OpenBSD e le backdoor dell'FBI

Un programmatore denuncia: io e altri siamo stati pagati dai federali per inserire canali di intercettazione nascosti nel sistema operativo open source. Realtà o teoria della cospirazione?

Share 

inShare

0

Roma - Le backdoor dell'FBI nei software di sicurezza non sono leggende metropolitane, anzi: il bureau investigativo più famoso del mondo avrebbe effettivamente pagato valenti programmatori con lo scopo preciso di instillare "porte di accesso secondarie" all'interno di software open source, con conseguenze ramificatesi nel corso degli anni.

A scatenare una nuova tempesta di cospirazioni governative e legittime preoccupazioni per la riservatezza delle comunicazioni è il coder Gregory Perry, che rivela la presenza delle backdoor federali in una email diretta al capo del progetto OpenBSD Theo de Raadt. Perry dice di essere stato sin qui obbligato al vincolo di segretezza dal non-disclosure agreement (NDA) stretto con l'FBI, ma tale NDA è recentemente scaduto e il programmatore può dunque rivelare la verità a Raadt e alla community dell'open source.

"Volevo rendervi edotti del fatto che l'FBI ha implementato un certo numero di backdoor nei meccanismi di leaking side channel delle chiavi nel framework crittografico di OpenBSD - scrive Perry - con l'intento preciso di monitorare il sistema di cifratura VPN site-to-site implementato da EOUSA, l'organizzazione che controlla l'FBI".Le backdoor volute dall'FBI sarebbero insomma dirette soprattutto al monitoraggio della rete di amministrazione interna delle procure distrettuali, ma Perry suggerisce che le suddette backdoor rappresentino il motivo principale del "consiglio" dell'agenzia di usare OpenBSD per le comunicazioni VPN e il firewalling negli ambienti virtualizzati.

Come risponde il gestore del progetto OpenBSD alle rivelazioni di Gregory Perry? Lavandosene le mani: de Raadt dice di non voler entrare a far parte di una "simile cospirazione", e di non voler avviare alcuna indagine interna atta a scovare il codice nascosto di cui parla il programmatore.

Sarà la community a occuparsi delle opportune verifiche, dice de Raadt, verifiche che non sarebbero umanamente possibili per una singola organizzazione considerando il fatto che il codice incriminato è ora parte integrante di molti progetti e prodotti open source. Se le backdoor esistono realmente, la loro proliferazione avrebbe a questo punto raggiunto un'estensione capillare.


Fonte: punto-informatico 

Stallman: Chrome OS è per gli stupidi

Il fondatore della FSF: "Il cloud computing serve solo a far perdere il controllo sui dati".

A Richard Stallman, il fondatore della Free Software Foundation prossimamente in Italia, il cloud computing non è mai piaciuto.
È quindi abbastanza ovvio che Chrome OS, il sistema operativo che Google sta creando principalmente per i netbook e che porta al massimo il paradigma del cloud computing, non incontri il suo favore.
Stallman spiega, però, anche i motivi di questa contrarietà: "Negli USA si perde ogni diritto legale se si conservano i propri dati sulle macchine di un'azienda anziché sulle proprie".
"La polizia" - continua Stallman - "deve esibire un mandato di perquisizione per ottenere i dati da un privato; ma se i dati sono conservati sul server di un'azienda, il privato potrà non saperne mai niente".
Il fatto che con Chrome OS tutti i dati si spostino sui server di Google non può quindi andare a genio a Stallman il quale, anziché di cloud computing, preferisce parlare di careless computing (computing negligente).
Chrome OS - e tutto il cloud computing - in definitiva è per gli stupidi. "Immagino che molte persone continueranno a migrare verso il careless computing, perché ogni minuto nasce uno stupido. E il governo degli USA potrebbe incoraggiare la gente a mettere i propri dati laddove il governo stesso possa poi sequestrarli senza dover esibire un mandato".
L'unico lato positivo di Chrome OS, secondo Stallman, è che alla base ci sia GNU/Linux. "In sostanza, Chrome OS è il sistema operativo GNU/Linux. Ma è distribuito senza le solite applicazioni e manipolato in maniera tale da scoraggiare l'installazione di applicazioni".

Fonte: zeusnews

CyberWar 4 WikiLeaks

La comunità underground pro Assange si sta mobilitando in suo favore. Sono molti i sostenitori di Wikileakes. È già stato minacciato il Regno Unito di mandare in tilt il sistema, bloccando i siti del governo e segno di protesta.
L’apparato governativo britannico è già in allerta, ma ieri gli hacker hanno già dato segno della propria abilità, mettendo in rete le password di circa 1.3 milioni di utenti del sito di gossip Gawker e continuano a seminare il panico. Amazon, il più grande “dettagliatore” online, ha dichiarato che la sparizione dei suoi siti europei per circa 30 minuti avvenuta domenica è stata causa di un guasto. Considerando che proprio Amazon fu una delle compagnie accusate di aver revocato i propri servizi a Wikileaks subito dopo la pubblicazione dei file USA, il dubbio che sul blackout temporaneo ci fosse la mano degli hacker c’è, e continua ad esserci, anche perché proprio ieri una gruppo anonimo di hacker ha dichiarato di voler attaccare Amazon e di avere come obbiettivo il sito delle autorità giudiziarie svedesi e di altri governi.

“E’ iniziata una guerra informatica – hanno comunicato gli hacker –l’informazione è libera, i governi non hanno voluto divulgare alcune informazioni, Wikileaks le ha rese pubbliche, la guerra è iniziata”.

UNetbootin - Linux a portata di chiavetta

Nel seguente post vorrei illustrarvi come creare una "chiavetta USB" con una ditribuzione qualsiasi live di linux, in particolare Backtrack 4 r2.

Per prima cosa scarichiamoci UNetbootin da questo indirizzo http://unetbootin.sourceforge.net/, scegliete la versione in base al vostro sistema operativo.

Oltre al programma ci serve anche la ISO di Backtrack che possiamo trovare a questo indirizzo :  http://www.backtrack-linux.org/downloads/
Consiglio di scaricare tramite torrent che è molto veloce e in un oretta dovreste aver finito.

Ora prima di aprire il programma ci serve una chiavetta USB (consiglio almeno da 2 GB) formattata in FAT32, anche nel caso in cui fosse vuota consiglio in ogni caso di formattarla.

Finito il passaggio precedente, possiamo aprire il programma precedentemente scaricato.

 

Come si può vedere dall'immagine, ci sono 2 modi per installare una distro su una chiavetta.

1. Possiamo selezionare "Distribution" e scegliere la versione che più ci interessa...
2. Oppure selezionare "Disk Image" e andare a prendere la nostra ISO, in questo caso di Backtrack 4 r2, sul nostro hard disk.

Quindi, appena finito di scaricare Backtrack, selezioniamo "Disk Image" poi "ISO" e infine andiamo a inserire il percorso della posizione della nostra distro.

Ultima cosa da fare è selezionare "Type: USB Drive" e come "Drive:" la lettera che corrisponde alla nostra chiavetta formattata.

Clickate su "OK" e il gioco è fatto! Aspettate che l'installazione finisca e spegnete il computer.

Per far partire il sistema operativo (Backtrack) dalla chiavetta e non quello presente sull'hard disk, dobbiamo andare a modificare alcune impostazioni nel BIOS. Per entrare nel BIOS dovete avere il PC spento, accendete e nel mentre premete ripetutamente il tasto CANC (questo cambia da sistema a sistema, in alcuni è CANC in altri F2, in ogni caso il caro e vecchio Google ci saprà consigliare ^__^) e si vi dovrebbe comparire una schermata BLU simile a questa:

Importante: nel BIOS potete usare solo la tastiera (Freccette, INVIO, ecc)

Come potete vedere nell'immagine, in alto a destra c'è una sezione di nome "Boot", andate li e cercare qualcosa simile a "Boot device priority" e con F5-F6 spostate in prima posizione "USB HDD" o qualcosa di simile.

Ovviamente per ogni BIOS è diverso e non tutti supportano il Boot da chiavetta. Se il PC è più vecchio di 4-5 anni potreste non trovare l'opzione.

Spero di essere stato abbastanza chiaro, in ogni caso se avete qualche problema scrivete pure nei commenti.

Virus - Aumenta la durata delle Batterie

È stato scoperto, dall'Università del Maryland, un virus (questa volta non di computer) in grado di ampliare la durata di una batteria fino  a 10 volte.

Il virus, chiamato modaco, è un parassita delle piante di tabacco e non solo. 

Questo permetterà, a parità di dimensioni, di creare batteria con una durata molto maggiore oppure di dimensioni ridotte.

Se pensiamo che in media una batteria agli ioni di litio dura 4 ore , provate ad immaginare 10 volte tanto! :-) 

Quindi, speriamo presto, potremo dire addio alle doppie batterie e agli alimentatori sempre dietro per avitare di rimanere con un laptop inutilizzabile.

Fonte: zeusnews

Gli hacker rubano i dati dei clienti di McDonald's

McDonald´s sta lavorando con le forze dell´ordine dopo che degli hacker sono entrati nella banche dati di un´altra società e hanno rubato le informazioni di un numero imprecisato di clienti della catena di fast food.
McDonald´s ha avvertito i clienti, a cui sono stati potenzialmente rubati i dati, sia via e-mail che attraverso un messaggio sul sito di McDonald´s.

Fonte: http://www.hwstation.net

Attacco hacker a Gawker.com: rubate milioni di password

Rubate numerose password utente, probabilmente nell'ordine dei milioni, con un attacco hacker ai danni di Gawker.com. La società consiglia di modificare le password, soprattutto se utilizzate per altri servizi. Gawker è la società che pubblica anche Gizmodo, il sito web che a maggio pubblicò le prime immagini dell'iPhone 4 smarrito dall'ingegnere di Cupertino. 

 Fonte : http://www.macitynet.it

Facebook istituisce una coppa per gli Hacker

Si arruolano hacker su Facebook, ma questa volta non c'entrano né gli amici né i nemici di Wikileaks. Il social network lancia dal prossimo 20 dicembre la Hacker Cup, una competizione internazionale aperta a tutti gli sviluppatori di software nel mondo. Il premio in denaro non è esorbitante, 5.000 dollari al primo classificato e, rispettivamente, 2.000 e 1.000 al secondo e al terzo, ma quel che farà più gola agli hacker di tutto il globo sarà l'accesso ai sancta sanctorum dell'informatica statunitense, e la possibilità di far mostra di sé davanti alle teste d'uovo della Silicon Valley.

Fonte: http://www.lastampa.it

Wikileaks, i DDos non sono così anonimi

L'arresto del sedicenne olandese accusato di aver partecipato agli attacchi contro i siti di Mastercard e Visa l'ha dimostrato: non è saggio improvvisarsi pirati informatici.
L'Università di Twente, nei Paesi Bassi, ha infatti pubblicato un breve studio in cui mostra come chi intenda intraprendere questo genere di attività non può limitarsi a utilizzare uno strumento preconfezionato, ma dovrebbe attivamente pensare a proteggersi.
Il Low Ion Orbit Cannon - lo strumento utilizzato per sferrare gli attacchi DDoS, da solo non fornisce i mezzi per rendersi anonimi: per questo motivo i pirati più "seri" utilizzano sistemi anonimizzanti come TOR per evitare di rendere pubblico il proprio indirizzo IP.
I ricercatori dell'Università di Twente paragonano l'utilizzo di LOIC dal proprio computer a inondare la cassetta della posta di qualcuno con migliaia di lettere, ognuna delle quali porta ben chiaro l'indirizzo del mittente.
Né si può sentire al sicuro chi finora - ad attacchi conclusi - non è ancora stato rintracciato dalle forze dell'ordine: per legge gli ISP devono conservare i dati di connessione dei loro utenti per sei mesi. C'è dunque ancora tempo perché la polizia possa suonare al campanello di questi "pirati della domenica".

Fonte:  http://www.zeusnews.it

Microsoft, 17 bollettini per l'ultimo patch Tuesday del 2010

Martedì prossimo Microsoft rilascerà gli ultimi aggiornamenti del 2010 per i propri prodotti.
Per l'occasione l'azienda ha preparato la bellezza di 17 bollettini di sicurezza che riguardano 40 vulnerabilità in tutti i sistemi operativi supportati e in tutte le versioni di Office supportate.
Due di questi bollettini sono classificati come critici, quattordici importanti e uno moderato. 

Fonte: http://www.zeusnews.it/