Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte. Scarica l'app da o da



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Caffe20  Dizionario  App  Video Demo · Accesso · Iscrizioni    
             

Abbonati:




Scarica il dizionario:


Per cancellarsi dalla precedente newsletter interna

  


Sicurezza 10.04.2014    Pdf    Appunta    Letti    Post successivo  

Bug di openssl. Cambiare tutte le password

Mentire e mentirsi. La sicurezza della matematica non e' assoluta. Mai.
Nel video la scena in cui HAL rifiuta di aprire il portello all'astronauta che lo vuole disattivare perche' ha capito che sta mentendo e danneggiando la vita degli astronauti nell'intento di proteggere la misssione, cosi' come richiesto dai politici all'insaputa degli ingegneri.

Download or Play, List or RSS:

 

Indice

  • Un bug (!) in un sistema di crittografia
  • Oggi cosa fare ?
  • Da dove iniziare ?
  • Quando iniziare ?
  • Conclusioni
  • In pratica
S

Se vi e' mai venuto in mente un evento pericoloso, questo si e' verificato.

Un bug (!) in un sistema di crittografia ha prodotto il risultato di rendere visibili connessioni crittate.

Dietro tutti ci vedono i servizi segreti americani, ed e' molto probabile che la colpa sia proprio loro, perche' se loro chiedono di ridurre la sicurezza per poter accedere, altri lo potranno fare.

Questo dimostra quanto uno stato di polizia non sia mai la soluzione ad un problema reale, anzi, produce esattamente questi paradossi. La smania di voler essere sicuri di tutto porta semplicemente a livelli di non trasparenza maggiore dei casi di violazione della sicurezza.

E' sempre stato cosi'. Come dico almeno dal 1989: non usate i computer per registrare dati riservati. Usate la vostra testa, ha una discreta ram. (nel 1989 tenni una relazione alle asl della provincia di Milano).

 

Oggi cosa fare ?

Non e' possibile sapere quali nostre password siano state sniffate (intercettate e memorizzate).

Quindi: cambiarle tutte, partendo da quelle delle banche a scendere.

Il problema e' come cambiarle. Ci vorra' un foglio di carta solo per elencare tutti i servizi, spuntando quelli per i quali la password e' gia' cambiata.

Come scegliere le nuove password ?

Senza dubbio tutte diverse dalle precedenti. Usate parole diverse e criteri diversi per unire diverse parole.

La password rossi diventera' di.ver (verdi a contrario con un segno non alfabetico). Meglio se usate almeno anche una maiuscola.

Controllate che i servizi gestiscano password lunghe. Ricordo ancora quando diedi di matto scoprendo che un blasonato servizio non distingueva i caratteri oltre l'ottavo. Erano tutte uguali 1234568.1 1234568.2 1234568.cippallippa. Dopo settimane provvidero, ma senza avvisare che bisogna aggiornare i vecchi account, che continuavano a mantenere il problema. 

Quindi: password nuove e criteri nuovi. Tutte diverse le une dalle altre. Come registrarle ? Su carta no, su file nemmeno. Ma non si possono piu' tenere centinaia di password a memoria. Quindi accettate un livello di rischio ragionevole, e proteggete la vostra lista, meglio se la tenete parziale, magari separando servizi da password, e mettendo comunque i dati in posti diversi.

Se usate firefox, non memorizzate le password in cloud, ma piuttosto memorizzatele in locale e fatene backup in locale.

 

Da dove iniziare ?

Password di banche, altri sistemi di pagamento e istituzioni.

Password di servizi di cloud, email, calendari, google, dropbox, fb (e tutti gli altri, tanto lo so che avete password simili, la paranoia mia non e' cosa comune).

Password di servizi comuni di social network e servizi online

L'utilita' sara' anche avere una lista di tutti i servizi che usate.

 

Quando iniziare ?

Questo e' il problema. Dubito che le patch siano state tutte gia' applicate.

Paradossalmente sarebbe meglio aspettare qualche giorno, rischiando nel frattempo di farsi hackerare.

Se iniziate subito, a maggior ragione tutte le password siano diverse da subito. Ben diverse dalle vecchie e tra le nuove pure, tutte diverse tra di loro anche le nuove.

 

Conclusioni

Si dimentica sempre che se l'ha fatto un uomo, un altro uomo potra' trovare un meccanismo elusivo. Idem per le macchine.

Se poi i governi insegnano ad HAL di mentire, questi per proteggere la missione decidera' di uccidere chi la mette in pericolo, anche se e' programmato per difendere gli uomini.

Ma la lezione di Odissea nello spazio, cosi' come di 1984 (il grande fratello), e' dura da imparare.

 

In pratica

Cominciate a cambiare le password delle banche e delle istituzioni, poi google, facebook e dropbox, tra i piu' comuni.

Poi ricambiatele ancora fra qualche settimana, insieme agli altri servizi, dando il tempo di creare altre versioni piu' sicure e installare i software aggiornati.

Soprattutto resta il dubbio di molti: ma non e' che convincono tutti a cambiare, perche' le nuove sono ancora meno sicure delle vecchie ? Diabolico ? Sarebbe molto piu' semplice.

Cambiamole spesso. Altro non c'e'.

 

10.04.2014 Spataro
Fonte:




Segui le novità in materia di Sicurezza su Civile.it via Telegram
oppure via email: (gratis Info privacy)



Dossier:



dallo store:
visita lo store

Altro su Sicurezza:


"Una storia non e' mai soltanto una storia" - Babakar Mbaye Ndaak


Spieghiamo contratti, ecommerce, privacy e il diritto di internet su Civile.it dal 1999



Tinyletter - I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in