Annunciata la possibilità di collidere SHA-1…. quindi?

In questi giorni c’è un po’ di rumore attorno alla notizie data da team di sicurezza di Google che annuncia la messa a punto di un sistema pratico e reale per effettuare la collisione di SHA-1.

In pochissime parole: collidere un algoritmo di hash significa poter forgiare due messaggi diversi in modo che producano lo stesso hash. Chiaramente questa situazione si traduce in un grosso, grosso problema di sicurezza visto che utilizziamo gli algoritmi di hash per verificare la veridicità di un messaggio. Quindi?
Quindi nella pratica nulla di nuovo. L’algoritmo in questione è stato creato nel 1995 e ha abbondantemente servito la causa della sicurezza. Da un po’ di tempo è stato dichiarato come insicuro dalle comunità di security. Non è mai stato deprecato ufficialmente ma se ne sconsiglia l’uso e si raccomanda l’uso del più nuovo (e più sicuro) SHA-256. La ricerca ha semplicemente confermato, quindi, la necessità di smettere di utilizzare SHA-1.

Internet…. dei giocattoli

Ebbene sì, dopo l’internet delle persone e delle cose sta arrivando anche questa….. l’internet dei giocattoli.
Sì perché sempre più giochi sono connessi ad internet…. e qui nascono i problemi.
Essendo oggetti connessi ad internet possono essere utilizzati come fonti di attacco verso altri servizi internet o essere utilizzati dai produttori per raccogliere informazioni sulle famiglie degli utilizzatori oppure, ancora, essere vere e proprie spie nelle mani di malintenzionati.

La compagnia di giocattoli digitali Vtech con base ad Hong Kong è stata una delle prime ad essere colpita dall’ attacco di un hacker, che lo scorso anno è riuscito ad avere accesso alle informazioni personali come email, nomi, cognomi, foto, password, indirizzi di casa di quasi 5 milioni di genitori e di 200 mila bambini. Circa 190GB di foto sono state sottratte.

Ma non finisce qui: secondo alcuni reclami presentati presso la Federal Trade Commission degli USA e l’Unione Europea, alcuni giocattoli connessi ad internet lanciati da Genesis Toys e dal partner Nuance starebbero violando le leggi sulla privacy. Stando al reclamo, i giochi della Nuance registrerebbero le voci dei bambini per giocare con loro ma, contemporaneamente, tratterebbero informazioni anche senza il consenso dei genitori. Quelli della Genesis Toys, invece, potrebbero non aver bloccato l’accesso Bluetooth da parte dei dispositivi esterni ai giocattoli e questo permetterebbe a qualche utente smaliziato di connettersi ai giocattoli e di ascoltare tutte le conversazioni fatte in presenza del giocattolo.

Ma in un caso più recente, la bambola Cayla, sarebbe tacciata di essere “un apparato illegale di spionaggio”. La legge tedesca vieta di possedere, vendere o creare device che possono essere utilizzati per “spiare” se non possono essere chiaramente identificati come tali. Nel caso della bambola il problema risiede nel fatto che questa possa essere utilizzata per spiare il bambino ma abbia le sembianze di un giocattolo.

Ma la lista dei giocattoli connessi si allunga sempre di più.