Link all'Articolo: http://www.hwupgrade.it/articoli/sicurezza-software/4253/nsa-alcuni-dipendenti-hanno-spiato-mogli-mariti-e-amici-in-modo-illecito_index.html

Ad affermarlo è la NSA stessa in seguito alle pressanti richieste delle associazioni di cittadini USA, scegliendo la notte di Natale per minimizzare l'impatto mediatico della notizia. Nel frattempo trapela anche qualche notizia su alcuni sistemi di cifratura a prova di NSA, alcuni con 20 anni alle spalle, altri molto meno sicuri come ad esempio quello utilizzato da Skype

Click sul link per visualizzare l'articolo.

Un occidentale idealista con i sensi di colpa che contesta il propri Paese? Sai che novità.. :O
Mi sorprenderei se saltasse fuori un giorno un traditore dell'oriente proveniente da un qualche regime.. ma lì son di tutt'altra stoffa, il personale che scelgono per simili lavori è sicuramente meglio indottrinato e più efficente. :read:


CIAWA

Da notare come gli strumenti messi a disposizione nativamente dai sistemi operativi Microsoft e Apple non siano nominati fra quelli critici, in cui ricadono quasi sempre strumenti open-source.

YOU DON'T SAY...:rolleyes:

PGP (basato su Idea/RSA) e TrueCrypt (diversi algoritmi): chi l'avrebbe mai detto... :O

truecrypt a che livello è?4 o 5?

Considerato che negli ultimi 2 anni non sono stati certo con le mani in mano ma solo molto più prudenti e riservati, dopo quanto è trapelato fin ora, molte altre "difese" sono saltate nel frattempo.

Ci sarebbe da ridere se non ci fosse da piangere :asd:

L'AES a 256 bit ( che è comparabile ad una chiave a RSA-2048 bit ) è ancora l'algoritmo di riferimento come standard assoluto di sicurezza, mai dimostrato da nessuno, finora, di essere riuscito a bucarlo ( se non in linea puramente teorica ma ripeto mai dimostrato ) senza l'utilizzo di bruteforce che in base alla lunghezza e complessita della chiave usata potrebbe richiedere millenni. Non a caso è allo studio una evoluzione del 256 verso i 512 Bit, anche se ancora in "paper stage"

Assange, tanto per dirne uno "famoso", ha usato AES-256 come unico riferimento per criptare i documenti di Wikileaks di svariati GB diffusi sul web ma senza aver rilasciato mai la chiave, come "assicurazione" sulla sua incolumità o una cosa del genere.

Credo sia molto improbabile che l'NSA abbia inserito una backdoor nell'algoritmo anche perchè lo stesso governo utilizza l'AES, non avrebbe senso. Una backdoor per natura potrebbe essere scoperta da un governo rivale e mettere a repentaglio l'intero sistema di documenti riservati, magari mi sbaglio ma questa è solo la mia opinione.

PGP (basato su Idea/RSA) e TrueCrypt (diversi algoritmi): chi l'avrebbe mai detto... :O

su truecrypt ci sono molto sospetti che la provenienza sia proprio nsa cosi dicendo che e'è open source tutti a credere che sia sicura
il punto è che anche se un software è open source può essere pieno di backdoor per fare verifiche servono molte risorse e finanziamenti per fare un auditing approfondito
i bug decennali scoperti nell'ultimo periodo dovrebbero essere un monito per chi si affida in maniera troppo facile a software open source credendoli sicuri bisogna essere critici

tornando in topic : mi sa che ci saranno un sacco di cause civili contro l'nsa se la notizia dovesse essere vera e verificata dato che per il codice americano se un dipendente sfrutta mezzi aziendali contro un'altra persona l'azienda deve rispondere ad eventuali risarcimenti e in america un risarcimento può essere molto cospicuo se a pagare è un ente o azienda

si, certo... "alcuni" :asd:

eddai! danno in mano a intern ventenni infoiati il potere di spiare nelle webcam delle ragazzine :asd:

su truecrypt ci sono molto sospetti che la provenienza sia proprio nsa
Quali elementi ci sono?
cosi dicendo che e'è open source tutti a credere che sia sicura
Mai detto che open source = sicuro.
il punto è che anche se un software è open source può essere pieno di backdoor per fare verifiche servono molte risorse e finanziamenti per fare un auditing approfondito
Concordo, ma ciò non implica che senza una verifica un software sia intrinsecamente insicuro. Vale lo stesso anche per codice closed, ovviamente.
i bug decennali scoperti nell'ultimo periodo dovrebbero essere un monito per chi si affida in maniera troppo facile a software open source credendoli sicuri bisogna essere critici
Già. Direi che l'implementazione "originale" di OpenSSL made in Debian sia eloquente.
tornando in topic : mi sa che ci saranno un sacco di cause civili contro l'nsa se la notizia dovesse essere vera e verificata dato che per il codice americano se un dipendente sfrutta mezzi aziendali contro un'altra persona l'azienda deve rispondere ad eventuali risarcimenti e in america un risarcimento può essere molto cospicuo se a pagare è un ente o azienda
E' la dimostrazione che collezionare dati è e rimane un attentato alla privacy, e dunque queste catalogazioni di massa vanno fermate e mai più riprese.

Quali elementi ci sono?



ci sono 3-4 progetti in cerca di finanziamenti che spiegano dettagliatamente quali elementi siano sospetti
in poche parole da quello che avevo letto : il progetto è uscito quasi subito dopo gli scandali , i responsabili del progetto sono anonimi però non farebbero parte dei normali gruppi anonini , parti del codice sembrano sospetto ( questa è l'unica parte che considero interessante )
lo so sono tutte illazioni forse per trovare finanziatori però come ho scritto prima ci sono stati bug che sono durati più di 10 anni su software open e sarebbe il caso di cominiciare a fare audinting serio gia da subito

TrueCrypt esisteva da molto, molto prima rispetto allo scandalo NSA o addirittura Wikileaks. Difatti l'ho usato da parecchio tempo (e PGP praticamente da quando è uscito; su Amiga e reti BBS Fidonet per scambiare messaggi veramente privati).

Ecco perché mi puzza che ADESSO siano cominciate e circolare voci che NSA vi avrebbe messo mano. A mio avviso un'operazione del genere è stata messa in piedi per screditare lo strumento e non farlo più utilizzare, vista la sostanziale impossibilità di decodifica a causa dell'uso di algoritmi forti.

Ricordiamo che pure FBI, una ventina d'anni fa e poco dopo la pubblicazione di PGP, chiese al governo americano di equiparare la crittografia forte alle armi militari, per impedirne o controllarne l'uso (da cui seguirono anche le leggi restrittive sulle esportazioni di IP).

Poi che anche il software open sia affetto da bug, pure "stagionati", è cosa ben nota. Soltanto i fanatici paladini difensori (della fede) continuano a propagandare e propinare la storiella che i bug si trovano più velocemente e si fissano "subito"...

Comunque anche a me interessa recuperare informazioni sulle parti di codice sospetto.

truecrypt a che livello è?4 o 5?

probabilmente oltre, infatti hanno fatto chissacosa per farlo rimuovere agli sviluppatori mettendo al suo posto una versione tarocca. L'ultima safe e funzionante e' la 7.1a

e invece gli danno 4...letto sul sito originale,a meno di miei fraintendimenti.

Io qui (http://www.spiegel.de/media/media-35535.pdf) leggo che TOR e TrueCrypt sono classificati al massimo livello, 5, come "catastrophic". Com'era anche intuibile...

In Man In Black l'agente K spiava l'ex fidanzata con un satellite spia... quindi non è una novità ! :fagiano:

Un occidentale idealista con i sensi di colpa che contesta il propri Paese? Sai che novità.. :O
Mi sorprenderei se saltasse fuori un giorno un traditore dell'oriente proveniente da un qualche regime.. ma lì son di tutt'altra stoffa, il personale che scelgono per simili lavori è sicuramente meglio indottrinato e più efficente. :read:

Senza contare che proprio nei paesi i cui Snowden si è rifugiato (Cina e poi Russia) che tu abbia la cittadinanza o sia straniero le agenzie governative ti possono spiare in ogni modo senza doverti dare nessuna spiegazione.

Eh xò scusate... ma più che fidarsi, cosa altro si deve o si può fare??
Secondo me NIENTE.

Voglio dire, se non ci si può fidare che la NSA svolga regolarmente il suo lavoro, ci si affida ad una o piu aziende che "controllano" che la NSA faccia solo quello che deve fare e niente altro? A quel punto chi ci dice che queste aziende sono "sicure" ? Che non siano in parte d'accordo con la NSA o che non facciano addirittura peggio??

Cioè è un po' come accade in quasi tutte le situazioni tipo il doganiere che fa passare la droga... il finanziere che fa la "soffiata" all'amico facendogli sapere che avrà un controllo nei prossimi giorni... il dottore che "rende" non-vedente una persona che va in motorino e legge il giornale così si potrà beccare l'invalidità a vita...

E si può andare avanti per ore a scrivere...

Forse è meglio tornare ai Piccioni viaggiatori per inviare messaggi.

Gli agenti del NSA usavano i sistemi per i loro scopi privati, ma vah? Perché i nostri poliziotti non lo fanno tutti i giorni?

Perché se uno di noi avesse a disposizione questi mezzi e fosse in dubbio che suo figlio o sua figlia stia facendo delle bravate oppure si ha grossi sospetti sulla propria moglie non li userebbe? Lasciamo stare il giusto o sbagliate, però lo faremmo anche noi.
Ne conosco tanti ma tanti che hanno attivato sul Iphone della moglie e anche dei mariti la geo localizzazione per controllare.

Quello che posso dire è che non possiamo volere che ci sia una sicurezza al 100% per l'antiterrorismo, sulla criminalità ecc.. e poi pretendere che le agenzie non abbiano accesso a tutti i dati personali, quello che è importante che non devono essere divulgate informazioni personali o vendute ad altri per fare soldi, e cose di questo genere, altrimenti è normale che poi scoppia una rivoluzione e la gente si ribella

Eh xò scusate... ma più che fidarsi, cosa altro si deve o si può fare??

Che ne pensi invece di NON fidarsi?


Voglio dire, se non ci si può fidare che la NSA svolga regolarmente il suo lavoro, ci si affida ad una o piu aziende che "controllano" che la NSA faccia solo quello che deve fare e niente altro?


Non deve essere un azienda a controllare l'operato dell'NSA, ma lo stato con le sue leggi. :rolleyes:


A quel punto chi ci dice che queste aziende sono "sicure" ? Che non siano in parte d'accordo con la NSA o che non facciano addirittura peggio?? Cioè è un po' come accade in quasi tutte le situazioni tipo il doganiere che fa passare la droga... il finanziere che fa la "soffiata" all'amico facendogli sapere che avrà un controllo nei prossimi giorni... il dottore che "rende" non-vedente una persona che va in motorino e legge il giornale così si potrà beccare l'invalidità a vita...

E si può andare avanti per ore a scrivere...

Per questo una democrazia che si rispetti dovrebbe avere dei contrappesi per evitare l'accumulo di potere in mano ad una sola persona/organizzazione?

Eh xò scusate... ma più che fidarsi, cosa altro si deve o si può fare??
Secondo me NIENTE.

Voglio dire, se non ci si può fidare che la NSA svolga regolarmente il suo lavoro, ci si affida ad una o piu aziende che "controllano" che la NSA faccia solo quello che deve fare e niente altro? A quel punto chi ci dice che queste aziende sono "sicure" ? Che non siano in parte d'accordo con la NSA o che non facciano addirittura peggio??

Cioè è un po' come accade in quasi tutte le situazioni tipo il doganiere che fa passare la droga... il finanziere che fa la "soffiata" all'amico facendogli sapere che avrà un controllo nei prossimi giorni... il dottore che "rende" non-vedente una persona che va in motorino e legge il giornale così si potrà beccare l'invalidità a vita...

E si può andare avanti per ore a scrivere...

E' un problema antico come il mondo.
La famosa citazione di Platone, a cui si sono sicuramente ispirati Giovenale e Cicerone, diceva:
"È certamente ridicolo che un custode abbia bisogno di un custode" :)

Sì, è certamente ridicolo che un americano non possa fidarsi della sua Agenzia per la sicurezza nazionale (ovviamente inutile parlare dei non americani di cui hanno già dimostrato di fregarsene ampiamente).

Esistono le commissioni parlamentari anche negli USA che hanno il compito di verificare l'operato della CIA e dell'NSA.
Ed è emerso che anche queste sono state "raggirate", non completamente informate sul loro operato, ed alcuni membri persino intercettati.
Ma a parte qualche intervento di facciata, non è accaduto nulla di che.

Figuriamoci cosa possiamo fare noi nel nostro piccolo: a parte prendere qualche basilare precauzione, siamo impotenti.

Quindi gli agenti di NSA hanno avuto la certezza di essere cornuti :asd:

E' un problema antico come il mondo.
La famosa citazione di Platone, a cui si sono sicuramente ispirati Giovenale e Cicerone, diceva:
"È certamente ridicolo che un custode abbia bisogno di un custode" :)

Sì, è certamente ridicolo che un americano non possa fidarsi della sua Agenzia per la sicurezza nazionale (ovviamente inutile parlare dei non americani di cui hanno già dimostrato di fregarsene ampiamente).

Esistono le commissioni parlamentari anche negli USA che hanno il compito di verificare l'operato della CIA e dell'NSA.
Ed è emerso che anche queste sono state "raggirate", non completamente informate sul loro operato, ed alcuni membri persino intercettati.
Ma a parte qualche intervento di facciata, non è accaduto nulla di che.

Figuriamoci cosa possiamo fare noi nel nostro piccolo: a parte prendere qualche basilare precauzione, siamo impotenti.

Quoto , Quis custodiet ipsos custodes?
Non è vero che siamo impotenti, nel nostro piccolo lo siamo, ma se c'è una cosa che insegna la storia é quella di avere paura dell'ira del popolo, solo che molto spesso questo viene formentato per poi erigere un regime uguale se non peggiore a quello precedente, e questo da sempre, come dire, stavamo meglio quando si stava peggio, pensiamo alla nostra vecchia lira e riflettiamo se non é così.

Quindi gli agenti di NSA hanno avuto la certezza di essere cornuti :asd:

occhio non vede cuore non duole, però io preferisco saperlo quindi mando il curriculum domani :D

Senza contare che proprio nei paesi i cui Snowden si è rifugiato (Cina e poi Russia) che tu abbia la cittadinanza o sia straniero le agenzie governative ti possono spiare in ogni modo senza doverti dare nessuna spiegazione.
Non mi risulta che l'amministrazione americana, prima d'incappare in un dipendete che si è fatto venire i sensi di colpa (e meno male che ogni tanto accade, al netto dell'ironia che qualcuno riesce a farci sopra) abbia fornito spiegazioni a chicchessia di quel che andava facendo. Anzi, spiando soprattutto "amici" ed "alleati" si è ben guardata dal farlo e una volta pescata con le mani nella marmellata ha pure sbuffato perché qualcuno, molto flebilmente, s'è risentito.

Non mi risulta che l'amministrazione americana, prima d'incappare in un dipendete che si è fatto venire i sensi di colpa (e meno male che ogni tanto accade, al netto dell'ironia che qualcuno riesce a farci sopra) abbia fornito spiegazioni a chicchessia di quel che andava facendo. Anzi, spiando soprattutto "amici" ed "alleati" si è ben guardata dal farlo e una volta pescata con le mani nella marmellata ha pure sbuffato perché qualcuno, molto flebilmente, s'è risentito.

Spiare "amici" ed "alleati" è prassi normali per le agenzie di spionaggio, come pure potenziali minacce anche se al presente non sono tali.
Per rendere l'idea, negli anni '80 l'FBI spiava i vescovi cattolici statunitensi per capire che posizione reale avessero nei confronti dei movimenti antiabortisti più estremisti (nonostante questi fossero di solito legati a chiese protestanti).

E chi non l'avrebbe fatto?Se esiste la possibilità..................:)