Archivio per la categoria technology

Blockchain: non solo moneta elettronica!

peer 12 light

La settimana scorsa ho seguito un  interessante seminario su blockchain (1)

Ad alto livello, gli elementi fondamentali presenti in un approccio blockchain sono i seguenti:

shared public ledger; un “libro mastro” pubblico, non centralizzato (peer2peer), che registra e rende pubbliche in modo immutabile  tutte le transazioni effettuate;
strong cryptography;  una serie di algoritmi di crittografia standard di massima robustezza: Elliptic Curve Cryptography(4), SHA256+RIPEM160 impiegati per ECDSA (firma elettronica basata su Curve Ellittiche), e nella costruzione di Merkle Tree(5);
transaction ; una struttura dati organizzata come Merkle Tree, contenente i dati relativi all’applicazione che si basa sulla blockchain (ad es. proprietà e valore dell’eCoin, dichiarazioni contrattuali, riferimenti a dati/documenti esterni, istruzioni operative che verranno attivate a fronte di eventi futuri nella blockchain ed altro ancora); questa struttura è firmata (ECDSA) ed è connessa immutabilmente con le precedenti transazioni;
distributed consensus system, un protocollo basato sulla maggioranza degli operatori (miners) della blockchain che permette di validare e confermare ogni nuova transazione;
Scripting Language, un linguaggio di programmazione limitato ovvero completo (Turing complete) a seconda del tipo di implementazione della blockchain ed ovviamente a seconda della necessità dell’applicazione finale;

Qui è disponibile il documento originale che presenta l’idea alla base dell’applicazione più di successo in questo campo: BitCoin

Se invece siete alla ricerca di una piattaforma per realizzare una vostra nuova applicazione basata sull’approccio blockchain, potreste valutare Ethereum, una piattaforma open-source, stabile e robusta pronta per essere utilizzata in modo flessibile.

A parte l’utilizzo nei casi di eCurrency, l’approccio blockchain sembra molto interessante in un gran numero di applicazioni che si basino sulla presenza di un libro mastro affidabile.

Ho scritto “sembra” perché per impiegare una blockchain nei nostri progetti, dobbiamo ricordarci che questo comporta i concetti di condivisione di pubblico e di trasparenza.   Concetti che sono tipicamente contrari a quelli impiegati nella realizzazione di modelli di business standard.  In questi ultimi casi i termini a cui siamo abituati sono: proprio, privato, segreto.

suggestion   In ogni caso, potrei fare una proposta? 

Sto iniziando a pensare che uno dei settori dove sarebbe possibile impiegare la blockchain, avendone in cambio un valore aggiunto, è quello che riguarda il ciclo di vita dei certificati qualificati -sia di firma digitale che di autenticazione-  in special modo per quanto riguarda la gestione delle liste di revoca (CRL).

Sfruttando il nuovo regolamento europeo eIDAS (3), potrebbe essere possibile progettare e proporre un nuovo modo di gestire e garantire la vita di una CRL:  creare una blockchain a livello europeo [European Qualified Certificates Blockchain  (EQCB)] dedicata alla pubblicazione dei certificati qualificati e del loro status, garantita e supportata da tutti i Qualified Trust Service Provider [QTSP]  (ho lasciato il termine in inglese, perché la traduzione in italiano è improponibile).

Questa blockchain conterrebbe ogni certificato emesso ed ogni cambiamento del suo status (Attivo, sospeso, revocato, scaduto), con informazioni importanti e tempestive sul loro cambio di status, registrate in modo pubblico ed immutabile, senza che nessun singolo QTSP debba operare da garante.

Tutte le Certification Authority europee -o meglio dal prossimo luglio tutti i Qualified Trust Service Providers- che creano e pubblicano i certificati qualificati  per la firma elettronica, per i sigilli elettronici (electronic seals) e per i certificati di autenticazione dei siti web, potrebbero insieme costituire la EQCB.

Questa infrastruttura logica, porterebbe molti benefici, sia agli stessi TSP che ai loro clienti.

Sicuramente permetterebbe di beneficiare di economie di scala significative e sarebbe di supporto durante il periodo di transizione necessario alla gestione dei certificati qualificati rilasciati a persone fisiche in conformità alla Direttiva 1999/93 / CE

Renderebbe possibile la tempestiva pubblicazione delle eventuali sospensioni e revoche per i certificati e potrebbe incrementare la stabilità dell’intero sistema, rendendo il processo di verifica di un certificato più semplice, più trasparente, più efficiente e più certo.

Inoltre, con ben studiate strategie, procedure e politiche di sicurezza, potrebbe essere possibile rendere la verifica dell’autenticità dei nuovi certificati, molto più affidabile in quanto basata sul consenso di tutti i TSP che collaborano alla costruzione della blockchain.

Questo sarebbe particolarmente importante per i certificati associati all’autenticazione dei siti web, con un probabile importante abbattimento degli incidenti derivati dal phishing.

In ultimo, a proposito della fiducia, anche in caso di ritiro dal mercato o eventuale fallimento di un TSP, la validità dei certificati emessi da questo TSP continuerebbe a persistere senza interruzione all’interno della blockchain, garantita da tutti i TSP che ne fanno parte.

Spero che qualcuna delle Certification Authority in Europa, inizi a valutare la blockchain come uno strumento per rendere ancora più affidabile l’utilizzo dei certificati, elemento sul quale si basa la fiducia ed il controllo delle attività in Internet.

(1)  Trento University  by Prof. Max Sala;    http://www.science.unitn.it/~sala/

(2) Bitcoin: A Peer-to-Peer Electronic Cash System;    https://bitcoin.org/bitcoin.pdf

(3) REGULATION (EU) No 910/2014;  on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A32014R0910

(4) Basandoci sull’utilizzo in Bitcoin, la chiave privata in ECC è da 256bit, l’equivalente di una chiave RSA da 3072bit;

(5) una struttura dati ad albero basata sulla connessione dei nodi tramite i valori di hash dei nodi stessi; permette di verificare l’integrità dell’albero in modo particolarmente efficiente;

 

Bart English version

 

Lascia un commento

Benvenuta WhatsApp!

 

twWelcome

WhatsAPP è stata fondata nel 2009; dopo poco più di due anni aveva 100 milioni di utenti!

La crescita è continuata senza sosta ed a fine 2015 aveva raggiunto 1 miliardo di iscritti.

Nel frattempo -febbraio 2014- era stata acquisita da Facebook, ma dal grafico di crescita non sembra che l’acquisizione abbia avuto un ruolo nella sua crescita.

 

Il 5 aprile scorso, dopo 7 anni di vita,  ha annunciato l’introduzione della crittografia end-to-end:

La dichiarazione dell’azienda “Privacy and Security is in our DNA”, a fronte dei 7 anni passati senza protezione nello scambio di messaggi, appare un poco esagerata, ma il nuovo approccio è comunque importante e gradito.

Magari più che la preoccupazione per la privacy dei loro utenti, ha fatto molto di più l’arrivo sul mercato di un “Telegramma“.

 

Dobbiamo comunque ricordarci che tutti i metadati relativi alle nostre conversazioni sono ancora disponibili:   data ed orario del messaggio, tipo di informazione scambiata (testo, immagine, video, audio), mittente e destinatari.   Sono tutte informazioni che permettono la nostra analisi a fini marketing,  spesso al limite della soglia legale.

 


 

Bandiera inglese  Qui la versione Inglese (si fa per dire)

 

, ,

Lascia un commento

la grande battaglia Apple Vs FBI …

double win ma che ce ne importa?

 Bandiera inglese  Come immagino si sappia, da qualche giorno la vicenda Apple Vs FBI sembra conclusa.

I dettagli non sono ancora pubblici, ma sembra che con il supporto di un’azienda specializzata in analisi forense nel mondo digitale ovvero seguendo il metodo suggerito da un esperto di analisi forense, l’FBI sia riuscita a accedere ai dati contenuti nello smartphone del terrorista Syed Rizwan Farook  (attentato di San Bernardino).

Stranamente la gran parte delle persone che si sono occupate della vicenda, si è concentrata molto sul rapporto FBI Vs Apple ed ora sta scrivendo di tutto e di più sul vincitore di quella che è stata descritta come una battaglia (di libertà?):  il vincitore non sembra comunque chiaro chi sia.

Ho scritto stranamente perché in realtà -almeno per chi si occupa di sicurezza- questa battaglia non aveva alcun senso né avrebbe dovuto avere molta importanza discuterne in questo modo.

 Il tema è sempre stato ed è rimasto quello della sicurezza e riservatezza dei nostri dati. 

Alla luce di quanto accaduto, dobbiamo domandarci:
possiamo considerare gli  smartphone -poco importa chi sia il costruttore-  delle device sicure oppure no?

In questo contesto device sicura significa: capace di proteggere i dati che contiene da accessi illeciti (illeciti almeno dal punto di vista del proprietario dei dati).

Approfittando di quello che sembra l’epilogo della vicenda, confermo quanto già scritto in precedenza: sembra proprio di no.
L’FBI ha scoperto di non aver più bisogno del supporto di Apple per acquisire i dati presenti all’interno del cellulare in esame ed ha  rinunciato alla causa con Apple.

È un problema? Siamo tutti meno sicuri ora che sappiamo che una terza parte può accedere ai dati di uno smartphone  sicuramente ben progettato anche dal punto di vista della sicurezza?

Personalmente sono sempre stato convinto di un aspetto :

gli smartphone potrebbero essere delle device con buon livello di sicurezza, ma per raggiungere questo livello, dovremmo utilizzarli in un modo poco pratico.

In queste condizioni, il solo smartphone (il suo sistema operativo) non ci consente di gestire informazioni riservate con un livello di privacy/sicurezza accettabile;  c’è bisogno al suo interno di una ulteriore cassaforte per i dati che noi reputiamo riservati.

Una App che operi come una cassaforte, da utilizzare le sole volte che sia necessario, capace di proteggere i dati tramite algoritmi di crittografia forte e verificati a livello pubblico; una App che possa attivarsi per mezzo di una chiave/password/passphrase forte.

2 commenti

Apple Vs FBI: discussioni inutili

pointlessI3

 

Bandiera inglese   Inutile girarci intorno: per quanto validi, i meccanismi di protezione dei vari smartphone in commercio, non vengono da noi utilizzati nel modo migliore, ne lo possono essere, pena rinunciare ad un accesso semplice e veloce alle funzioni dello smartphone stesso.

Qualcuno vorrebbe forse attivare il proprio smartphone -dalle 20 alle 60 volte al giorno- usando una password (forte) come questa?       H-8Gi0Lyn87#13
o meglio ancora, una passphrase come questa?               Agn0stIc0 -was- Il mI0 s0nn0

Sono password e passphrase piuttosto robuste;  ma naturalmente no, nessuno le userebbe 20, 30 o 60 volte al giorno: renderebbe l’accesso al nostro smartphone un inferno.

È indubbio comunque, che il nostro smartphone contenga molte informazioni per noi importanti;  per qualcuno, il proprio smartphone contiene tutte le informazioni che lo riguardano: PIN, codici, note e telefoni riservati; spesso anche le userid e password (credenziali di accesso) che  permettono di accedere alla propria banca, alla propria email ed ai propri profili nei social network:  in prima posizione Google, Facebook, ma anche LinkedIn, Twitter, Instagram.

Per governare l’accesso al nostro smartphone e  proteggere veramente i nostri dati privati, è quindi necessario avere al suo interno un contenitore sicuro di dati, con altissimo livello di sicurezza: una App che operi come una cassaforte inviolabile, per i vostri dati riservati.

Se ben implementata, se correttamente integrata con i più robusti algoritmi standard di crittografia e se attivata con una password o passphrase forte, allora sì, i nostri dati saranno al sicuro da chiunque voglia accedere a loro in modo illecito:
che sia un’organizzazione criminale o perfino un governo, per nessuno –neppure per il costruttore– sarà possibile accedere a dati protetti da crittografia forte(1).

Questa è la ragione per cui penso che tutto quello che e’ stato detto del caso Apple Vs FBI abbia poco senso:  dobbiamo organizzare i nostri strumenti di lavoro in modo che siano immuni anche dalla volontà -diretta o indotta- del produttore.
Non dovrà preoccuparci che l’FBI chieda o obblighi un produttore a rimuovere una protezione, ne –ed a maggior ragione– dovremo preoccuparci del fatto che il produttore un giorno si svegli di cattivo umore e decida di accedere ai nostri dati privati.

È la crittografia quella che conta: forte, di pubblico dominio ed utilizzata con chiavi robuste.

(1) “There are two kinds of cryptography in this world:  cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files”   Applied Cryptography  –  Second Edition 1996 [2016: 20th Anniversary ! ] By Bruce Schneier

Lascia un commento

gli HSM (quelli certificati) crescono (in numero) Episode II

11/04/2016  update
Un mese fa eravamo in attesa dell’Attestato di Conformità, sempre rilasciato da OCSI:
è arrivato, con data 6 aprile 2016.


welcome_back … dear nCipher

Finalmente dopo mesi, no anni di trepida attesa (si era iniziato a vedere qualcosa il 26 ottobre 2011, ma avevamo perso ogni speranza  il 25 luglio 2014), è arrivata pochi giorni fa la notizia:

per la nShield HSM Family v11.72.02 è stato emesso un
Rapporto di Certificazione da parte di OCSI
che proclama questa famiglia di prodotti
conformi ai requisiti dello standard ISO/IEC 15408 (Common Criteria) v.3.1
per il livello di garanzia EAL4+ (AVA_VAN.5)

Il Rapporto dichiara che i dispositivi della nShield Family possono essere utilizzati come:
Dispositivi sicuri di firma elettronica (Secure Signature-Creation Device, SSCD)”

Qualche informazione in più si trova nel Security Target (pubblico) sempre presente sul sito OCSI.

Senza nulla togliere alle altre apparecchiature certificate in precedenza, non può che far piacere la disponibilità di una nuova (famiglia di) device, da poter utilizzare in nuovi progetti relativi ai sigilli digitali ed alla firma elettronica qualificata.

Come mi è stato correttamente suggerito, ora non resta che da attentere l’attestato di conformità sempre rilasciato da OCSI, dove potremo trovare le indicazioni per operare in conformità ai requisiti prescritti dalla normativa vigente per i dispositivi sicuri
per l’apposizione di firme elettroniche qualificate (automatiche e remote).

 

Lascia un commento

A Post-Quantum World

were_we_are
Bandiera inglese

Dopo circa 35 anni di lavoro in informatica, eravamo finalmente riusciti a capire ed ad implementare correttamente gli algoritmi di crittografia asimmetrica RSA.

In questi ultimi 10 anni, ci siamo anche sforzati di accettare la crittografia a curve ellittiche, promessa come soluzione a lungo termine che ci avrebbe accompagnato fino alla nostra pensione.

Beh mi spiace dirlo, ma sembra che sia arrivato -con un certo anticipo sul previsto-  il momento di rimboccarsi le maniche e ricominciare da capo.

L’ipotesi di uno dei più stimati guru dell’information security -Bruce Schneier- è che nell’arco dei prossimi 30 o 40 anni, il quantum computing sarà completamente realizzato ed applicabile a numerosi ambiti matematici, tra cui si distingueranno le soluzioni per la fattorizzazione dei grandi numeri -elemento fondante delle soluzioni crittografiche RSA-  e per il calcolo del logaritmo discreto, su cui sono basati i sistemi crittografici Diffie-Hellmann e quelli basati sulle curve ellittiche.(1)

Quindi la diretta conseguenza del prossimo affermarsi del quantum computing, è che i processi di firma digitale e quelli di scambio chiavi -tipicamente basati su crittografia asimmetrica- dovranno essere profondamente ripensati.

Prima che il panico dilaghi, c’è da ricordare che il quantum computing non comporterà di per se un indebolimento degli algoritmi di crittografia simmetrica; l’implementazione di questi algoritmi -con chiavi di opportuna lunghezza- viene invece suggerita da NSA come layer aggiuntivo di protezione, rispetto all’insorgere del quantum computing.

Inoltre esistono già da tempo algoritmi a chiave pubblica, che potranno fornire una significativa sicurezza anche in presenza del quantum computing.

L’algebra dei reticoli (meglio cercare lattice, in inglese)(2), presenta alcuni problemi complessi che si adattano bene al campo della crittografia asimmetrica e sono contemporaneamente immuni alle diverse capacità del quantum computing (ma non chiedetemi di spiegare il perchè: non sono in grado di capirlo).

Basato su presupposti matematici diversi, anche il sistema crittografico McEliece, ideato poco dopo la storica pubblicazione su un sistema di crittografia a chiave pubblica di Whitfield Diffie e Martin Hellman (a loro volta sicuramente influenzati da un lavoro di Ralph Merkle), è un candidato a rappresentare la crittografia asimmetrica nel mondo post-quantum computing.

Questo sistema crittografico, oltre ovviamente ad essere capace di resistere alle tecniche di attacco attualmente disponibili è anche più veloce di RSA; peccato che le sue chiavi -in realtà delle matrici da almeno 512kbit- impongano un ripensamento di tutto il software attualmente in uso e  difficilmente potranno essere implementate su smart card.

Al di à di tutto ciò,  30 o 40 anni è un periodo temporale che potrebbe far dormire tranquillamente un sacco di persone;  ma essendo noi dei tecnici, non possiamo ignorare il tema:
ciò che sto proteggendo oggi con i sistemi attuali, potrà essere rivelato o alterato tra 30 o 40 anni, senza che questo fatto crei problemi ai proprietari o ai fruitori di questi dati?

Inoltre, l’ipotesi dei 30 o 40 anni proposta da Schneier, sembra conservativa anche a lui stesso:
Il 2 e 3 aprile scorsi, il NIST ha organizzato un workshop dal titolo inequivocabile:
                 “Workshop on Cybersecurity in a Post-Quantum World”
Qualche giorno fa, il 19 agosto scorso, l’NSA (meglio: IAD Information Assurance Directorate) ha annunciato(3) il piano preliminare per il passaggio dagli attuali sistemi di crittografia approvati ed attualmente utilizzati(4), ad una nuova suite di algoritmi crittografici “resistenti” al quantum computing.

Non bastasse il solo annuncio,  alcune delle dichiarazioni in esso contenute, fanno pensare che NSA veda la piena disponibilità del quantum-computing, probabilmente molto prima dei prossimi 30 anni: questo significa cambiare una serie di protocolli ed algoritmi di crittografia attualmente in uso, entro i prossimi 10 anni.

Aderenti al loro pay-off   “Defending Our Nation. Securing The Future”,  l’NSA si è attivata.(5)

La conseguenza delle dichiarazioni dell’NSA, portano quindi a pensare che i tempi della transizione ad una nuova suite di algoritmi crittografici quantum resistant, siano -se non brevi- comunque non molto lunghi.

Dopo aver sollecitato in questi ultimi anni  i propri partner ed i vendor a superare i limiti di vita degli algoritmi RSA ed integrare sistemi di crittografia basati su curve ellittiche, con la comunicazione dello scorso 19 agosto, senza giri di parole, l’NSA fa marcia indietro, addirittura consigliando ai partner ed ai vendor che non abbiano già adeguato i propri prodotti ai sistemi crittografici basati su curve ellittiche a NON INVESTIRE su quest’ambito, ma piuttosto a prepararsi per l’arrivo della  nuova suite di algoritmi quantum resistant.

A parziale giustificazione di questo cambio di rotta, ma senza tentare di nascondere l’errore di valutazione commesso, NSA-IAD dichiara:

Sfortunatamente, la crescita nell’utilizzo delle curve ellittiche, si è scontrata contro i continui progressi nella ricerca nel campo del quantum computing; questo (ci) ha reso chiaro che la crittografia basata sulle curve ellittiche non è la soluzione a lungo termine che molti una volta speravano fosse.
Questo fatto ci ha obbligato ad aggiornare la nostra strategia.

Nel frattempo che la nuova suite venga studiata, proposta, validata e sviluppata, l’NSA raccomanda di mantenersi coerenti e continuare ad usare gli algoritmi crittografici della Suite B, validati pubblicamente da un lungo process di peer review.
Ai più scrupolosi e paranoici partner, consiglia anche di iniziare ad usare chiavi di crittografia più grandi:

  • RSA/DH ⟶  3072bit  per lo scambio di chiavi
  • RSA ⟶  3072bit per la firma digitale
  • SHA⟶  384bit
  • AES ⟶  256bit
  • ECDH/ECDSA(curve ellittiche) ⟶ Curve P-384 sia nel caso di scambio chiavi che per la firma digitale

Inoltre, quando necessario alla protezione di informazioni importanti e destinate ad una lunga vita, NSA consiglia di implementare la sicurezza complessiva, con ulteriori layer quantum-resistant:
gli unici attualmente conosciuti e possibili sono protocolli sicuri standard,  basati sulla crittografia simmetrica che utilizzi grandi chiavi.

Aspettiamoci quindi a breve una nuova “public competition” organizzata dal NIST (che comporterà dai 3 ai 5 anni di lavoro).

Probabilmente l’arrivo del quantum computing in campo crittografico, sarà come l’arrivo dell’automobile nel mondo dei venditori di carrozze: per qualche tempo l’aggiunta di un paio di cavalli, tenterà di contrastare il nuovo arrivato.
L’illusione non durerà per molto.

(1) https://www.lawfareblog.com/nsa-plans-post-quantum-world
(2) chi vuole tentare di farsi del male, può iniziare tranquillamente da qui:
  https://en.wikipedia.org/wiki/Lattice-based_cryptography
(3) https://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
(4) la famiglia di algoritmi pubblici approvati da NSA è detta “Suite B”; sono pubblicati dal NIST americano e in modo omogeneo riportati nei documenti ETSI sugli standard crittografici applicabili in Europa
(5) se uno fosse veramente maligno, potrebbe pensare che l’NSA ha sistemi capaci di quantum computing da tempo e che ora pensa che a breve questa tecnologia sarà a disposizione anche di altri: è quindi giunto il momento di ribilanciare la situazione.

, ,

Lascia un commento

Divertente … anzi, no! assolutamente pazzesco.


I am just an adware

Bandiera inglese

Sembra che a partire dallo scorso agosto 2014, Lenovo abbia rilasciato sui suoi portatili, un Adware chiamato “Visual Discovery” prodotto da Superfish (?).

Lo scopo di questo “tool” era di operare come un proxy installato nel vostro browser, in modo da  fornire in modo trasparente un servizio di ricerca visuale: prende in ingresso la immagini che vengono presentate durante una semplice navigazione, le confronta con un grande DB nel cloud, per presentare poi una selezione di immagini simili.

Un tool che potrebbe anche essere comodo, se non fosse che, allo scopo di poter vedere proprio tutto il traffico dati, Superfish si è attrezzato per inserirsi anche nel mezzo delle comunicazioni https (e già!):   in pratica realizza un efficientissimo man-in-the-middle, all’interno del vostro computer.

In pratica ogni comunicazione dal browser verso un sito, incontra il suo end-point, direttamente in questa applicazione “filtro” [applicazioni definite LSP (Layered Service Provider) o WFP (Windows Filtering Platform) ], che provvede poi ad inoltrare la richiesta al sito di destinazione.

A questo punto, nel caso di una comunicazione https,  verrà attivato un canale “sicuro”  tra il browser e questo proxy (Superfish), quindi un secondo canale “sicuro” verrà attivato da Superfish ed il sito esterno. Quindi, esisterà una  comunicazione  crittografata e protetta, dal sito esterno, fino a Superfish e nuovamente -con una differente connessione “sicura”- da Superfish al vostro browser!

Mica facile però.

Nelle connessioni https, il browser verifica che il certificato server di autenticazione, sia prima di tutto verificabile come vero, quindi si riferisca effettivamente all’host che è stato richiamato dal browser; se il certificato server non dovesse venire verificato, il browser farebbe apparire un messaggio esplicito di avvertimento all’utente, per avvisarlo della situazione.

E come fa Superfish ad evitare questo controllo?

In pratica genera certificati server al volo, che permettano al browser di validare la connessione con se stesso.

Ma come è possibile che il  browser accetti questi certificati,  ovviamente falsi?

Facile: in fase di installazione, Superfish garantisce per sé verso Windows, presentandosi come una Certification Authority attendibile ed aggiungendo un proprio certificato “root” all’interno del repository di sistema.

In questo modo può creare e FIRMARE al volo certificati falsi dei vari siti su cui si naviga; tanto per non lasciare nulla al caso, il suo certificato rootCA permette non solo di verificare la firma di certificati server, ma anche di verificare le firme sui software.

Ovviamente per operare, è necessaria la chiave privata del certificato “root”;  questa è presente all’interno del software Superfish [e’ crittografata, ma tramite una chiave che è stata facilmente trovata da diversi ricercatori che operano con SSL].

Cosa c’è di peggio? Che Superfish può ovviamente essere sfruttato da malware e malicious sia per farvi navigare su siti falsi -ma che risultino perfettamente accreditati da falsi certificati server- sia per farvi accettare come validi, software di qualsiasi tipo possiate scaricare.

Ora, ipotizzando con ragionevolezza che Lenovo non sia il Re degli Hacker Mondiali, viene da pensare:
ma come **#!!@ gli può essere venuto in mente di fare una cosa del genere?

La prossima volta che uno degli OTT -e Lenovo lo è-  si proporrà per un sistema di controllo di una Rete Critica o per l’implementazione di un sistema di guida automatica nelle nostre auto, che dovremo pensare?


Funny? No, definitely crazy!

From August 2014 Lenovo released on his laptop an Adware that actually acts as a very efficient man-in-the-middle
The adware is known as Visual Discovery by Superfish and the worst thing -of course- is that this software could be abused by cybercrooks.
Next time one of the OOT in Computer and Software -Lenovo is one of them- will propose a Control System for a Critical Infrastructure or the implementation of an automatic guidance system in our cars, what will we have to think about?

From Homeland Security: You have to remove it, immediately! 

 
More on this:

Lascia un commento