web, and checked to see if the Heartbleed bug was patched.
by Jason Cipriani

Lo ripeto sempre, ma rimango spesso inascoltato: UNA PASSWORD DIVERSA PER OGNI SERVIZIO. Mai, mai, mai, una password per tutti i servizi.

Aggiornamento 11/04/2014:

Sempre da ilPost:

La falla Heartbleed non riguarda solo i siti
Il grave problema di sicurezza del sistema OpenSSL interessa diversi aggeggi che si collegano a Internet (e serve davvero cambiare le password?)

Dove si racconta che il baco è presente in oggetti che non consideriamo pc o server. E sì, cambiare la password serve, come serve averne una diversa per ogni servizio e come serve cambiarla periodicamente, proprio per mitigare i danni derivanti da questo genere di disgrazie informatiche. Come utenti è l’unica cosa che possiamo e dobbiamo fare.

Mail cifrate e autenticate

martedì 18 marzo 2014

Il buon Paolo Attivissimo ci insegna in quattro comode lezioni come proteggere la riservatezza delle nostre mail con OpenPGP. Partite da qui:

Come cifrare e autenticare la mail: prima parte
di Paolo Attivissimo

e poi seguite i link.

Paolo tralascia alcuni aspetti tecnico operativi importanti, come la durata del certificato creato, la creazione del certificato di revoca, l’autenticità delle chiavi pubbliche in circolazione, eccetera. Con un po’ di buona volontà sono cose che si sistemano tutte.

La tecnologia matematica che sta alla base della crittografia asimmetrica del programma OpenPGP è della metà degli anni ’70, è ancora considerata valida ed è usata ogni giorno per migliaia di transazioni. Nello scambio di mail private, invece, pur essendoci tutto per averla sul proprio desktop da più di dieci anni, questa tecnologia non ha mai preso piede. I motivi sono essenzialmente tre e sono tutti prettamente umani:

1) Le persone non amano le password. Purtroppo per noi le password sono ancora l’unica difesa per la nostra riservatezza. Per cifrare e autenticare le nostre mail dovremmo usare una password in più. La tendenza, invece, è di averne una sola composta dal nomegatto.annodinascita.
2) Le persone non aggiornano il loro software. Aggiornare il software di cifratura non è un optional, pena l’inutilità della cifratura stessa. Se il software non si aggiorna da solo ad un certo punto potrebbe essere come non averlo.
3) In altre parole le persone non amano complicarsi la vita. Questo software la complica con altri dettagli che qui tralascio.

Ma ho lasciato volutamente da parte un quarto problema:
4) molti, troppi, pensano di non avere nulla da nascondere. Per usare questa tecnologia bisogna che entrambi gli interlocutori la usino. Dopo aver superato i punti da 1 a 3.

Conclusione: i precedenti certificati per la firma e la crittografia asimmetrica li creai nel 2003. Li ho tutti revocati pochi giorni fa senza averli mai usati se non per qualche test onanistico. Ora ne ho creato uno per ilcomizietto. Lo scaricate dal key server indicato nella pagina.

BlackBarry, addio privacy!

lunedì 26 maggio 2008

Non so nemmeno cosa sia un BlackBarry (sono rimasto al vecchio pc e un portatile per me è già troppo piccolo), ma se lo usate e pensate di avere le vostre comunicazioni criptate, forse non è così. Ma la storia (semplificata) è interessante: il Governo Indiano chiede al produttore del BlackBarry di intercettare le comunicazioni criptate generate dal palmare, BlackBarry gli risponde che non è possibile, il Governo Indiano minaccia di rendere inutilizzabile i BackBarry in India, BlackBarry cede e regala le chiavi di criptazione al Governo Indiano.

Morale: La crittografia non funziona quando le chiavi non sono in mano vostra. Anzi, più in generale, i lucchetti non funzionano se non siete voi ad avere le chiavi e il lucchetto.

ilcomiziante

Aggiornamento 30/05/2008:

RIM: non daremo i dati dei Blackberry al governo indiano
di Alfonso Maruccia