VeraCrypt

C’era una volta TrueCrypt. C’era fino a quando gli sviluppatori non hanno deciso di mollarne lo sviluppo e sul sito è comparso il triste messaggio che diceva che l’uso di TrueCrypt non era da considerarsi più sicuro perché il software non sarebbe più stato aggiornato. Ma come spesso succede nei software opensource qualcuno ne ha raccolto l’eredità e ha sviluppato un nuovo software: VeraCrypt partendo dalla versione 7.1a, l’ultima versione disponibile, di TrueCrypt.
Con VeraCrypt è possibile aprire i volumi creati con TrueCrypt e, naturalmente, crearne di nuovi.

Siete stati colpiti da un Ransomware? Pagate il riscatto e rassegnatevi

Siete stati attaccati da uno di quei malware che cifrano tutto il contenuto del vostro disco fisso e vi chiedono un riscatto per sbloccarlo? Se la risposta è sì, pagate il riscatto e alla svelta se volete riavere accesso ai vostri dati.

Questa è la posizione “ufficiale” dell’FBI: se il computer è stato colpito da un ransomware tipo CryptoWall che utilizza RSA con chiavi di cifratura a 2048 bit, decifrare i file forzando l’algoritmo di cifratura è praticamente impossibile.

La buona notizia? Quando proteggiamo i nostri dati con il medesimo algoritmo siamo al sicuro. La cattiva notizia? Se CryptoWall colpisce uno dei nostri PC è meglio avere un backup pronto o prepararsi ad entrare nel mondo dei Bitcoin per pagare il riscatto.

CryptoClub… crittografia a misura di bambino

Interessante iniziativa della NSF (National Science Foundation) attraverso la quale gli studenti americani in età di scuola superiore, si cimenteranno in analisi crittografiche durante le loro lezioni di matematica applicata.
Vista la complessità dell’argomento l’insegnamento avverrà utilizzando il gioco (“nulla per gioco ma tutto attraverso il gioco, diceva Baden Powell). Alcune attività coinvolgeranno i ragazzi in una caccia al tesoro con messaggi cifrati o in una staffetta in cui competeranno per raccogliere o decifrare parti di un messaggio segreto.
Su http://www.cryptoclub.org sono presenti una serie di giochi e di sussidi per gli insegnanti che volessero lanciarsi in questa sfida con i propri ragazzi.

Autenticazione in due passaggi (Two Steps Verification)

2FA è l’acronimo per “Two Factors Authentication” ovvero autenticazione attraverso due fattori.
Siamo abituati normalmente ad accedere ai nostri servizi digitando un nome utente ed una password. Anche tenuto conto che l’utente utilizzi tutte le regole per la creazione delle password, ormai il semplice utilizzo di username e password risulta poco sicuro: i sistemi per “rubarle” stanno diventando sempre più efficienti. Molti dei servizi che utilizziamo normalmente (Google, iCloud, Dropbox e Twitter) permettono agli utenti di utilizzare un meccanismo di autenticazione basato su due fattori al posto della normale password.

Come funziona?
L’autenticazione in due fattori prevede due fattori (appunto) diversi per la verifica delle credenziali di accesso ad un servizio. Il primo fattore è la password dell’account, il secondo fattore è un codice generato ad ogni accesso ed inviato su un device precedentemente scelto dall’utente e giudicato sicuro.
Nella maggior parte dei casi, questo secondo codice, viene inviato via SMS su un numero di cellulare fornito in fase di sottoscrizione del servizio.
L’invio, però, può avvenire in modi diversi: via SMS, via Push Message oppure generando il codice attraverso un’applicazione. L’algoritmo di generazione di questo codice è descritto in “RFC6238 – TOTP: Time-Based One-Time Password Algorithm” http://tools.ietf.org/html/rfc6238

Quindi….?
Attivare la verifica in due passaggi aumenta incredibilmente la sicurezza dei nostri account e ci permette di sapere se qualcuno sta tentando di accedervi senza il nostro permesso (in questo caso ci vedremmo recapitare un messaggio con una password senza aver digitato la nostra password principale da nessuna parte).

Come attivarlo?
Il modo per attivarlo varia a seconda del servizio. Le istruzioni non sono sempre raggiungibili facilmente: personalmente ho attivato la verifica in due passaggi su Google, iCloud, Twitter, Dropbox e Facebook.
Ammetto che l’adozione cambia un po’ il modo di lavorare ma ci si fa velocemente l’abitudine e si viene ripagati sapendo che la nostra sicurezza aumenterà.

Cifro, Cripto, offusco….ma cosa faccio???

Enigma Rotors
La sicurezza su internet è diventata di moda. Non dico che non sia necessaria, ma dico che spesso se ne parla senza avere chiaro cosa si stia dicendo. Nelle riunioni con i presunti personaggi dell’IT si sentono strafalcioni a non finire: indubbio il fatto che le idee sono proprie poco chiare.
In un bell’esercizio di stile, provo a mettere giù qualche idea sull’argomento.

Se prendo un messaggio in chiaro e lo rendo illeggibile attraverso un algoritmo sto facendo una cifratura del messaggio. Altri termine che è possibile usare sono criptare e crittografare. Attenzione al termine criptare che significa anche mettere in una cripta, seppellire: per questo motivo si preferisce parlare di cifrare e decifrare (la ISO 7498-2 lo sottolinea in maniera abbastanza forte).

Nella pratica di tutti i giorni io prendo un messaggio (ovvero un testo in chiaro) ne eseguo la cifratura per ottenere un testo cifrato. La persona che lo riceve lo decifra e riottiene il testo del messaggio in chiaro.

E’ scontato che un testo cifrato, un volta riportato in chiaro, devi produrre il messaggio originale: non posso permettermi che decifrando un testo ottenga due messaggi differenti. Questo fenomeno si chiama collisione.

La cifratura ha lo scopo di tenere segreto il messaggio che viene spedito su un canale trasmissivo. Ma non solo, attraverso queste tecniche raggiungo anche lo scopo di:

      Autenticare il mittente del messaggio.
      Assicurare l’integrità del messaggio
      Assicurarne il non ripudio

Gli algoritmi crittografici appartengono a due grandi famiglie: la cifratura simmetrica e quella asimmetrica.
Nel primo caso per passare dal messaggio al testo cifrato devo utilizzare una “parola chiave”, la stessa che dovrà essere utilizzata dal destinatario del messaggio per poter decifrare il messaggio. Qualche esempio di algoritmo per la cifratura simmetrica? AES, Blowfish e il suo successore Twofish, 3DES.
Nel caso di cifratura asimmetrica, si utilizzano dei certificati con chiave pubblica e privata per le operazioni di cifratura e decifratura. Qualche esempio di algoritmo: RSA, DSA.

E, in fine, due parole sulle tecniche di offuscamento. Offuscare e cifrare sono due termini totalmente diversi: con le tecniche di offuscamento nascondo il dato. La steganografia è un esempio di tecnica di offuscamento: durante il periodo dell’antica Grecia, i messaggeri portavano le loro lettere da una parte all’altra della nazione. Per evitare che i messaggi cadessero nelle mani sbagliate, quelli più importanti venivano nascosti nella cera che ricopriva i tubi che servivano per contenere, normalmente, i messaggi.
Nel caso il tubo cadesse nelle mani sbagliate, la speranza era quella che il vero messaggio (nascosto nella cera) non venisse trovato, ma che al suo posto venisse sottratto quello inserito nel tubo.
Oggi la steganografia si applica per nascondere messaggi, per esempio, all’interno delle fotografie. Sembra che questa tecnica si sia sempre più diffusa fra i giovani che nascondo i loro messaggi all’interno delle fotografie che poi pubblicano su Facebook.
L’offuscamento per “diffusione” è una delle tecniche che vengono utilizzate quando i dati vengono scritti su array di dischi: il dato viene diviso su più dischi fissi e la sua ricostruzione è ostacolata se non si conosce la tabella che indica come il dato è stato distribuito.
Insomma sull’argomento c’è proprio tanto da scrivere 🙂

Come stamparsi i soldi….

…ed ecco vedo già l’articolo al telegiornale “arrestato per aver spiegato su internet come stampare soldi falsi”: la tipografia dei “soliti ignoti”.

In realtà questo post non parla di come stampare soldi, ma vuole parlare di Bitcoin.

I bitcoin sono crypto-monete (cryptocurrency in inglese): la loro generazione dipende da algoritmi di crittografia (ed ecco perché me ne interesso!). Come tutte le monete possono essere utilizzate per pagare dei servizi.

E’ possibile crearsi un proprio borsello ed eseguire delle transazioni di pagamento verso gli altri utenti che accettano bitcoin. Il sistema è molto semplice: utilizzando un software posso ordinare una transazione di valuta dal mio borsello a quello della persona alla quale devo pagare il servizio/prestazione.

L’emissione e la spendita dei bitcoin avviene utilizzando una rete p2p che permette a tutti i client di sapere le transazioni che sono state generate. Ogni transazione è univoca d può essere utilizzata solo dal reale possessore. L’algoritmo di generazione delle transazioni è basato su crittografia assimetrica.

Ma, come succedeva all’epoca dei coloni americani con l’ora, posso anche utilizzare un software per generare moneta: fare il mining. L’operazione richiede un consumo elevato di CPU (stiamo parlando di algoritmi crittografici) e l’utilizzo di un software rilasciato in opensource.
Il meccanismo, semplificando al massimo, è questo: creo delle stringhe di 33 caratteri univoche (grazie alla crittografia assimetrica che sta dietro a tutto il meccanismo) e avverto il resto della rete della loro esistenza.
Quando spendo i miei bitcoin, attraverso la chiave pubblica del mio creditore, sposto moneta nel suo borsello.

Non esiste un organismo centrale che emette la moneta e che la controlla.

27.0000.0000 è il numero massimo di monete che possono essere emesse.
10.957.700 è il numero di monete emesse al 28 Marzo 2013.
La differenza fra i bitcoin e le monete tradizionali è che non esiste un controvalore in oro delle monete in circolazione. Per tutti è possibile emettere le proprie monete create attraverso il mine.

I numeri sono impressionanti il controvalore in Euro di 1 bitcoin è di circa 66 Euro. E il trading sta diventando sempre più comune. Il valore dei bitcoin è estremamente volatile, però: stiamo parlando di un economia sperimentale e nata qualche anno fa.

C’è anche chi sostiene che l’economia dei bitcoin cambierà quella reale più di quanto abbia fatto internet.

Entrare in questo mondo è semplice: basta creare il proprio borsello su bitcoin.org e iniziare a vedere come funzionano le transazioni.
Ma ancora più interessante è generare le proprie monete.