www.MegaLab.it

[Mariano Ortu]

Software con la spia dentro - Commenti

In questo nuovo appuntamento analizzeremo le strategie difensive per individuare e neutralizzare i programmi spia e le contromisure adeguate da adottare per proteggere il proprio sistema. [continua...]

[Poldino562]

Salve, inanzitutto complimenti per questa serie di articoli legati al mondo della sicurezza e della crittografia, che ritengo ben scritti e di facile comprensione per un utente medio come me. Volevo solo dare un mio parere anche se detto da una persona che ne capisce poco o niente di questa materia particolarmente complessa quale è la crittografia e la protezione dei dati: in un articolo da lei scritto viene indicato il giusto metodo e criterio per la creazione di una password efficiente e tale da essere resa inviolabile, facendo anche un esempio pratico, e specificando di evitare caratteri doppi, simili, parole dizionario ecc... volevo solo aggiungere, per mia conoscenza, che fra le altre cose potrebbe risultare utile anche l'iinserimento di caratteri speciali quali: ? * # e altri ancora, questo al fine di rendere ancora di più difficile comprensione la password. Viene poi da lei fortemente sconsigliato creare archivi o database di dati protetti da un unica password generale, in quanto se scoperta comprometterebbe l'integrita dei dati nella loro interezza. In merito a ciò ritengo e sono dell'idea che secondo me la maggioranza delle persone usi internet per navigare quà e la fra i vari siti, vedere film in streaming, giocare online, scaricare contenuti di vario tipo ecc, e per tutto questo sarebbe più che sufficiente una protezione composta da firewall, antivurus e antimalware. Penso che proteggere i propri dati su più locazioni ciascuno con una differente password può non sempre risultare utile ed efficace, a seconda anche dei casi e di come l'utente abbia cura delle proprie cose. Potrebbe a volte rivelarsi magari più utile proteggere tutte le proprie password con un password manager (ad esempio keepass che ritengo buono) e definire una key principale di protezione, particolarmente lunga e complessa, ma che sia l'unica da ricordare e, soprattutto, che dia accesso a tutte le altre. Infine c'è da dire che l'utente medio oggi non necessità di misure di protezione più elevate da quelle descritte, questo perché per compiere un attacco ad un sistema sono davvero poche le persone in grado di riuscirci, oltretutto bisognerebbe avere la giusta conoscenza del sistema che si vuole violare, ma, più di ogni altra cosa, bisognerebbe conoscere l'utente che utilizza e che è amministratore del computer che si vuole attaccare. Tutto questo per dire che oggi per proteggere il proprio pc da attacchi e intromissioni non occorre per forza diventare paranoici, ma basterebbe prendere tutte le contromisure necessarie per una giusta protezione. Questa regole chiaramente valgono per la stragrande maggioranza di persone che usa il pc e intenet per le cose già dette, non certo per aziende, banche o altre strutture che necessitano di configurazioni avanzate. Saluti

[Mariano Ortu]

Salve,
la ringrazio tantissimo per aver letto l’articolo e aderire al dibattito con delle considerazioni davvero degne di nota. Sono d’accordo con lei in merito all’arricchimento di una password con caratteri speciali, ed è comunque sottinteso in ciò da me asserito negli articoli del Corso. Chiaramente la parola d’ordine dovrà essere adeguata alla sensibilità dei dati ed alla capacità di acquisizione mnemonica se vogliamo evitare altre misure precauzionali.

Per quanto riguarda la protezione degli archivi, senza nulla togliere a quello da lei menzionato, che ritengo essere un ottimo programma, ho consigliato Sicurpas poiché l’ho progettato con il mio collega Pierluigi Ortu e credo, umilmente, non abbia niente a che invidiare da nessun altro software della medesima tipologia: l’esempio di suddivisione degli archivi può essere realizzato con Sicurpas, inglobando le password in più schede ognuna tutelata dalla propria master key. Inoltre, la strategia suggerita verte sul fatto che l’utente debba essere in grado di quantificare il livello di sensibilità dei propri dati.

E’ chiaro che, come lei afferma, se si posseggono poche password impegnate per un’attività ludica all’interno della rete non serve schermare il proprio computer, è sufficiente un solo archivio. Il discorso cambia se i dati da preservare costituiscono un obbiettivo sensibile, chi ha studiato crittografia sa bene cosa significhi che la sicurezza di un sistema equivale alla sicurezza del suo anello più debole, pertanto, in un sistema crittografico che può essere assaltato esclusivamente nel tentativo di carpire la password, è assolutamente necessaria la strategia che ho descritto.

Per quanto riguarda la tutela dei dati rivolta ad utenti normali oppure aziende, il corso che ho preparato è dedicato appunto alla gente comune, affinchè, gradualmente, venga introdotta nel mondo della crittografia. Presumo lei abbia notato che uno dei principali intenti è quello di conferire al lettore la capacità ad analizzare i propri archivi, a selezionare degli algoritmi, a pianificare una strategia difensiva non più in modo superficiale, ma attenendosi a delle precise regole subordinate ad un ragionamento di tipo scientifico. D’altronde, in quella stragrande maggioranza da lei citata, prima o poi qualche individuo si evolverà e quindi avverrà il passaggio dalle attività ludiche alla custodia di dati sensibili, il compito del corso è prepararli a questo, in modo tale che possano successivamente affrontare lo stato di paranoia da lei citato e che sopravviene quando dalla custodia dei dati dipende il futuro e delle volte la vita di altre persone.

La ringrazio ancora per le sue osservazioni e. Sono disponibilissimo ad ulteriori approfondimenti. La saluto dalla terra dei nuraghi!

[sergente]

Salve, seguo il suo corso con molto interesse e mi trovo benissimo con gli esempi da Lei descritti.
Utilizzo Sicurpas per proteggere i dati con password create da Blizzard con caratteri speciali ed ascii sia per loggarmi in siti e forum e per cifratura file. Un password manager che consiglio a tutti, utenti medi o di alto livello. Devo dissentire in parte dal post di Poldino562, senza polemiche, devo rimarcare che la paranoia è necessaria se si ha cura dei propri dati. Proteggere i propri archivi con password diverse è un'ottima soluzione, una per tutte e tutte per una, è un grave errore, persa la password principale o dimenticata porta alla disperazione. La stragrande maggioranza si evolverà forse, ma quando? Grazie.

[Mariano Ortu]

Salve Sergente,
la ringrazio tantissimo per avere letto l’articolo, l’interesse verso il Corso e naturalmente per utilizzare il nostro tool di sicurezza made in Sardegna.

Vorrei risponderle in base alla paranoia ed all’evoluzione dell’utente. Il grado di paranoia per gente come il sottoscritto che s’interessa della progettazione di sistemi e programmi di sicurezza è piuttosto elevato, infatti per lavorare in questo campo occorre essere ingegnosi al pari degli antagonisti, pensare come i malintenzionati per riuscire ad individuare i punti deboli del proprio lavoro, e mi creda, tutto ciò influenza anche la restante parte della propria esistenza. Quando si pensa al modo migliore per attaccare un sistema si applica metodo e mentalità ad ogni altra cosa. E’ una regola alla quale nessuno di noi è mai sfuggito.

Si avverte un gran bisogno di ingannare le persone che ci stanno attorno e come queste, a loro volta, possono ingannarci, in un valzer di sensazioni che porta ad essere un paranoico di professione. Talvolta riusciamo anche a discernere paranoia professionale da quella della vita reale, giusto per non cadere preda della pazzia in una continua lotta volta preservare il ben d’intelletto. La paranoia è uno strumento di grande utilità per chi progetta sistemi e programmi di sicurezza, infatti diviene un modello sul quale misurare la sopravvivenza del proprio lavoro nel mondo reale.

Quando progettammo Sicurpas AKL Algorithm da opporre ai vari keylogger presenti in rete la paranoia è divenuta pietra di paragone per capire sino a che punto il sistema potesse difendere il digitato, allora succede che si dorme tre ore per notte più che altro dovute allo sfinimento, il cervello si riempie di buchi neri che vanno riempiti con dosi massicce di calcoli matematici e ci si rammenta che il corpo umano deve nutrirsi, almeno una volta al giorno. Sono periodi nei quali s’intravedono spie e nemici ad ogni piè sospinto e quindi non si hanno contatti se non col gruppo di lavoro. E per scambiarsi esclusivamente lo stretto necessario relativo al progetto.

Per quanto riguarda l’evoluzione dell’utente medio tutto è legato alle competenze e capacità che man mano caratterizzeranno il percorso didattico prima e professionale in seguito. Ho visto tanta gente immersa in attività ludiche di nessuna importanza per poi approdare in quel limbo dove la responsabilità delle proprie azioni è legata alla sensibilità dei dati: ecco, è questa l’anticamera della paranoia. E nessuno pensi che i paranoici non esistono e che non sono già vicini al vostro computer, dipende da cosa custodite!
La ringrazio ancora per il suo intervento.

Un caro saluto dalla terra dei nuraghi!

[Aqualung]

A mio modesto avviso chi deve proteggere dati davvero sensibili , non certo le password di accesso come utente ad un forum ( o simili), si affida in genere a professionisti della sicurezza informatica, o come minimo ad amministratori di sistema e o di reti che almeno in teoria dovrebbero essere il miglior sbarramento contro intrusioni/violazioni di qualsiasi tipo in sistemi che necessitano di tale impermeabilità da valere la spesa non indifferente di un professionista del ramo
Detto questo l'utente "normale" che usa il pc per diletto e passione o anche per lavoro credo che molto difficilmente possa attirare l'attenzione di pirati informatici male intenzionati.. Nella mia ignoranza della materia mi pare di capire che comunque serva tempo e dedizione anche solo per capire come violare un determinato terminale (forse più che per attuare la volazione vera proria) e questi "personaggi" tendono ad agire per interesse, non certo per dimostrare qualcosa a qualcuno, come facevano o fanno gli hacker degni di tale "blasone onorifico"
(tale lo ritengo nella eccezione vera del termine tanta è l'ammirazione che nutro per costoro)
Penso quindi, ma è solo una modesta opinione personale, che l'utente medio che usa un minimo di prudenza, debba al limite preoccuparsi di infezioni virali da web o da email e di avere un firewall a protezione della rete...
Criptare dati e proteggere password con altre password complesse comporta poi doversele ricordare quelle password complesse o doversele segnare da qualche parte, e questo sposta solo il rischio su un altro fronte....
per esempio: mi fregano il il portafoglio dove tengo il biglietto con una password che non ricorderi tanto è complessa..nel portafoglio ho anche un documento... il gioco è quasi fatto..
è un estermismo , me ne rendo conto ma spero di aver eso l'idea..
Tutto questo ben inteso...IMHO!!

[sergente]

Affidare ai professionisti della sicurezza i propri dati è quantomeno bizzarro. Gli hacker che menzioni, hanno dimostrato attacchi a server, rubando indirizzi mail e dati affidati a dei professionisti che si qualificano come tali. La realtà e ben diversa. Criptare dati con password complesse non significa tenersili in tasca, il software che utilizzo per la sicurezza dei medesimi mi tutela oltre ogni aspettativa,
ed il rischio non viene spostato su altro fronte, ma tenuto ben celato in cassaforte. L'utente medio dovrebbe fare un salto di qualità in avanti se vuole proteggersi, in caso contrario i rischi sono enormi!

[Aqualung]

Ogni testa è un piccolo mondo..
Esistono anche professionisti seri e validi
Inoltre usare il termine "hacker" per indicare certi peronaggi è quantomeno appropriato. un "hacker" fa ben altro che rubare dati, viola sistemi per dimostrare che sono vulnerabili (detta in soldoni)
Magari chiamali cracker lamer ecc.... ecc... che sono altra cosa
Fine OT

[Aqualung]

Cooreego ..volevo direquantomeno inappropriato..