Articoli

sicurezza-iphone

In questi giorni sta facendo scalpore la dichiarazione del secondo funzionario del Dipartimento di Giustizia Americano, dichiarazione rivolte ad Apple e pubblicate sul The Wall Street Journal. James Cole ha espressamente dichiarato che un bambino potrebbe morire a causa della crittografia introdotto da iOS 8, poiché la polizia non sarebbe in grado di controllare il cellulare dell’indagato sospettato del rapimento del suddetto bambino.

Non lo nego fin da subito, sono fermamente convinto che la crittografia dei dispositivi sia cosa buona e giusta per preservare la nostra privacy nel caso di smarrimento o furto del dispositivo. Ma veramente la crittografia di un iPhone o Android può far morire un bambino rapito? Personalmente trovo questa dichiarazione assurda e credo che questo fatto dimostri nuovamente l’incompetenza giudiziaria, per confermare questa mia ipotesi voglio sottolineare alcuni aspetti che per me son fondamentali ma sono stati trascurati nel raccontare questa vicenda!

Prima dei telefoni?!

I telefoni cellulari esistono dai primi anni ’80 ma sono dagli anni ’90 la diffusione è cresciuta in maniera esponenziale portando nelle tasche dei cittadini anche più di un telefonino e solo nel 2007 (7 anni fa) sono arrivati i primi e veri Smartphone. L’avvento degli smartphone ha sicuramente dato un’accelerata alle indagini di polizia poiché in un dispositivo è possibile raccogliere molteplici informazioni (Rubrica, Chiamate, SMS, eMail, Chat, Coordinate GPS, ecc ecc) ma fino ad allora come si faceva!?

Non venitemi a dire che i bambini prima dell’avvento dei cellulari non venivano rapiti? Microfoni ambientali o ronde di sorveglianza erano strumenti di primo ordine per un investigatore! Insomma capisco che in ufficio si sta belli comodi ad indagare su un caso ma bisognerebbe anche alzarsi e indagare con le maniere tradizionali…dai Bar si scoprano sempre tanti dettagli! E se non vi ricordate come si fa un classico del ‘800 vi racconterà diverse storie!

Triangolazione telefonica?!

Avete tra le mani un iPhone con iOS 8 o un bellissimo Nexus 5 già aggiornato a Lollipop e per disdetta c’è un pin di accesso, certamente un tentativo di forza brutta è da evitare poiché spesso dopo X tentativi il telefono va in blocco con un conseguente wipe della memoria! Ma allora optate per una tradizionale triangolazione del segnale telefonico magari degli ultimi 30, 60 o 90giorni per capire dove è stato il malvivente e magari anche chi ha contattato! In fin dei conti prima dell’avvento degli Smartphone le indagini si basavano sulla triangolazione telefonica poiché i telefoni cellulari avevano una memoria ridotta e più di 50sms non conservavano e il registro chiamate conservava al massimo 30 chiamate!

Altre fonti?!

Ok avete tra le mani uno Smartphone che sicuramente contiene le coordinate del luogo in cui il malvivente tiene in sequestro il bambino, altrove non avete trovato altri dettagli! Caspita, come facciamo a trovare altri dettagli?! Ora se avete il telefono del malvivente tra le mani mi vien da pensare che avete acciuffato il malvivente vivo o morto che sia, se è vivo potete estorcerli una confessione ma se è morto oppure ha perso il telefono durante una fuga?! Bhe se il malvivente non è ovviamente in grado di dirvi nulla lo potete identificare (dal cadavere, dalla videoregistrazione durante il tentativo fallito di liberare il bambino, dall’utenza telefonica, ecc) e vi recate presso la sua abitazione dove trovare il suo computer…se non è cifrato fate ma bassa dei dati (eMail, Backup, ecc ecc) e sicuramente qualche dettaglio aggiuntivo lo trovate! Nell’ipotesi peggiore vi trovate davanti ad un PC e Smartphone crittografato e allora vi guardate attorno e scoprite che in una agenda vi sono segnate tutte le password degli account Apple, Google, ecc ecc BINGO! No, non è la giornata fortunata non trovo nulla, però il malvivente non abita da solo, ottimo allora abbiamo una nuova persona da interrogare che ci potrà rilevare nuovi dettagli (dove si recava il malvivente frequentemente, magari le sue password, ecc ecc). Se abita da solo? Bhe ci sono i vicini, i parenti, ecc ecc insomma le strade da setacciare sono tantissime…

Conclusione

Indubbiamente questo articolo è provocatorio ma ha lo scopo di dimostrare che la crittografia di un dispositivo non deve fermare l’indagine della polizia ne tanto meno far pensare al peggio, in fin dei conti son convito che anche un poliziotto cifra i dati sul suo Smartphone per evitare che un possibile furto di quest’ultimo mandi all’area mesi e mesi di lavoro su un indagine che sta facendo! Poi per carità uno Smartphone privo di cifratura può aiutare indubbiamente le indagini, ma non bisogna fasciarsi la testa in caso contrario ne tanto meno pensare all’esito peggiore del caso!

Il nostro lettore Fenrir ha recentemente aperto un suo blog, CrittoScala, con l’obbiettivo di discutere sull’algoritmo crittografico ideato da Giuseppe Scala con chi si stia eventualmente occupando della sua crittanalisi a seguito della sfida lanciata lo scorso Aprile 2012.

Chiunque fosse interessato a seguire più da vicino le fasi della sfida o per chi volesse collaborare può accedere al blog CrittoScala,

L’autore del Blog ci tiene a sottolineare che saranno ben accetti tutti i commenti, anche quelli critici, e spera che qualcuno più preparato di lui possa intervenire nelle discussioni. Infine vuole sottolineare quanto ritiene assurdo, ma soprattutto pericoloso, premiare “ufficialmente” un algoritmo crittografico segreto (non ancora pubblicato) e ancora in fase di studio, e pubblicizzarlo come una futura alternativa ad AES.

 

 

Giuseppe Scala al centro di innumerevoli discussioni negli ultimi mesi a seguito delle dichiarazioni di aver scoperto nuovo metodo crittografico il quale avrebbe rivoluzionato i tradizionali metodi trasformato il messaggio da criptare in qualcosa di completamente diverso ha finalmente svelato le carte lanciando una sfida a tutti gli esperti di crittografia.

La sfida è suddivisa in tre fasi, la prima fase durerà dal 29.03.12 al 28.04.12 gli sfidanti sono chiamati a decifrare un file criptato. Sarà messo loro a disposizione un testo in chiaro e cifrato ed un ulteriore testo solo cifrato.

Se qualcuno riuscirà a decifrarlo avrà vinto la sfida.
Nella seconda fase dal 28.04.12 al 28.05.12 verrà rilasciata una versione alpha dell’algoritmo utilizzabile da riga di comando, un aiutino per chi si è intestardito e pensa di essere arrivato ad un punto vicino alla soluzione.
Nella terza fase sarà fornita documentazione sul funzionamento dell’algoritmo, le chiavi utilizzate per codificare il file in oggetto, e di una versione BETA dell’algortimo. La sfida si concluderà il 27/6/2012.

Lo stesso Giuseppe Scala dichiara di essere fiducioso, e non crede che il suo algoritmo possa essere crackato da alcun hacker o presunto tale.

È possibile accedere alla prima fase della sfida attraverso il sito dell’associazione Pi-Greco Technology: http://www.pigrecotechnology.it/

Vi lascio con due mie brevissime considerazioni, innanzitutto pubblicamente ammetto la mia ignoranza nel campo crittografico e non accetto la sfida ma trovo l’affermazione del ricercatore un po’ troppo spavalda e invito l’associazione a non limitarsi nel pubblicare la sfida sul loro sito (negli ultimi 3 anni ha accumulato una media di circa 9 visite al giorno) ma di inoltrarla ai maggiori crittografici internazionali. Infine perché non pubblicare l’algoritmo?

Apogeo ho presentato lo scorso Settembre un nuovo libro “Il manuale della Crittografia” scritto dai tre esperti di Sicurezza Informatica e Crittografia Niels Ferguson, Bruce Schneier, Tadayoshi Kohno.

La crittografia regola i meccanismi per cifrare e quindi decifrare dati, rendendoli così sicuri e protetti da occhi indiscreti: una necessità vitale nel mondo delle informazioni.

Questo libro è un’introduzione definitiva ed esaustiva a tutti i settori della crittografia, scritto partendo dal presupposto che sapere come sono disegnati i protocolli crittografici non vuol dire saper applicare la crittografia in maniera efficace. Per questo bisogna imparare a pensare come un crittografo.

Ecco lo scopo del libro: guidare il lettore in un affascinante percorso di apprendimento della teoria dei protocolli crittografici fino alla loro applicazione pratica.

Gli autori, tra i massimi esperti della materia, vi mostreranno le tecniche per cifrare file, software e qualsiasi tipo di dato, trattando argomenti come i cifrari a blocchi, le funzioni di hash, gli aspetti relativi all’implementazione e molto altro.

Gli esempi e gli esercizi consentono di affinare la professionalità e comprendere meglio le sfaccettature di questo mondo fatto di codici e chiavi.

Argomenti in breve

  • Introduzione alla crittografia
  • Anatomia dei protocolli crittografici
  • Analisi degli elementi deboli di un sistema
  • Interfacce tra i sistemi cifrati e l’ambiente circostante
  • Valutazione della sicurezza di un canale
  • Cifrari a blocchi, funzioni di hash, codici di autenticazione
  • Protocolli di negoziazione e gestione della chiave
  • Algoritmi di Diffie-Hellman e RSA
  • Teoria e pratica delle PKI
  • Implementazione di soluzioni crittografiche

Il manuale è disponibile sia in versione Cartacea che eBook ad un costo rispettivamente di 35euro e 23,99euro.

Giuseppe Scala, studente 20 enne di Informatica all’università di Ancona è stato recentemente premiato dall’associazione Pigreco alla Camera dei Deputati di Roma per la sua ricerca nel campo crittografico per migliorare la sicurezza delle telecomunicazioni. L’algoritmo ha il compito di proteggere messaggi traducendoli in un linguaggio incomprensibile ed insensato che può essere decodificato esclusivamente con chiavi opportune. Il sistema studiato da Giuseppe rivoluziona i tradizionali metodi di crittografica trasformato il messaggio da criptare in qualcosa di completamente diverso, è inconcepibile pensare ad una traduzione senza le specifiche password e chiavi di decriptazione. Ad oggi qualsiasi tipo di attacco messo in pratica per decriptare un messaggio è fallito a tutto vantaggio della sicurezza informatica delle nostre informazioni.

Di seguito un breve video descrittivo dalla redazione della Stampa:

Fonte | La Stampa

Nell’Agosto del 1988 Karsten Nohl e il suo Team composto da 24 persone avevano iniziato a lavorare sull’algoritmo di sicurezza GSM (Global System for Mobiles) riuscendo nel 2009 a craccare l’algoritmo crittografico A5/1 usato dal sistema GSM, ogni cellulare che utilizza il sistema GSM possiede una chiave segreta che è riconosciuta dalla rete. Quando si effettua una chiamata, la chiave segreta è usata per creare una chiava di sessione che serve per crittografare la telefonata. Ulteriori informazioni sul sito dell’IHTeam.

Ad Agosto 2011 le ricerche del Team hanno invece permesso l’intercettazione dei pacchetti GPRS (General Packet Radio Service), la tecnologia che permette agli utenti mobili di navigare su internet e leggere le eMail, consentendo l’osservazione dei dati di ignari utenti. Nohl ha infatti dichiarato: “Con la nostra tecnologia siamo in grado di catturare le comunicazioni GPRS in un raggio di 5Km!“.

I test sono stati effettuati in Germania, Italia ed altri paesi europei riuscendo ad intercettare i dati degli operatori T-Mobile, O2 Germany, Vodafone e E-Plus.

Nohl ha inoltre ipotizzato che molti operatori lasciano in chiaro i pacchetti trasmessi sulla rete GPRS per permetterli di filtrare il traffico, evitando traffico voip o p2p.

Fonte | The Hacker News