Author Archive

Come ti frego il filtro su YouTube

YouTube ha deciso di usare la mannaia con i contenuti musicali infilati sui suoi server senza l’autorizzazione degli aventi diritto. Ma quella stessa mannaia che silenzia le canzoni famosesi presta a qualche controindicazione che un intraprendente uploader del portale ha scovato dopo aver condotto un po’ di esperimenti, modificando di volta in volta le caratteristiche della stessa canzone per verificare il risultato finale del filtering di GoogleTube.
[ad]
L’utente suddetto è tale retnirpregnif, e la canzone scelta per l’impresa è “I Know What Boys Like” dei The Waitresses, modificata e riversata sui server di Google in 82 versioni differenti nel tempo di ascolto, nel tono, nel livello di amplificazione e di rumore e altro ancora. L’analisi di retnirpregnif ha permesso di evidenziale la notevole sofisticazione ed efficienza del sistema di identificazione dei contenuti di YouTube, ma anche la sua vulnerabilità a qualche trucco in fondo banale e alla portata di chiunque.
Delle 82 clip immesse online, il filtro del portale (basato sul software sviluppato daAudible Magic) ne ha individuate 35: nonostante questo l’account non è stato chiuso. Il filtro di identificazione “è dappertutto”, dice retnirpregnif, scansiona ogni singolo video di cui viene fatto l’upload o che si trovi già online prima della sua installazione: non importa il titolo o la descrizione e bastano in genere pochi minuti perché il sistema scatti inesorabile e scandagli l’audio delle clip.
Content ID di YouTube è poi “flessibile”: nei test di amplificazione il brano è stato individuato anche con un livello di rumore del 45% (comunque non oltre). Inascoltabile per l’utente ma non per il filtro che riesce persino a “resistere” a un cambiamento di tono e tempo sino al 5% rispetto ai valori originali. Si tratta insomma di un sistema molto sofisticato, che tra i pochi punti deboli ha il fatto di risultare inefficace nel caso in cui i primi 30 secondi della clip siano puro silenzio: a quel punto il resto del brano non viene analizzato e il filtro darebbe per scontato che non ci sia niente di significativo da segnalare o taggare come non autorizzato. “Non so se tutti i sample nel database di contenuti sono affetti da simili debolezze – dice retnirpregnif – ma sicuramente si tratta di qualcosa che merita un ulteriore approfondimento”.

di  Alfonso Maruccia tratto da PuntoInformatico

People who looked at this item also looked at…

Related items

CYBERSICUREZZA: Reding (UE), serve un ‘Mister Anti-Pirateria’

L’Unione europea dovrebbe nominare un ”Mr antipirateria” per difendersi dagli attacchi degli hacker su Internet. Lo propone il commissari Ue alla Societa’ dell’Informazione, Viviane Reding, in un messaggio pubblicato sul suo sito Web in occasione della Conferenza ministeriale sulla cybersicurezza, in corso a Tallin.
”L’Europa ha bisogno di un ‘Mr cyber-sicurezza’ che abbia l’autorita’ di agire immediatamente in caso di attacchi di pirati informatici e che sviluppi piani di sicurezza per rafforzare le difese contro gli hacker – sostiene Reding -.
Continuero’ a lottare affinche’ questo incarico venga istituito al piu’ presto possibile”.
Il commissario ricorda anche che ”un’interruzione di un mese di internet in Europa o negli Usa costerebbe perdite economiche di almeno 150 miliardi di euro”. La Commissione europea ha stimato una probabilita’ dal 10% al 20% di un attacco informatico contro le reti internet della Ue nei prossimi dieci anni.
”Fino ad ora i 27 Stati membri sono stati piuttosto negligenti sul tema della sicurezza informatica – conclude il commissario -. L’Agenzia per la sicurezza della rete e delle informazioni (Enisa), ad esempio, rappresenta solo una piattaforma per lo scambio di informazioni e non il quartier generale europeo di difesa contro gli attacchi cibernetici come invece dovrebbe essere”
di red/sam/rob

Nota Personale: invece di rendere più sicure le piattaforme dove lavorano prendono una nicchia di persone e le usano come capo espiatorio. E’ come se lasci la porta di casa spalancata e poi ti lamenti che ti sono venuti a rubare. Lo stesso con i siti web: non basta montare un CMS e poi tutto finito, bisogna impegnarsi per tenerlo aggiornato e tappare quante più falle si può. Comunque a ognuno la sua riflessione….

People who looked at this item also looked at…

Related items

Open Source Success Story Nagios

Moving IT management to a new paradigm
“In 1999 I thought I’d be absolutely thrilled if 20 or so individuals or organizations used it”, Nagios founder Ethan Galstad
Wednesday, April 29th, 9.00 AM
TIS innovation park, via Siemens 19, 39100 Bolzano/Italy
Nagios is an open source platform that provides the ability to monitor proactively hosts and services for various types of information. Since Nagios’ humble inception in 1999, the Nagios Community has grown to thousands of downloads worldwide, spanning every conceivable industry and business dimensions and making Nagios at present without doubt to one of the most successful open source projects with more than 250.000 users worldwide. Not by case it has been voted Monitoring Application of the Year for 2008 by LinuxQuestions.org members. the second time in a row that Nagios has received this award.
All the more pleasant is the fact that we could win Nagios founder Ethan Galstad and a additional big range of top-class speakers on this topic. They will elucidate in detail the track record and operational area of Nagios.
Speakers will include:
Ethan Galstad, Nagios Founder (USA)
Wojciech Kocjan, IBM Corp. (USA/PL)
Julian Hein, CEO NETWAYS GmbH (GER)
Claudio Pieri, Vice President Information Systems Lotto Sport Italia S.p.A. (I)
Giovanni Belluzzo, IT Manager InfoCert S.p.A. (I)

>> The detailed program: http://www.wuerth-phoenix.com/en/company/event/the-agenda/

Profit of this unique opportunity in order to gather, compare and discuss actual trends, projects and application examples in the open source environment. The event applies to interested decision makers and IT managers, as well as to system administrators and software developers.
The number of participants is limited, please make sure to register on time.

Fonte e Maggiori info a: http://www.wuerth-phoenix.com/en/company/event/nagios-event/

Related items

Obama nomina un CIO open

Dopo aver presentato ufficialmente la sua squadra di esperti che compone il new media team, il Presidente statunitense Barack Obama rilancia il suo progetto di open government nominando Vivek Kundra, ex CTO del District of Columbia, come nuovo Chief Information Officer. Il nuovo incaricato si presenta al web proclamando i suoi progetti, figli dell’evoluzione tanto voluta dal neoeletto Presidente, spaziando tra open source, rapporti di trasparenza con i cittadini e tecnologie già adottate dal mercato consumer.
Kundra avrà a disposizione un budget annuale pari a 71 miliardi di dollari per rimodulare i vari standard informatici dell’amministrazione governativa. Tra i vari progetti, l’intenzione del nuovo CIO sembra essere orientata verso l’eliminazione di quella bolla tecnologica cui è sino ad ora stata soggetta l’amministrazione statunitense, abbracciando tecnologie già in commercio, open source, e cloud computing: “non c’è bisogno di assoldare consulenti per costruire una nuova infrastruttura” ha dichiarato. “Quello che vogliamo è far leva su quello che già c’è anche per quanto riguarda i sistemi informatici governativi. Come ho avuto modo di notare, in un Internet cafè si ha molta più potenza informatica rispetto ai sistemi utilizzati negli uffici – continua – tutto questo accade perché il settore dei servizi pubblici crede di essere troppo speciale per adottare tecnologie di uso consumer”.
Il primo passo del suo insediamento sarà costituito dal portale Data.gov, sito che nascerà con lo scopo di archiviare e mettere a disposizione di tutti i cittadini tutti quei documenti che non sono stati classificati come privati o confidenziali e che potranno risultare utili. Il tutto, in nome della trasparenza e di un dialogo diretto con i netizen statunitensi. L’esempio portato dal nuovo CIO è quello di Facebook, la cui vasta comunità sta lentamente muovendosi verso forme di auto-organizzazione. L’esempio più immediato può essere rappresentato dal recente invito fatto da Zuckerberg in persona affinché gli utenti giochino un ruolo fondamentale nella stesura dei nuovi ToS. Il desiderio di Kundra sarebbe un sistema orientato in tal senso, aperto a tutti.
Un’altra delle “innovazioni” a cui si pensa sarebbe una massiccia dose di cloud computing, anche a discapito di chi vede in questo una ghiotta occasione per cracker di tutto il mondo. Secondo Kundra, comunque, tali minacce non dovrebbero impedire all’amministrazione di fruire del vantaggio di usare la potenza e l’efficienza di tali sistemi. Predica prudenza, invece, Stan Sloane, CEO di SRA International, azienda consulente del Governo: “ci troviamo di fronte ad un periodo storico in cui le minacce telematiche perpetrate contro il paese e il Governo stanno crescendo in maniera esponenziale e – ha dichiarato – il desiderio di connettere tra di loro le varie agenzie rendendo più aperta, trasparente ed interoperabile l’amministrazione rende molto più semplice portare a segno i propri piani a tutti coloro che volessero farlo”.
A tal proposito giunge il suggerimento di Bill Vass, presidente di Sun Microsystems Federal, che vede nell’open source non solo un mezzo per poter abbassare in maniera significativa i costi, ma anche un buon investimento per tentare di aumentare la sicurezza telematica. Da non sottovalutare, poi, anche l’apertura a livello di mercato che potrebbe innescare una svolta verso quell’open source che si è rivolto in massa ad Obama stesso chiedendo più visibilità e considerazione: se si farà il binomio Kundra-open source, su cui qualcuno già sembra puntare, le prospettive di mercato future potrebbero essere interessanti.
Tra i primi a sperare nelle promesse di Kundra potrebbero esserci due grandi nomi come Google ed IBM, che con la loro partnership scaturita nella piattaforma Health hanno di certo voluto mandare un chiaro segnale all’amministrazione statunitense sperando di riuscire a dimostrare di avere i numeri giusti per sostenere l’onere di organizzare l’ambizioso piano sanitario voluto dal Presidente.
tratto da PuntoInformatico

People who looked at this item also looked at…

Related items

OpenSUSE rinascerà ogni otto mesi

Seguendo l’esempio di altri progetti open source, anche la comunità di openSUSE ha deciso di adottare un ciclo dei rilasci fisso. Ma a differenza di distribuzioni Linux come Fedora, Mandriva e Ubuntu, che seguono una cadenza di uscita semestrale, gli sviluppatori di openSUSE hanno optato per un ciclo di otto mesi.
“Riteniamo che una ciclicità di 6 mesi non sia sufficiente per mantenere degli elevati standard di qualità”, ha affermato Stephan Kulow, project manager di openSUSE. Qualcuno ha interpretato la dichiarazione di Kulow come una frecciatina alle succitate distribuzioni concorrenti, talvolta criticate di badare più all’immagine esteriore che all’essenza.
Il manager ha peraltro ammesso che un ciclo semestrale è particolarmente allettante perché “devi soltanto scegliere due mesi dell’anno in cui fissare il rilascio, senza le complicazioni a cui costringe invece una periodicità di otto mesi”.Come si evince dai commenti apparsi sul sito di openSUSE.org, una tale periodicità non sembra però piacere a tutti. Taluni ritengono infatti che se otto mesi potrebbero essere ideali per gli utenti business, lo sono molto meno per quelli consumer e, soprattutto, per i possessori di notebook, che, si avverte, “potrebbero essere contrariati dal dover aspettare così a lungo per mettere mano su un kernel con gli ultimi driver”. Per abbreviare i tempi di aggiornamento, qualcuno ha proposto il rilascio di service pack periodici, sullo stile di quelli confezionati da Novell per SUSE Linux Enterprise 10.
Dopo lunga e attenta discussione, il team di sviluppo ha deciso di fissare il rilascio di openSUSE 11.2, nome in codice Fichte, a novembre 2009. Inizialmente era stato preso in considerazione settembre, ma Kulow ha spiegato che un rilascio posticipato di due mesi porta con sé diversi vantaggi, tra i quali la possibilità di includere GNOME 2.28 e alcuni driver di periferica previsti per inizio estate.
Sapendo la data di lancio di Fichte, è ora possibile conoscere le date di uscita di tutte le successive major release di openSUSE: luglio 2010 per la 11.3 (Rousseau), marzo 2011 per la 12.0 (Voltaire) e novembre 2011 per la 12.1 (Lessing). Da notare come tutti i nomi in codice appartengano a grandi filosofi e pensatori del passato.
La versione finale di ogni nuova release verrà messa a disposizione del pubblico il giovedì prima del 15esimo giorno del mese di riferimento, mentre quattro settimane prima verrà rilasciata una release candidate. Ovviamente queste scadenze vanno prese come linee di massima, e potrebbero subire leggere variazioni in base alle esigenze di sviluppo e testing. Tra i propositi della comunità di openSUSE c’è anche quello di stabilire termini temporali più rigidi per l’inserimento di nuove funzionalità provenienti da progetti upstream: l’obiettivo è quello di congelare l’intero codice della distribuzione al termine della fase di beta testing, così da lasciare le release candidate esclusivamente per l’eventuale correzione di gravi bug dell’ultima ora.
Tornando alla prossima release, la 11.2, Kulow ha rivelato che questa si baserà sul kernel 2.6.30 o superiore e conterrà KDE 4.3, il già citato GNOME 2.28, Ext4 (forse come file system predefinito) e un’interfaccia web per il tool di amministrazione YaST. La nuova OpenSUSE fornirà poi un più esteso supporto ai netbook (anche attraverso l’integrazione dei necessari driver), la possibilità di aggiornare il sistema per mezzo di un live CD, e tool con i quali creare immagini personalizzate per le chiavette USB.
tratto da PuntoInformaticokulow

People who looked at this item also looked at…

Related items

Considerazioni su Linux e sull’OpenSource: dagli inizi a oggi (i miei)

Parlo in questo post, dal lato della mia esperienza, sperando che tali parole suscitino una discussione costruttiva.
Fino a 5-6 anni fa, Linux era visto come un sistema operativo ostico per l’utenza casalinga. Oggi questo ostacolo è superato: Linux rapppresenta un sistema operarativo maturo sotto tutti i punti di vista.
Io personalmente, mi introdussi nel mondo di linux, con la Mandrake che allora già aveva un sistema di installazione molto completo e abbastanza facile per l’epoca, o perlomeno, per un ragazzo di 14 anni, abituato a Windows.
Esistevano meno distribuzioni, meno guide, all’epoca le connessioni a banda larga erano davvero poche almeno qui nella mia zona, e soprattutto costavano un boato, quindi bisognava accontentarsi di una lenta 56k. Ergo, le distribuzioni non si scaricavano, ma magari si ottenevano comprando le riviste del settore come Linux & Co. Linux Magazine et simili che tuttavia, anche queste, scarseggiavano presso le edicole. Inoltre internet non pullulava come oggi di guide su installazioni, post installazioni ecc. Insomma bisognava arrangiarsi, avere un minimo di dimestichezza, e tanta voglia di provare, scassare, ricominciare (soprattutto imparai cosa significava non avere una copia di backup dei proprio dati dopo un partizionamento mal riuscito). Per non parlare delle applicazioni allora presenti nelle distribuzioni: molti utenti come me, allora, migravano da sistemi microsoft quindi si trovavano con la maggior parte dei loro documenti e dati, incompatibili con le applicazioni Linux e viceversa.
Col passare del tempo poi vennero le prime distribuzioni, prima fra tutti la Knoppix, che riuscivano in automatico a riconoscere l’hardware del pc, autoconfigurarsi, e avviarsi senza bisogno di installare alcunchè (le cosidette distro LIVE). Questo fino ad arrivare ai giorni nostri ove abbiamo potenti applicazioni OpenSource che riescono a sbaragliare la concorrenza dei programmi proprietari. Esempi pratici sono OpenOffice, che oltre ad essere un suite di programmi d’uso comune d’ufficio, dalla versione 2.4 (siamo alle 3.0 mi pare ora) riesce a a leggere i formati ptoprietari dell’Office (.doc .ppt e simili per intenderci); oppure i fantastici effetti 3d di cui possiamo usufruire installando Compiz & Company (nettamente superiori visti gli scrausi effetti si dissolvenza o prospettiva di VISTA); o ancora, per la grafica, Blender, ormai onnipresente per la costruzione di immagini vettoriali nelle major americane delle produzioni di film; senza dimenticare che a oggi è possibile installare una distro su una penna usb da 256 mb. Insomma Linux ormai possiede tutte le applicazioni per essere un Sistema Operativo alla portata anche degli utenti casalinghi, che come abbiamo visto, non devono essere per forza smanettoni o programmatori come magari, doveva essere necessariamente una volta. Infatti esistono distribuzione, come Ubuntu, che con pochi click si installano e configurano senza particolari conoscenze tecniche. E qui voglio dire la mia. Su molti forum, si leggono, prese in giro per le distro come Ubuntu, che, vengono considerati inferiori perchè troppo semplici e poco configurabili. Io dico solo questo: uno, il mondo dell’OpenSource deve essere aperto a tutti, anche ai meno bravi. Non vuol dire niente saper installare una Gentoo, una Slack, o Una Debian. L’abito non fa il monaco da nessuna parte. Ognuno deve essere libero di poter usare la distro che ritiene alla sua portata. Per portare un esempio terra terra. Una persona come mio padre, che fa l’impiegato, cosa gliene può fregare della compilazione di un kernel??? Niente. A lui basta che funziona un browser, il suo OpenOffice ed è contento come una pasqua. Lui vuole il massimo con il minimo di sforzo. Ed è giusto che sia così. L’informatica perfortuna svaria in molteplici campi, e questo permette a tutti di usare i mezzi che preferisce per ottenere ciò di cui ha bisogno.
Quindi, a oggi, possiamo dire, che, SI Linux rappresenta un sistema maturo in ambito desktop (in quello server lo è sempre stato fin dalla nascita ehehe), sia a livello di documentazione presente, che di applicazioni, sia per quanto riguarda l’installazione (l’unica carenza che accusa forse è il disegno CAD dove si stanno facendo molti sforzi per cercare di risanare questa situazione). In conclusione, penso che Linux oltre a essersi evoluto, è riuscito a far breccia a livello globale nel portare lo spirito di condivisione e collaborazione alla base dell’OpenSource.
Io vedo l’OpenSource come il Futuro!
(saranno graditi commenti, critiche e quest’altro!!!)
di Hamleto

People who looked at this item also looked at…

Related items

Privacy, admin sotto la lente

Il significato del seminario lo ha illustrato al meglio la professoressa Giusella Finocchiaro, ordinaria di diritto di Internet all’Università di Bologna, coordinatrice dell’incontro organizzato lo scorso 27 febbraio all’Università di Bologna: “Il nostro obiettivo era quello di presentare in maniera documentata i provvedimenti più recenti in materia di protezione dei dati personali, approfondendone profili di interesse e possibili criticità in dialogo diretto con l’Autorità”. Ed è per questo che alla giornata, la prima di una serie che approfondirà gli intrecci emergenti tra “Diritto e Innovazione Tecnologica” è stato invitato come relatore direttamente il Dott. Claudio Filippi, Direttore del Dipartimento Libertà Pubblica e Sanità presso l’Autorità Garante.
Filippi ha illustrato prima di tutto le misure assunte in materia di semplificazione degli adempimenti sulla sicurezza dei dati personali. In questo senso, con una serie di provvedimenti successivi (qui, qui e qui), l’Autorità ha inteso semplificare l’applicazione delle norme vigenti in particolare per quei soggetti che “utilizzano solo dati personali non sensibili”. In questo senso, è stata prevista la possibilità per alcuni soggetti di sostituire la tenuta del Documento Programmatico sulla Sicurezza strutturato con documenti di autocertificazione, alcuni obblighi di notifica sono stati soppressi, e sono state altresì semplificate alcune delle procedure in materia di informativa attribuzione del consenso. “Dopo diversi anni di applicazione del Codice” ha detto Filippi “ci si è resi conto che il grado di tutela richiesto dalle varie situazioni è spesso sensibilmente diverso: è difficile raffrontare le esigenze, ad esempio, di una struttura ospedaliera con quelle di un piccolo produttore di manufatti. A fronte di questo, il Garante ha voluto intervenire con alcune misure di semplificazione ed esenzione, tese a parametrare maggiormente il grado di protezione offerta rispetto alle esigenze del caso”.


Ma nel corso dell’incontro si è parlato anche delle prescrizioni introdotte dal Garante in materia di identificazione e tracking comportamentale degli amministratori di sistema. La prima notizia in questo senso è che il provvedimento è stato prorogato e non entrerà in vigore prima del 30 giugno 2009. Per quanto concerne invece il merito del provvedimento, illustrato da Finocchiaro, i punti principali riguardano l’obbligo per il titolare di identificare in maniera ufficiale l’amministratore di sistema – delineandone in modo esplicito le prerogative ed il tipo di professionalità – l’obbligo di effettuare verifiche periodiche sul suo comportamento, nonché di mantenere un registro degli accessi al sistema da parte del SysAd medesimo. Il registro, recita ancora il provvedimento, deve essere mantenuto per sei mesi, e registrato su un supporto che non consenta la sovrascrittura da parte di alcuno.
Spiega Finocchiaro: “L’amministratore è a tutti gli effetti figura coinvolta nell’applicazione della normativa sulla protezione dei dati personali. In questo senso, era assolutamente opportuno che il Garante intervenisse per identificare e responsabilizzare questa figura, prevedendo anche degli strumenti che consentissero di tracciarne gli accessi”. Sollecitata sulle possibili difficoltà applicative che il provvedimento comporta, invece, la docente commenta: “È vero: forse non sarà semplice tradurre in pratica la lettera della norma. Ma non va neppure dimenticato che il provvedimento nasce dopo diversi casi di cronaca famosi, in cui ci sono stati abusi gravi da parte dei system administrator Avendo presente quello scenario possiamo capire meglio perché siamo arrivati qui, e perché era necessario istituire una cornice di riferimento”.
Nel corso della giornata si è parlato anche del recente provvedimento – non ancora approdato in Gazzetta Ufficiale – che prevede l’inasprimento delle sanzioni amministrative in tutti i casi in cui le informative sulla privacy relative alla sicurezza dei dati non vengono presentate, o vengono presentate in maniera incompleta. In queste fattispecie, ha spiegato Filippi, vengono immediatamente applicate multe che vanno dai 20.000 ai 100.000 euro, e questo a prescindere da qualsiasi profilo penale.
di Giovanni Arata tratto da PuntoInformatico

People who looked at this item also looked at…

Related items

Le password non valgono in tribunale

bg_security_ok

Dovrà testimoniare contro sé stesso, dovrà digitare di fronte ai magistrati la password che divide gli investigatori dal contenuto del suo hard disk: il tutto per difendersi dall’accusa di detenzione di materiale pedopornografico.
Sebastien Boucher era stato fermato alla frontiera con il Canada: nel corso di una ordinaria ispezione, gli agenti della dogana si erano imbattuti in archivi dalle etichette sospette. Boucher era stato invitato a mostrare il contenuto di file e cartelle: aveva inserito la password necessaria ad accedere al disco Z, aveva fatto scorrere sotto gli occhi degli agenti una grande mole di ordinario materiale pornografico, aveva spiegato che il materiale pedopornografico non era assolutamente di suo interesse, che era solito rimuoverlo. Ma alcuni file che sembravano ritrarre abusi su minori erano sfuggiti alla cernita di Boucher. I doganieri non avevano voluto sentire ragioni: avevano arrestato l’uomo, avevano spento il laptop, avevano consegnato il dispositivo alle forze dell’ordine per agevolare le indagini. Il materiale contenuto nell’hard disk di Boucher, da quel momento, è rimasto inaccessibile, protetto dagli algoritmi di cifratura PGP.
A Boucher era stato chiesto di snocciolare la password: avrebbe dovuto fornire “tutti i documenti, in formato cartaceo o elettronico” necessari a sciogliere la cifratura. La difesa dell’uomo si era fermamente opposta: chiedere a Boucher di fornire le password avrebbe costituito una violazione del Quinto Emendamento, avrebbe costretto l’imputato ad autoaccusarsi. Il giudice Niedermeier, incaricato di valutare il caso, aveva concordato con la difesa: la password, conveniva il magistrato, non solo non costituisce una prova di innocenza o di colpevolezza, ma potrebbe aprire la strada a ulteriori accuse.
Inoltre, aveva spiegato il giudice, chiedere a un imputato di rivelare una password sarebbe equivalso ad insinuarsi nei suoi pensieri: pensieri e stralci di vita che risiedono non solo nella mente dell’accusato, ma anche sul proprio computer, considerato un’estensione della mente del suo proprietario. Il magistrato aveva così stabilito che sarebbero dovute essere le forze dell’ordine a doversi occupare di rintracciare le prove che potessero inchiodare Boucher.
Ora, il cambio di fronte del tribunale di appello. Il giudice William Sessions ha stabilito che Boucher dovrà “fornire una versione decifrata del drive Z visto dagli agenti di frontiera”. Boucher non dovrebbe rivelare la password ma limitarsi ad digitarla sul proprio laptop, prima di consegnarlo nelle mani degli agenti: senza testimonianza, non si innescherebbero dunque le tutele previste dal Quinto Emendamento.
Non è dato sapere se Boucher sceglierà di digitare la password o se si opporrà alla richiesta del tribunale. Il caso di Boucher non è l’unico in cui le autorità tentano di scardinare il confine tra vita digitale e la quotidianità analogica, separate da una chiave di cifratura: in Georgia e Utah i netizen condannati per reati sessuali devono fornire username e password per permettere alle autorità di monitorarli, nel Regno Unito non rivelare una password costa il carcere.
di Gaia Bottà tratto da PuntoInformatico

People who looked at this item also looked at…

Related items

Cracker, per soldi o per passione

Il cybercrimine sarà anche un business da grandi numeri, ma la maggioranza degli attacchi identificati nel 2008 continuano a nascere da istanze che nulla hanno a che fare con il denaro, con il lucro, e più in generale con motivazioni finanziarie. Questo almeno stando all’ultima edizione dello studio Web Hacking Incidents Database Annual Report, che lavora con un campione selezionato di incidenti e prova a ricavarne fuori le tendenze del cracking nella Internet odierna.
Tra le centinaia di migliaia di attacchi dell’anno scorso, infatti, lo studio ha preso in esame 57 casi riportati dai media associati ad applicazioni web vulnerabili e con un impatto concreto sull’organizzazione colpita. Tra i risultati più interessanti della ricerca c’è senz’altro che il 24 per cento di questi attacchi ha come obiettivo principale quello del defacement puro e semplice delle pagine web, senza alcuna motivazione economica alle spalle.
“Mentre il ricavo finanziario è certamente una grande spinta per l’hacking web, quello di matrice ideologica non può essere ignorato”, dice lo studio, che analizza questi casi per cercare di evidenziare il possibile impatto del cracking sul business al di là dei semplici “incidenti” tecnici. Le motivazioni del defacement ideologico “sono di natura politica”, continua la ricerca, prendendo di mira partiti, organizzazioni o governi e con un messaggio specifico per ogni “campagna”. Assieme alla politica ci sono poi le rivendicazioni culturali, e in questa definizione lo studio ci mette anche le campagne di hacker di fede islamica che si scagliano contro i siti web “infedeli”.
Dopo l’ideologia, a ogni modo, la seconda finalità più ricorrente (19 per cento) torna a essere parte del cybercrimine vero e proprio, consistendo nel “banale” furto di informazioni sensibili da usare per scopi riprovevoli. A ruota seguono poi l’installazione di malware (16 per cento) e l’induzione di danni monetari (nel 13 per cento dei casi).
Tra le tecniche in assoluto preferite (un caso su tre) da hacker e cracker ci sono gli attacchi di SQL injection, sfruttati per ottenere il controllo dei database o iniettare codice malevolo sul server. Il problema dell’SQL injection è cresciuto su scala industriale visto che, soprattutto grazie alla disponibilità di tool automatizzati in grado di semplificare il lavoro a script kiddie e cybercriminali assortiti, nel corso del 2008 le vittime sarebbero state 500mila.
di Alfonso Maruccia tratto da PuntoInformatico

People who looked at this item also looked at…

Related items

La forza del VoIP è il P2P

Nei giorni scorsi hanno suscitato un certo scalpore due notizie strettamente correlate. La prima è che la mafia ha (finalmente?) scoperto Skype come strumento di comunicazione sicuro e non intercettabile:

Su Skype il boss è imprendibile

La seconda è che il Ministro dell’Interno Robero Maroni vuole finanziare un team di esperti per trovare un modo di intercettare Skype:

Una task force per intercettare Skype – Maroni: “Troveremo la soluzione”

Questa sua iniziativa è poi stata ripresa dalla Commissione Europea:

L’Europa vuole le chiavi di Skype

Ma, allora, Skype può essere intercettato o no? E se può essere intercettato, allora questo vuol forse dire che la privacy è destinata a soccombere di fronte alla “ragion di stato”?

Le mani dell’FBI sul VoIP
Chiariamo subito che l’Onorevole Roberto Maroni non è né il primo né l’unico ad avere chiesto di rendere intercettabili i sistemi VoIP. In USA, ai tempi di Bush è stata presentata una proposta di legge (più esattamente una delibera di FCC) che prevedeva esattamente la stessa cosa:

Appeals court upholds Net-wiretapping rules
Perspective: FCC schizo on DSL, wiretapping
Feds fund VoIP tapping research

In pratica, si chiedeva a Skype di inserire una backdoor sui propri server (e forse anche sui client) per permettere alla polizia di intercettare le chiamate. Come potete vedere da questi articoli, tuttavia, intercettare i sistemi VoIP si è rivelato tutt’altro che facile, anche con l’aiuto della legge. Skype stessa ha spiegato come stanno le cose all’FBI:

Skype: We can’t comply with police wiretap requests

E, in effetti, in Germania la polizia ha proposto addirittura di sviluppare un trojan di stato (!!) per intercettare Skype, proprio a causa della impossibilità di usare altri mezzi, più affidabili e più tradizionali:

Germania, subito trojan di stato nei computer 
Intercettare Skype è possibile, in Germania

Le ragioni di questa difficoltà sono due:

1) Il traffico Skype è crittografato (RSA + AES, funzionalità non disabilitabile).
2) Il traffico di Skype scorre su una rete P2P che non è sotto il controllo di nessuno, nemmeno di Skype stessa.

A questo punto, possiamo esaminare questi due aspetti e cercare di capire fino dove si possono spingere i governi, le magistrature e le polizie nel loro tentativo di intercettare il traffico VoIP (non solo quello di Skype, come vedremo).

Decrittare il traffico
Decrittare il traffico di Skype con un attacco “a forza bruta” è impossibile. Skype usa due sistemi di cifra noti come RSA e AES (Advanced Encryption Standard, noto anche come Rijndael) che sono notoriamente molto robusti (“military grade”). L’implementazione di questi sistemi fatta da Skype è segreta ma si pensa che sia priva di falle significative (almeno di quelle non intenzionali). Vedi al riguardo:http://en.wikipedia.org/wiki/Skype_security.

Nel corso degli anni sono state scoperte alcune falle nel software di Skype ma fino a questo momento nessuna di queste ha mai permesso di ascoltare abusivamente una conversazione cifrata tra due persone. Si trattava infatti di falle che permettevano di usare il software client di Skype per installare del malware sul PC dell’utente. Questo è un tipo di vulnerabilità decisamente grave ma che comunque non mette a rischio la riservatezza della comunicazione in modo diretto. Le falle note sono già state chiuse o sono in procinto di esserlo.

Un altro tipo di vulnerabilità dei sistemi VoIP è stato denunciato nei mesi scorsi da New Scientist e ripreso da Bruce Schneier:

Compressed web phone calls are easy to bug
Eavesdropping on Encrypted Compressed Voice

Si tratta però di una vulnerabilità minore che affligge solo alcuni sistemi e solo in alcuni casi. Oltrettutto, questo tipo di intercettazione funziona solo se la conversazione avviene in un ambiente poco rumoroso e usando una lingua per la quale esista un dizionario di confronto (in pratica solo l’inglese).

Piuttosto, esiste il fondato sospetto che il software di Skype includa un sistema di intercettazione che Skype stessa può utilizzare a proprio piacimento (vedi sempreWikipedia). Sembra che questo sistema sia stato usato in Cina, su richiesta del governo locale. Non è possibile sapere come stiano realmente le cose a causa del fatto che il software di Skype viene distribuito solo in formato binario (compilato). Per questa ragione, coloro che temono per la propria riservatezza, spesso preferiscono usare sistemi diversi da Skype, possibilmente di tipo Open Source.

In ogni caso, Skype è solo la punta dell’iceberg. Là fuori ci sono già altri sistemi VoIP (vedi: http://it.wikipedia.org/wiki/Confronto_tra_software_di_VoIP). Alcuni di essi forniscono già delle funzionalità crittografiche ed altri lo faranno sicuramente nei prossimi anni. Tra quelli che ricordo, posso citare:

http://www.minisip.org/
http://en.wikipedia.org/wiki/KPhone
http://en.wikipedia.org/wiki/QuteCom (dalla 2.1 in poi)
http://www.sip-communicator.org/index.php (“planned”)

Imporre una backdoor
L’alternativa proposta dall’FBI americana, ripresa in seguito dall’Onorevole Maroni e poi dalla Comunità Europea, consisterebbe nell’imporre ai produttori di software di installare una backdoor segreta nei loro programmi (sui server e/o sui computer usati dagli utenti). Questa strada è chiaramente impraticabile almeno per i seguenti motivi.

1) Sarebbe impossibile imporre il rispetto di questa legge al mondo del software Open Source. Dato che sono disponibili i sorgenti di questi programmi, chiunque potrebbe esaminare il programma, rimuovere la backdoor, compilare il programma ed installarlo. Non c’è alcun modo di impedirlo.
2) Sarebbe impossibile imporre il rispetto di questa legge anche ai produttori di software che operano al di fuori del nostro territorio. Si tenga presente che una software house può facilmente spostare la propria sede sociale in un paese “amico” senza dover spostare nulla che abbia consistenza fisica (molti programmatori lavorano già adesso da casa usando Internet). Lo ha già fatto, per esempio, Napster per sfuggire alla legislazione americana. Skype stessa ha scelto di avere sede in Lussemburgo, dove la legislazione le è più favorevole.
3) I programmi che non rispettano questi limiti di legge diventerebbero rapidamente gli unici ad essere realmente utilizzati dagli utenti. Le aziende che si attengono agli obblighi di legge sarebbero costrette a chiudere.
4) Sarebbe comunque impossibile impedire lo “spaccio” di programmi che non rispettano questa imposizione di legge. Sono dieci anni che tutto l’Occidente tenta di impedire lo spaccio dei file MP3 senza riuscirci. Non c’è motivo di pensare che avrebbe miglior fortuna con il software VoIP “pirata”.

Usare un trojan
Una volta stabilito che non si può installare una backdoor sui programmi “alla fonte”, si potrebbe tentare di installarla “sul campo”, usando un worm od un trojan horse come vettore. Questo è esattamente ciò che avrebbe voluto fare (o che ha realmente fatto) la Polizia tedesca. Si tratta, in pratica, di infettare i computer degli utenti e di installare su di essi, ad insaputa dei proprietari, una pericolosissima backdoor. Anche questa strada, però, è chiaramente impraticabile. Le ragioni sono le seguenti.

1) Molti sistemi sono immuni dalle infezioni. Linux, BSD, MacOS X, OpenSolaris ed altri sistemi operativi sono immuni da virus, worm ed altri tipi di malware. Firefox, Thunderbird, OpenOffice e molti altri programmi applicativi di uso comune sono immuni da virus ed altri tipi di infezione. L’unico modo di propagare una simile infezione in modo affidabile consiste quindi nell’usare il client stesso dell’applicazione VoIP (cioè il programma installabile di Skype ed i suoi concorrenti).
2) Si possono però sempre sviluppare nuovi client che usano le vecchie reti VoIP o sistemi completamente nuovi. In questo modo, un virus che potesse attaccare Skype sarebbe inefficace contro un nuovo client per Skype o contro un sistema del tutto diverso, come Gizmo o OpenWengo.
3) Ci sono sempre gli antivirus. Bisognerebbe quindi convincere i produttori di antivirus ad “ignorare” il trojan di stato e la relativa backdoor. Questo però creerebbe una pericolossima falla di sicurezza per tutto il sistema.
4) Se un malintenzionato riuscisse a prendere il controllo dei PC degli utenti usando la backdoor installata dal trojan di stato, avrebbe accesso incondizionato a tutti i PC del paese (compresi quelli dell’Esercito, della Polizia, del Governo,etc.).

Proibire la crittografia
Qualche senatore americano è persino arrivato a chiedere che venisse proibito l’uso di strumenti crittografici da parte degli utenti privati. Questa strada è però impraticabile almeno per i seguenti motivi.

1) La crittografia è indispensabile per proteggere le applicazioni finanziarie (home banking, online trading, i sistemi di pagamento dei siti di e-commerce, etc.) ed altri tipi di applicazioni critiche (i sistemi esposti al pubblico dal Governo e dai suoi enti, per esempio). Non può essere completamente abolita.
2) Bisognerebbe controllare quello che fanno milioni di utenti con centinaia di programmi diversi in migliaia di applicazioni diverse. Chi dovrebbe farlo? Chi paga? Che succede alla privacy?
3) Scrivere software crittografico e/o applicare uno strato di software crittografico ad un sistema VoIP è ormai una operazione alla portata di moltissimi programmatori. Bisognerebbe controllare anche questi.

Proibire le reti P2P
Inoltre, proibire l’uso della crittografia sarebbe comunque inutile senza proibire l’uso di reti P2P. Questo perchè le reti P2P possono essere indipendenti da Internet e dalle reti telefoniche, come avviene per CuWINFONNetsukuku ed altre. Possono anche essere reti “chiuse” e riservate, cioè Friend-to-Friend (F2F). Le reti P2P possono quindi sottrarsi a qualunque controllo, come ben sanno gli aficionados di eMule. Se non si può avere accesso ad uno dei computer della rete, è impossibile intercettare il traffico.

I governi di quasi tutto il mondo e le associazioni che difendono gli interessi dei detentori dei diritti come RIAA, MPAA stanno portando avanti una guerra spietata alle reti P2P da almeno dieci anni. Nonostante questo, le reti P2P producono tuttora la stragrande maggioranza del traffico su Internet. Non credo che sia necessario dire nient’altro per dimostrare quanto sia impari la lotta tra il P2P e i suoi avversari.

Se nessuno è mai riuscito finora a bloccare il traffico P2P, pur potendo contare su mezzi non indifferenti, come si può pensare che qualcuno ci possa riuscire in futuro?

Rassegnarsi
All’Onorevole Roberto Maroni ed alla Commissione Europea non resta che rassegnarsi: il VoIP cifrato è qui per restare. Skype è solo la punta di un iceberg. Ci sono già altri sistemi VoIP cifrati e molti altri ne arriveranno sul mercato in futuro. Molti di questi saranno impossibili da intercettare ed alcuni lo sono già adesso. Non c’è niente da fare.
Non solo: a fianco dei sistemi VoIP cifrati si stanno diffondendo anche i telefoni cellulari cifranti, come quelli di CasperTech.

In futuro sarà difficilissimo, forse impossibile, intercettare le comunicazioni telefoniche delle persone che sanno di avere qualcosa da nascondere. Sarà così indipendemente dalla quantità e dalla qualità di leggi, di mandati giudiziari, di poliziotti e di dispositivi che si potranno mettere in campo. Sarà necessario trovare altre strade, come le intercettazioni ambientali (vedi: “Introduzione Alle Intercettazioni Telefoniche, Ambientali ed Informatiche”).

Se questo sia un bene od un male, non sta a me dirlo. Quello che vi posso dire è che sarà comunque inevitabile.

di Alessandro Bottoni tratto da PuntoInformatico

People who looked at this item also looked at…

Related items

Return top