www.MegaLab.it

[7soldatini]

Stremato dalle interminabili attivita` "guardinghe", cui ci costringe la giungla dell'internet, e cio' nonostante, mai davvero al sicuro, sto' cercando soluzioni vere e non le solite "pezze" che l'industria ci propone continuamente e che sempre si rivelano immancabilmente grossolane e poco utili, dopo averci fatto perdere tanto tempo..
Ad esempio, circa l'installazione del software: perche' accanto ad un qualsiasi download non c'e` quasi mai la cosidetta impronta digitale (o hash, o checksum)?; cosa gli costerebbe creare un checksum al programmatore?
Secondo voi il checksum non migliorerebbe la sicurezza?
Quali sarebbero i pro e i contro?
Grazie anticipate per le Vs risposte.

[ste_95]

perche' accanto ad un qualsiasi download non c'e` quasi mai la cosidetta impronta digitale (o hash, o checksum)?; cosa gli costerebbe creare un checksum al programmatore?
Secondo voi il checksum non migliorerebbe la sicurezza?
Quali sarebbero i pro e i contro?

Intanto ricordo subito che creare hash di qualunque genere di un file dalle grosse dimensioni richiede minuti per non dire ore. E comunque a parte qualche software (eMule per esempio), non mi sembra girino così tanti fake in giro, non credi?

[Matilda12]

Secondo me hai fatto una valida osservazione.
Tanto è vero che, quando scarico le ISO di qualche live-cd, presto attenzione al fatto che abbiano messo o meno l'impronta digitale (che, peraltro, è ottenibile, a mio giudizio, in tempi accettabili). Tutto ciò, sia per una corrispondenza tra quanto dichiarato, sia per valutare eventuali corruzioni nel download.
Mi permetto di aggiungere che l'optimum sarebbe quello di mettere tutti file compressi per il download.
Chiarisco il perché di questa mia affermazione.
Quando prendo un file eseguibile (tipo "pincopallo.exe"), fintanto che non lo mando in esecuzione, non saprò mai se si è corrotto per qualche motivo oppure se è pienamente funzionante. Diversamente, scaricando file compressi, con un qualunque programma di compressione, posso fare il test e, anche se ho prelevato software per alti SS.OO., accertare l'integrità di quanto preso.
Per tanto tempo ho cercato un "verificatore di file eseguibili", senza successo ...

A margine: in alcuni casi, comunque, mi sono trovato di fronte a file che, una volta scaricati, non avevano l'hash dichiarata nella pagina di download. Eppure erano perfettamente funzionanti e privi di infezioni ... forse la strada migliore, sarebbe quella di accoppiare: file compresso e hash.


Matilda12

[7soldatini]

Scusate se riscontro con un bel po' di ritardo (troppo lavoro).
A Matilda12: grazie per la solidarieta` ; condivido che un file da scaricare debba essere compresso.

hai anche scritto:
scaricando file compressi, con un qualunque programma di compressione, posso fare il test e, anche se ho prelevato software per alti SS.OO., accertare l'integrità di quanto preso.

scusa l'ignoranza ma: in cosa consiste il test di cui parli? a che tipo di integrita` ti riferisci?

ste_95 ha scritto:
creare hash di qualunque genere di un file dalle grosse dimensioni richiede minuti per non dire ore

...il software pero' ha sempre dimensioni contenute e per avere un checksum non ci vogliono ore, ne' minuti ma solo qualche secondo. Ad es. con il mio striminzito piv , in ambiente cygwin su win-xp, eccoti un esempio:

$
$ ls -l ooo-sdk_2.2.0_win32intel_install.exe j2sdk-1_4_2_15-windows-i586-p.exe
zasuite_setup_it.exe
-rwx------ 1 rod Nessuno 51337077 Jan 23 2008 j2sdk-1_4_2_15-windows-i586-p.exe
*
-rwx------ 1 rod Nessuno 38295464 Jan 23 2008 ooo-sdk_2.2.0_win32intel_install.
exe*
-rwx------ 1 rod Nessuno 62806408 Mar 3 2009 zasuite_setup_it.exe*
$
$ time md5sum ooo-sdk_2.2.0_win32intel_install.exe j2sdk-1_4_2_15-windows-i586
-p.exe zasuite_setup_it.exe
894f6623504246879802c48c2666659a *ooo-sdk_2.2.0_win32intel_install.exe
d2c5d6468ba9a4cd877796e1db507dc2 *j2sdk-1_4_2_15-windows-i586-p.exe
134e00567d8e72c2931a4d8fd9a786a9 *zasuite_setup_it.exe

real 0m0.876s
user 0m0.624s
sys 0m0.202s
$

Come vedi, meno di un secondo (in amb. Linux forse ancora meno), per tre pacchetti presi a caso ma non piccoli...
Sui fake: sono piuttosto ignorante al riguardo (... e l'ignoranza fa aumentare i sospetti), ma: quando si scarica un file, questo puo' pervenire alterato perche' alcuni "pacchetti" possono essere sostituiti sui server intermedi.
Daltra parte bastano pochi file truccati in un package perfettamente funzionante per bucare un sistema.
Salve a tutti (non datemi del paranoico)

[Bloox]

Credo che l' argomento stia sforando in discorsi compleetamente diversi.

Il checksum di cui parla in questo caso si riferisce ai software che scarichiamo.

Una volta compilato il programma, avra un suo cecksum e ogni programmatore che si rispetti allega nella descrizione del file o nel pacchetto di download, le informazioni riguardanti il checksum del file (di solito in ambiente software viene chiamado DIGEST), per poter garantire che i dati scaricati siano corretti e per garantirne l'autenticità.

Il checksum e' univoco ed e' possibile confrontarlo utilizzando degli appositi programmi che vi danno il checksum di un programma, cosi che potete confrontare se corrisponde al checksum originale fornitovi dall' autore.

Questo serve per garantire che il file sia quello originale del produttore. Se io ad esempio decido di prendere un programam e inserirci dentro un virus, un trojan o altro, sicuramente il checksum risultera' alterato, diverso da quello del produttore.

ES di fantasia ma esplicativo: Downloadmanager originale - checksum 123abc
Downloadmanager da me infettato - checksum 123bbc

Quindi se avessi controllato con un checksum checker, avrei subito visto che sicuramente non e' il file originale e che e' stato alterato.

[7soldatini]

A Bloox, che ha detto:

Credo che l' argomento stia sforando in discorsi compleetamente diversi.
Il checksum di cui parla in questo caso si riferisce ai software che scarichiamo.

rispondo: e` soltanto di questo che io volevo parlare: del checksum del pacchetto da scaricare.
O, per dirla in altri termini, della responsabilita` del produttore del software di "firmare" cio' che
consente di scaricare (gratis o a pagamento, anche se il caso riguarda molto di piu' il software gratis).
Del resto e` solo col checksum notificato dal produttore che io posso (fidandomi del produttore stesso e fino a prova contraria), controllare l'integrita`.
Per fare un esempio concreto --e scusatemi se scado nello scontato--, dopo che ho scaricato Mozilla Sunbird (e sottolineo che Mozilla non e` proprio una software house sconosciuta), non so se il pacchetto che ho appena scaricato e` conforme all'originale, perche' Mozilla non fornisce il checksum o qualsiasi altro mezzo atto a verificare cio'.
Correggetemi se sbaglio.
Saluti

[Bloox]

A Bloox, che ha detto:

Credo che l' argomento stia sforando in discorsi compleetamente diversi.
Il checksum di cui parla in questo caso si riferisce ai software che scarichiamo.

rispondo: e` soltanto di questo che io volevo parlare: del checksum del pacchetto da scaricare.
O, per dirla in altri termini, della responsabilita` del produttore del software di "firmare" cio' che
consente di scaricare (gratis o a pagamento, anche se il caso riguarda molto di piu' il software gratis).
Del resto e` solo col checksum notificato dal produttore che io posso (fidandomi del produttore stesso e fino a prova contraria), controllare l'integrita`.
Per fare un esempio concreto --e scusatemi se scado nello scontato--, dopo che ho scaricato Mozilla Sunbird (e sottolineo che Mozilla non e` proprio una software house sconosciuta), non so se il pacchetto che ho appena scaricato e` conforme all'originale, perche' Mozilla non fornisce il checksum o qualsiasi altro mezzo atto a verificare cio'.
Correggetemi se sbaglio.
Saluti

Non sabgli, ma si presuppone che se scarichi il programma dal sito originale non hai bisogno di controllare il checksum, pero' considerando che in rete ci sono tantissimi siti mirror sarebbe si opportuno publicarne il checksum

[7soldatini]

a Bloox che ha scritto:

...
si presuppone che se scarichi il programma dal sito originale non hai bisogno di controllare il checksum
...

dico:
mai sentito parlare di di sostituzione di pacchetti TCP ?
Tu scarichi un package e ti ritrovi, non qualcosa di completamente diverso ma un software funzionante che pero' ha qualche file "difforme"...
Ripeto: se non conosco il checksum del pacchetto da scaricare, non avro' la certezza di avere installato il software di partenza.
Al produttore del software, che in fede sa di rilasciare un prodotto non truccato (si badi non dico che non debba essere baggato, solo non truccato scientemente), non costerebbe nulla affiancare al package da scaricare il checksum, ma troppo pochi lo fanno.
Perche?

Aggiungo: bisogna anche fidarsi del produttore del software e la fiducia non puo' essere accordata semplicemente perche' la software house e` importante e famosa... ma questo e` un altro problema.

[Bloox]

lol tu stai parlando di attacchi tcp hijacking e arp poisoning che oltre ad essere una tecnica risalente al 1995 e' ormai pressocche' inutilizzabile tranne su alcuni server completamente non protetti e vecchi. E un attacco a siti che ospitano milioni di download sarebbe facilmente rilevato entro brevissimo con un routing. In ogni caso il punto e' sempre lo stesso sono come te a favore della publicazione del checksum.

[Matilda12]

Ragazze/i (per non fare torto ad eventuali rappresentanti del gentil sesso! ... so' ruffiano!), ho fatto un po' di stagliuzzamenti, abbiate pazienza. Confido comunque nella armonia "filologica" del discorso (ma che ho detto? ).

... A Matilda12: grazie per la solidarieta`

... hai anche scritto:

... scaricando file compressi, con un qualunque programma di compressione, posso fare il test e, anche se ho prelevato software per alti SS.OO., accertare l'integrità di quanto preso.

scusa l'ignoranza ma: in cosa consiste il test di cui parli? a che tipo di integrita` ti riferisci?

Ma ci mancherebbe! Domandare è lecito ... spero che la risposta sia altrettanto all'altezza.
Praticamente, quando un file viene compresso, il software di compressione gli prende una sorta di impronta digitale, che accompagnerà il file. Questa impronta è rilevata secondo una funzione di hash, chiamata CRC (QUI su Wikipedia).
Se l'impronta che accompagna il file (una specie di stringa alfanumerica) non è la stessa rilevata con la funzione di test (o verifica o controllo ... dipende dal programma di compressione impiegato) del tuo software, allora viene segnalata una "corruzione della integrità" del file.

Ed ancora ...

... Quindi se avessi controllato con un checksum checker, avrei subito visto che sicuramente non e' il file originale e che e' stato alterato.

... Non sbagli, ma si presuppone che se scarichi il programma dal sito originale non hai bisogno di controllare il checksum, pero' considerando che in rete ci sono tantissimi siti mirror sarebbe si opportuno publicarne il checksum

Magari si è corrotto durante il download ... sinceramente è questo ciò che mi "preoccupa" di più.

... quando scarico le ISO di qualche live-cd, presto attenzione al fatto che abbiano messo o meno l'impronta digitale (che, peraltro, è ottenibile, a mio giudizio, in tempi accettabili). Tutto ciò, sia per una corrispondenza tra quanto dichiarato, sia per valutare eventuali corruzioni nel download. ...

... Del resto e` solo col checksum notificato dal produttore che io posso (fidandomi del produttore stesso e fino a prova contraria), controllare l'integrita`. ...

Ripeto (cito me stesso ... è grave? )

...
A margine: in alcuni casi, comunque, mi sono trovato di fronte a file che, una volta scaricati, non avevano l'hash dichiarata nella pagina di download. Eppure erano perfettamente funzionanti e privi di infezioni ... forse la strada migliore, sarebbe quella di accoppiare: file compresso e hash. ...

Ultimissima ... mi sono incuriosito sentendo menzionare il "digest". Grande Bloox!
In effetti, credo che avendo parlato di "hash" come della "impronta digitale" del file, io sia stato sempre impreciso.
Nonostante l'ora (oggi sono cotto e stanchissimo ... quindi perdonate le confusioni di sopra), ho riesumato un vecchissimo testo sulla crittografia: "An introduction to cryptography".
Riassumendo, anche per ripetere a me stesso:
1) si parte dal "plaintext" (testo "semplice", a lunghezza variabile);
2) viene fatto macinare il plaintext con una apposita funzione, chiamata "hash function" (funzione di hash);
3) l'estratto univoco della funzione di hash è individuato quale "message digest" (questa sì, impronta a lunghezza fissa).

Ho fatto tutta questa pappardella, poi ho trovato su Wikipedia QUESTO.
Dove, in breve, si afferma che:
"Nel linguaggio scientifico, l'hash è una funzione operante in un solo senso (ossia, che non può essere invertita [Matilda12's note: one-way function ... stasera sono completamento impazzito!]), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash, checksum crittografico o message digest." [fonte Wikipedia - L'enciclopedia libera]


Vado a dormire ... spero di non averne dette troppe pure stasera!

Matilda12

---EDIT---
Un attacco "man in the middle" credo possa, in itinere, alterare il pacchetto. No? ... non ho più la forza di andare a leggere per verificare!

[Bloox]

Lol ragazzi non fate confusione, Tu ti riferisci proprio a quello che ho menzionato io prima

Arp Poisoning e' proprio la tecnica che consente un attacco man in the middle.

MAN IN THE MIDDLE ( uomo nel mezzo )

Questa e' una tecnica risalente a moooooolti anni fa ma che ancora oggi viene usata per manipolare e sostituire alcuni pacchetti, alterandoli ma viene usata semplicemente per intercettare alcuni dati sensibili percheè in alcuni host i protocolli non vengono cryptati viaggiando scoperti come le password di accesso.
Non ha niente a che vedere quindi con un download di alcun file da parte vostra e di conseguenza col checksum.

Per quanto riguarda i download corrotti, succede semplicemente quando le tue richieste sono eccessive e la risposta da parte del server e' intermittente o per altri svariati fattori, come quando utilizzi un download manager che segmenta in piccoli pezzetti un file per poi ricompattarlo una volta scaricato, e se le richieste del download manager sono eccessive rispetto al limite prestabilito dall' host ecco che si avra' un download corrotto, in quanto alcuni segmenti sono andati perduti durante il trasferimento.

Oddio ho malditesta adesso

[Matilda12]

... Oddio ho malditesta adesso

Pure io!!! ... vista l'ora?!
Comunque, rileggendo il titolo del thread, mi sa che nel fiume della nostra discussione, in qualche area golenale, abbiamo tracimato!
Io per primo.
Se qualcuno avesse la malaugurata idea di chiedermi, come fare per trovare software sicuro da installare (tanto per "riprendere" un po'), mi sentirei di dare questi brevi suggerimenti.
1) Individua un paio di siti che offrono programmi "attendibili" (e, già qui, ritorniamo sul soggettivo ed imponderabile ... comunque!);
2) transita principalmente attraverso questi siti per scaricare nuovi programmi o nuove release degli stessi;
3) magari nel sito software di riferimento ti cerchi il programma, controlli eventuali commenti lasciati da altri utenti, dai una occhiata alla valutazione offerta dal sito stesso, poi vai alla pagina dello sviluppatore e scarichi da lì; a questo punto, buttando un occhio sul valore di hash eventualmente presente ... così da controllare, dopo il download, la corrispondenza;
4) aspettarsi qualche sorpresa, prendo come spunto un articolo di Crazy.Cat QUESTO, in particolare QUI.

Per quanto riguarda l'uomo nel mezzo, in effetti riconosco che è una tecnica che ho solo sentito dire esistere.
Però, sotto un certo punto di vista, anche nel link da me sopra segnalato, si contemplava l'ipotesi di qualcosa che andasse oltre l'intercettazione dello scambio di pacchetti, per vederne e/o rubarne e/o alterarne il contenuto.
In particolare: QUI. Nel senso: se tra me ed il sito "X", viene frapposto, in qualche maniera, un "ponte di mezzo" (dall'uomo al ponte! ) che mi fa saltare il mio sito "X", facendomi arrivare fraudolentemente ad "Y", praticamente speculare ... insomma, sempre una "roba nel mezzo" è successa.
Tanto è vero che, quest'ultima tecnica, viene proprio definita da qualcuno "Web spoofing: man in the middle con il web".
E, in questa circostanza, non c'è hash che tenga, temo ... tant'è che quello che vediamo non è veramente ciò che abbiamo cercato ...

Vado al lavoro!!! Sono già in estremo ritardo!

Matilda12

[Bloox]

Certo ma gia' parliamo di altro siamo caduti nello spoofing, in quel caso si inizia aprlare di pishing, e di url mask ma basta esser eun attimino svegli, e ci accorgiamo puntando il mouse su un qualsiasi link, e guardando nella parte inferiore del browser che non siamo sul sito corretto.

Di certo se vedo una pagina che sembra quella delle poste per intenderci ma che ha come link

Codice: Seleziona tutto

tivogliofregare.com/tihofregato/paginaposta.html

Di certo non credo di essere proprio sul sito delle poste ma hai detto benissimo tu e lo avevo gia' accennato anchio, stiamo tracimando in mondi oscuri di cui si potrebbe parlare per ore.. (mondi oscuri? Matilda mi sa che sei contaggioso )

[Matilda12]

...

Codice: Seleziona tutto

tivogliofregare.com/tihofregato/paginaposta.html

Ma perché, la pagina delle Poste.it non è quella?! Porca miseriaccia!!!

... stiamo tracimando in mondi oscuri di cui si potrebbe parlare per ore.. (mondi oscuri? Matilda mi sa che sei contaggioso )

Sono peggio dell'influenza A ... Bloox, continua a restare con MegaLab.it ... e fatti sentire più spesso! Ci divertiremo a dissertare sul mondo informatico ... e credo che tu ne sappia!


Finale (?): come in tutte le cose, non dare nulla per scontato. Se un sito per il download dei software è "buono", non possiamo permetterci di scaricare ad occhi chiusi. Controllo sul sito del produttore, controllo con l'antivirus, verifiche in una macchina virtuale oppure con software che creino sandbox ...


Matilda12

[7soldatini]

A Bloox e Matilda12: grazie per le vostre dissertazioni (di "secondo livello") e dei suggerimenti sennati .
Non rinuncio pero' a dire che chi produce sw dovrebbe affiancare il checksum al package da scaricare; questo perche' e` poco oneroso e ... per "non saper ne' leggere ne' scrivere" .
Personalmente sono stufo di questo clima giallistico-spionistico; non occorre essere troppo paranoici per vedere a chi fa comodo tutto questo .
Ciao .

[Matilda12]

A Bloox e Matilda12: grazie per le vostre dissertazioni (di "secondo livello") e dei suggerimenti sennati . ...

Valore di hash e file compressi: sarebbe il massimo. Ne convengo in toto.
Ad ogni modo, se hai occasione di fare un giro sul forum, potrai trovare la segnalazione di diversi siti-software particolarmente attendibili. Ok?
A presto!

Matilda12