[tc] google bombing

[Blackstorm]

Il 26/03/07, Max Murdock<maxmurd a gmail.com> ha scritto:
> On 26/03/07, Blackstorm <hokey.pokey.knight a gmail.com> wrote:
> >
> > @Max:
> > "Sì ma ripeto ci sono da tempo MOLTI ALTRI MODI per cifrare i dati
> > SENZA avere un chip fritz controllabile dall'esterno trra i piedi!...
> > Non saranno comodi ma nessuno mi toglie dalal testa che è ESTREMAMENTE
> > più FACILE fare un programma che ti rende agevole sta criptazione
> > piuttosto che creare e infilarti un chip sulla mobo...
> > C'è un amico mio che in un impeto di riservateza s'è criptato pure la
> > ram e il file di swap... t'ho detto tutto!...
> > Ce lo vogliamo ficcare in testa sì o no che questi qui hanno fatto un
> > chip che possono/vogliono far funzionare per i ca$$i suoi SENZA il
> > controllo dell'utente?..."
> >
> > Non sono le uniche cose che potrebbero farlo. Vorrei solo che non si
> > scadesse nella paranoia, tutto qui. Altrimenti, se mi vuoi vedere
> > paranoico, ti posso dire che volendo anche una SmartCard potrebbe dare
> > la possibilità di controllare il pc sul quale la usi da remoto.
> Eh sì, uan belal smartcard clonabile a piacere...

No, non mi sono spiegato. Cosa ne sai che dentro la SC non ci sia
un'applicazione nascosta, che permette il controllo da remoto?

>
> > essere ancora più paranoico ed affermare che volendo il controllo da
> > remoto della tua macchina si potrebbe ottenere anche da una
> > installazione di linux (credo che meno del 10% degli utenti linux
> > abbiano la pazienza e la voglia, non chè le competenze per potersi
> > leggere il codice sorgente di tutte le applicazioni).
> EH????
> Ma te ruzzi!!! :DDDDD
> Stai dicendo che chi programma Linux ci mette dentro roba per il
> controllo???? :DDDDDDD
> E seconod te come si fa a metere d'accordo quel "meno del 10%" a stare
> zitti? E fregare il resto delal gente???.... :)

Di quel 10% in grado di leggersi il codice e capire cosa fa, meno
dell'1%, imho, è in grado di trovare una backdoor ben nascosta in
mezzo a 100000 righe di codice. Io potrei rilasciare la mia distro, la
Pippux, con tanto di sorgenti. E proprio perchè sono sotto gli occhi
di tutti, i sorgenti verranno esaminati in maniera superficiale dalla
maggior parte di chi sa leggere un codice sorgente. Ma se una funzione
la chiamo pippux_packet_update_manager, e dico che serve per
aggiornare i pacchetti delle applicazioni, e mi chiama quella 20ina di
funzioni, e così via, se ci fosse una backdoor, tu riusciresti ad
individuarla con una analisi statica del codice? Non sto dicendo che
chi programma linux mette dentro controller remoti, dico solo che
potrebbe farlo, e grazie ad un minimo di social engineering rimanere
impunito abbastanza a lungo (il codice è sotto gli occhi di tutti,
figurati se quello ci ha messo dentro roba strana... è un pericolo
reale, per quanto remoto)

>
> > Ma con un
> > discorso del genere non si va da nessuna parte. Il mio discorso è che,
> > per esempio, un secure booting attraverso un dispositivo hw non
> > sarebbe male. Anzi.
> Mi pare che stiamo uscendo un attimo dal contesto in cui ho detto
> certe cose. Tu avevi affermato che beh evviva il tc è una tecnologia
> per avere finalmente una sicurezza sui dati, crottgrafandoli... è
> passato un po' di tempo ma mi pare tu avevi detto così più o meno
> giusto?

Più o meno. Ripeto, ritengo che alla base, la tecnologia del tc in se
sia una gran cosa.sulla sua iimplementazione ne possiamo anche
parlare.

>
> > > > Non mi pare di averlo mai detto.
> > >
> > > E come mai sembra piacerti il TC se esso ha questa stortura intrinseca
> > > (tu non sei il padrone dei tuoi dati perché non sei il detentore della
> > > EK, ovvero la chiave con la quale i dati vengono cifrati)?
> >
> > Non mi pare di aver mai detto nemmeno che mi piaccia il TC. Io sono
> > fermamente convinto che l'idea alla base del TC sia una grande idea.
> > Che poi sia realizzata da cani è un altro discorso.
> Ah ecco...
> Allora il discorso mi torna un po' di più... :)
>
> Blackstorn 22 marzo
> "Mah. Ritengo che sia una strada piuttosto impervia. Le tecnologie di
> TC, e parlo di tecnologia pura, sono un passo da giganti nel mondo
> della crittografia. Difficilmente verranno abbandonate. Una tecnologia
> che ti permette, in qualunque situazione, un secure booting,
> permettendoti anche, fra l'altro, di mantenere il contenuto dei tuoi
> hd crittato in caso di unsecure boot, è una tecnologia per cui enti
> come CIA, NSA, Difesa, e molti altri pagherebbero uno  sbotto. Diciamo
> che è un po' il one time pad per le masse."
>
> Sono lieto di averi interkpretato male queste tue parole... :)
> Comuqnue si torna sempre lì: non serve certo un chip per crittografare i dati...

Mi pareva di essere stato chiaro... evidentemente no :)
Non ritengo che il TCG stia agendo per il meglio, però la tecnologia
alla base delle TPM è interessante, ed ha applicazioni pratiche
ottime: è efficiente e veloce (molto più di qualsiasi software)... che
poi, ripeto possa venire usata nella maniera sbagliata, questo è un
altro discorso.
>
> > @Max:
> > "Sì ma se contunui a dire che il tc fa una cosa uile e "aspettata" è un
> > po' come se l'avessi detto... o no?..."
> > Il TC alla base fa oggettivamente una cosa utile. Il problema è la sua
> > realizzazione.
> Ma non serve un chip per crittografare i dati...
> Non so quanto possa essere sostenibile un ragionamento che dice "ok
> questo qui fa una cosa buona" e nel contempo ne fa 4 o 5 sbagliate e
> dire che è un bell'oggetto...
> Ma forse sto ancora capendo male quello che vuoi dire...

Allora, chiariamoci: io mi riferisco alla tecnologia alla base del tc.
la crittazione attraverso una chiave memorizzata in un chip, a livello
hw, in comunicazione ultra veloce col processore, non mi pare una cosa
così malvagia. Se poi l'oggetto ti impedisce di fare quello che vuoi
sul tuo pc, chiaro che l'oggetto va modificato. Ma la tecnologia di
base rimane valida...

>
> > @Max:
> > "Lo sai perchè l'hai letto nei loro documentie  hai creduto alle loro
> > parole...?"
> > Prima di tutto ho detto che so quello che dovrebbe fare. Non ho le
> > conoscenze necessarie per dire se lo faccia effettivamente. Seconda
> > cosa, io leggo i documenti che trovo, e su quelli mi baso. Onestamente
> > preferisco una descrizione tecnica di ciò che dovrebbe fare una
> > tecnologia, fosse anche spiegata da diavolo in persona, piuttosto che
> > leggere "La tecnologia X fa schifo e non va usata".
> E tu trovi che noi diciamo questo, e basta?
> Che non documentiamo quello che diciamo?
> Che il sito no1984.org sia povero di link a documenti che motivano
> quello che affermiamo?...

Il problema è che mi viene difficile decidere da che parte guardare.
Mi sono imbattuto in talmente tante pagine web che sostengono tesi
senza supporto che tendo a fidarmi di più di uno studio tecnico, per
quanto inaffidabile, che di parole al vento... Come per esempio
l'articolo di Gutman, che sparava a zero su windows senza nemmeno
averlo provato... e vantandosene. Capisci che se ricevo qualche dato
tecnico, che fino a prova contraria è oggettivo, non posso che
ringraziare.

> Io poi ti ho chiesto un'altra cosa: visto che tu stesso ammetti
> onestamente di non avere le competenze per capirli, ti ho solo
> domandato se allora tu credi alle loro parole con atto di fede...
> Visto che anche qui sono stati prodpotti documenti tecnici che dicono
> (banalmente) che il chip fritz è il grande fratello, perchè credi più
> a loro che a no1984.org?... Era solo una domanda...

No... ripeto che cerco di ascoltare tutte le campane. Siccome qui
siete una delle due campane, porto l'altra campana qui e chiedo un
parere. Poi mi regolo in base a quello che ho raccolto.
>
> > Beh, mi pare chiaro. Se salvo un file con Word ed uso le protezioni
> > crittografiche di word è evidente che poi posso accedervi solo con
> > Word. Se lo salvo senza protezione, e mi affido ad un GPG o quel che è
> > per crittare il file, lo posso aprire solo dopo averlo decrittato.
> > Sarò stupido, ma onestamente non capisco quale sia il problema.
> Le protezioni crittografiche di word...? Perchè, ogni programma deve
> avere per forza le sue specifiche che nessun altro può avere?... Ma
> stiamo scherzando dai... :D

Può avere le sue. Anche OpenOffice, se non vado errato, e correggimi
pure se sbaglio, non vorrei dire cavolate, permette di proteggere un
documento con una pwd... e quella è crittografia.

> Non basta il formato dei doc, mo' pure le protezioni...
> Ma "interoperabilità" seconod te che vuol dire? E' un male?...
> CERTO CHE NO!!! :OOO
> Se mi danno un doc fatto con quel bel programmone lì, perchè io dovrei
> essere costretto ad aprirlo sono con word e non con Openoffice ad
> esempiio?...
> Secondo te quanto ci metteranno prima di fare in modo che word 2012
> abbia un algoritmo differente da word 2010? Come sputar per terra,
> guarda...

Mah, veramente ci pensano già le varie versioni dei formati .doc a
rendere illeggibile le verisoni precedenti. Inoltre cambiare
l'algoritmo di crittazione da una versione all'altra ha tipicamente la
conseguenza che nessuno lo usa, o per lo meno nessuno userà quello.


>
> > diversi miei amici non hanno avuto problemi... un po' di
> > malware sparso in giro, ma nulla che con un po' di malizia non si
> > possa risolvere.
> Malizia contro malware... :)

Malizia vince, perchè profuma di intesa :)
(ok, momento di cervello fuori uso...)
>
> > Non ho mai detto che sia diventato una macchina blindata, ho detto
> > solo che col SP2 la sicurezza è aumentata. Io ti sto dicendo questo in
> > quanto XP lo uso.
> Eh bhe sì appunto, almeno adeso il firewall, anche se a mezzo c'è...
> Così ora almeno mezza protezione ce l'hanno tutti... sempre meglio di
> nulla... :)

Beh, esistono svariati fw, gratuiti e molto buoni. Da ZoneAlarm a
Keryo (anche se keryo nn sono sicuro sia ancora gratuito), ma mezza
protezione o tutta protezione, un utonto rimane un utonto.

>
> > "Tanto è vero che se mette le mani su un xp un tecnico che sa il fatto
> > suo uno disattiva quella ciofeca di firewall due disattiva i
> > ripristini automatici...
> > Azzzz che sicurezza!!!!..."
> > Io ho disattivato il fw di windows, e anche gli aggiornamenti
> > automatici. E non serve essere un tecnico, basta essere smaliziati.
> Ai miei tempi si chiamavano "smanettoni"... anch ese s wincrap
> smanetti poco poco poco... :)

Non è vero.. rimarresti sorpreso da quante cose si possono fare su un
sistema windows... per esempio io mi diverto un sacco a pulire a mano
il registro di win... via regedit... (si, ok, sto male :), e magari è
poca cosa, però io mi diverto con poco), inoltre ci sono un sacco di
cosine, che non ho ancora avuto il tempo di sperimentare ma che sono
una pacchia... tipo nLite, se ricordo bene come si chiama, che ti
permette creare una specie di "distro" di win, personalizzata... Devo
ancora provarla, ma deve essere divertente :)

> Peccato che la maggior parte dell'utenza non lo sia... e quindi giù
> con i bachi gli spifferi e i ripristini dei malware...
> E non è un bel segno che gli utenti smaliziati debbano disabilitare
> certe feature di sistema per aumentarne la sicurezza... mi pare
> proprio di no...
>
Si, ma un utonto, anche se gli dai in mano linux, rimane un utonto. Il
che tipicamente vuol dire che si secca di dare la pwd di root per le
operazioni, finisce con l'accedere sempre come root e poi gli entra il
mondo in casa. E questo a prescindere che stia usando win o linux...

-- 
---
Blackstorm

God does not care about our
mathematical difficulties.
He integrates empirically.