NSA: alcuni dipendenti hanno spiato mogli, mariti e amici in modo illecito

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...ito_index.html

Ad affermarlo è la NSA stessa in seguito alle pressanti richieste delle associazioni di cittadini USA, scegliendo la notte di Natale per minimizzare l'impatto mediatico della notizia. Nel frattempo trapela anche qualche notizia su alcuni sistemi di cifratura a prova di NSA, alcuni con 20 anni alle spalle, altri molto meno sicuri come ad esempio quello utilizzato da Skype

Click sul link per visualizzare l'articolo.

[Balthasar85]

Un occidentale idealista con i sensi di colpa che contesta il propri Paese? Sai che novità..
Mi sorprenderei se saltasse fuori un giorno un traditore dell'oriente proveniente da un qualche regime.. ma lì son di tutt'altra stoffa, il personale che scelgono per simili lavori è sicuramente meglio indottrinato e più efficente.


CIAWA

[s0nnyd3marco]

Quote:

Da notare come gli strumenti messi a disposizione nativamente dai sistemi operativi Microsoft e Apple non siano nominati fra quelli critici, in cui ricadono quasi sempre strumenti open-source.

YOU DON'T SAY...

[cdimauro]

PGP (basato su Idea/RSA) e TrueCrypt (diversi algoritmi): chi l'avrebbe mai detto...

[rug22]

truecrypt a che livello è?4 o 5?

[Mparlav]

Considerato che negli ultimi 2 anni non sono stati certo con le mani in mano ma solo molto più prudenti e riservati, dopo quanto è trapelato fin ora, molte altre "difese" sono saltate nel frattempo.

[Eress]

Ci sarebbe da ridere se non ci fosse da piangere

[x_Master_x]

L'AES a 256 bit ( che è comparabile ad una chiave a RSA-2048 bit ) è ancora l'algoritmo di riferimento come standard assoluto di sicurezza, mai dimostrato da nessuno, finora, di essere riuscito a bucarlo ( se non in linea puramente teorica ma ripeto mai dimostrato ) senza l'utilizzo di bruteforce che in base alla lunghezza e complessita della chiave usata potrebbe richiedere millenni. Non a caso è allo studio una evoluzione del 256 verso i 512 Bit, anche se ancora in "paper stage"

Assange, tanto per dirne uno "famoso", ha usato AES-256 come unico riferimento per criptare i documenti di Wikileaks di svariati GB diffusi sul web ma senza aver rilasciato mai la chiave, come "assicurazione" sulla sua incolumità o una cosa del genere.

Credo sia molto improbabile che l'NSA abbia inserito una backdoor nell'algoritmo anche perchè lo stesso governo utilizza l'AES, non avrebbe senso. Una backdoor per natura potrebbe essere scoperta da un governo rivale e mettere a repentaglio l'intero sistema di documenti riservati, magari mi sbaglio ma questa è solo la mia opinione.

[koni]

Quote:

Originariamente inviato da cdimauro

PGP (basato su Idea/RSA) e TrueCrypt (diversi algoritmi): chi l'avrebbe mai detto...

su truecrypt ci sono molto sospetti che la provenienza sia proprio nsa cosi dicendo che e'è open source tutti a credere che sia sicura
il punto è che anche se un software è open source può essere pieno di backdoor per fare verifiche servono molte risorse e finanziamenti per fare un auditing approfondito
i bug decennali scoperti nell'ultimo periodo dovrebbero essere un monito per chi si affida in maniera troppo facile a software open source credendoli sicuri bisogna essere critici

tornando in topic : mi sa che ci saranno un sacco di cause civili contro l'nsa se la notizia dovesse essere vera e verificata dato che per il codice americano se un dipendente sfrutta mezzi aziendali contro un'altra persona l'azienda deve rispondere ad eventuali risarcimenti e in america un risarcimento può essere molto cospicuo se a pagare è un ente o azienda

[PeK]

si, certo... "alcuni"

eddai! danno in mano a intern ventenni infoiati il potere di spiare nelle webcam delle ragazzine

[cdimauro]

Quote:

Originariamente inviato da koni

su truecrypt ci sono molto sospetti che la provenienza sia proprio nsa

Quali elementi ci sono?

Quote:

cosi dicendo che e'è open source tutti a credere che sia sicura

Mai detto che open source = sicuro.

Quote:

il punto è che anche se un software è open source può essere pieno di backdoor per fare verifiche servono molte risorse e finanziamenti per fare un auditing approfondito

Concordo, ma ciò non implica che senza una verifica un software sia intrinsecamente insicuro. Vale lo stesso anche per codice closed, ovviamente.

Quote:

i bug decennali scoperti nell'ultimo periodo dovrebbero essere un monito per chi si affida in maniera troppo facile a software open source credendoli sicuri bisogna essere critici

Già. Direi che l'implementazione "originale" di OpenSSL made in Debian sia eloquente.

Quote:

tornando in topic : mi sa che ci saranno un sacco di cause civili contro l'nsa se la notizia dovesse essere vera e verificata dato che per il codice americano se un dipendente sfrutta mezzi aziendali contro un'altra persona l'azienda deve rispondere ad eventuali risarcimenti e in america un risarcimento può essere molto cospicuo se a pagare è un ente o azienda

E' la dimostrazione che collezionare dati è e rimane un attentato alla privacy, e dunque queste catalogazioni di massa vanno fermate e mai più riprese.

[koni]

Quote:

Originariamente inviato da cdimauro

Quali elementi ci sono?

ci sono 3-4 progetti in cerca di finanziamenti che spiegano dettagliatamente quali elementi siano sospetti
in poche parole da quello che avevo letto : il progetto è uscito quasi subito dopo gli scandali , i responsabili del progetto sono anonimi però non farebbero parte dei normali gruppi anonini , parti del codice sembrano sospetto ( questa è l'unica parte che considero interessante )
lo so sono tutte illazioni forse per trovare finanziatori però come ho scritto prima ci sono stati bug che sono durati più di 10 anni su software open e sarebbe il caso di cominiciare a fare audinting serio gia da subito

[cdimauro]

TrueCrypt esisteva da molto, molto prima rispetto allo scandalo NSA o addirittura Wikileaks. Difatti l'ho usato da parecchio tempo (e PGP praticamente da quando è uscito; su Amiga e reti BBS Fidonet per scambiare messaggi veramente privati).

Ecco perché mi puzza che ADESSO siano cominciate e circolare voci che NSA vi avrebbe messo mano. A mio avviso un'operazione del genere è stata messa in piedi per screditare lo strumento e non farlo più utilizzare, vista la sostanziale impossibilità di decodifica a causa dell'uso di algoritmi forti.

Ricordiamo che pure FBI, una ventina d'anni fa e poco dopo la pubblicazione di PGP, chiese al governo americano di equiparare la crittografia forte alle armi militari, per impedirne o controllarne l'uso (da cui seguirono anche le leggi restrittive sulle esportazioni di IP).

Poi che anche il software open sia affetto da bug, pure "stagionati", è cosa ben nota. Soltanto i fanatici paladini difensori (della fede) continuano a propagandare e propinare la storiella che i bug si trovano più velocemente e si fissano "subito"...

Comunque anche a me interessa recuperare informazioni sulle parti di codice sospetto.

[floc]

Quote:

Originariamente inviato da rug22

truecrypt a che livello è?4 o 5?

probabilmente oltre, infatti hanno fatto chissacosa per farlo rimuovere agli sviluppatori mettendo al suo posto una versione tarocca. L'ultima safe e funzionante e' la 7.1a

[rug22]

e invece gli danno 4...letto sul sito originale,a meno di miei fraintendimenti.

[cdimauro]

Io qui leggo che TOR e TrueCrypt sono classificati al massimo livello, 5, come "catastrophic". Com'era anche intuibile...

[CrazyScientist]

In Man In Black l'agente K spiava l'ex fidanzata con un satellite spia... quindi non è una novità !

[LMCH]

Quote:

Originariamente inviato da Balthasar85

Un occidentale idealista con i sensi di colpa che contesta il propri Paese? Sai che novità..
Mi sorprenderei se saltasse fuori un giorno un traditore dell'oriente proveniente da un qualche regime.. ma lì son di tutt'altra stoffa, il personale che scelgono per simili lavori è sicuramente meglio indottrinato e più efficente.

Senza contare che proprio nei paesi i cui Snowden si è rifugiato (Cina e poi Russia) che tu abbia la cittadinanza o sia straniero le agenzie governative ti possono spiare in ogni modo senza doverti dare nessuna spiegazione.

[aqua84]

Eh xò scusate... ma più che fidarsi, cosa altro si deve o si può fare??
Secondo me NIENTE.

Voglio dire, se non ci si può fidare che la NSA svolga regolarmente il suo lavoro, ci si affida ad una o piu aziende che "controllano" che la NSA faccia solo quello che deve fare e niente altro? A quel punto chi ci dice che queste aziende sono "sicure" ? Che non siano in parte d'accordo con la NSA o che non facciano addirittura peggio??

Cioè è un po' come accade in quasi tutte le situazioni tipo il doganiere che fa passare la droga... il finanziere che fa la "soffiata" all'amico facendogli sapere che avrà un controllo nei prossimi giorni... il dottore che "rende" non-vedente una persona che va in motorino e legge il giornale così si potrà beccare l'invalidità a vita...

E si può andare avanti per ore a scrivere...

[ilario3]

Forse è meglio tornare ai Piccioni viaggiatori per inviare messaggi.

Gli agenti del NSA usavano i sistemi per i loro scopi privati, ma vah? Perché i nostri poliziotti non lo fanno tutti i giorni?

Perché se uno di noi avesse a disposizione questi mezzi e fosse in dubbio che suo figlio o sua figlia stia facendo delle bravate oppure si ha grossi sospetti sulla propria moglie non li userebbe? Lasciamo stare il giusto o sbagliate, però lo faremmo anche noi.
Ne conosco tanti ma tanti che hanno attivato sul Iphone della moglie e anche dei mariti la geo localizzazione per controllare.

Quello che posso dire è che non possiamo volere che ci sia una sicurezza al 100% per l'antiterrorismo, sulla criminalità ecc.. e poi pretendere che le agenzie non abbiano accesso a tutti i dati personali, quello che è importante che non devono essere divulgate informazioni personali o vendute ad altri per fare soldi, e cose di questo genere, altrimenti è normale che poi scoppia una rivoluzione e la gente si ribella