Sulla backdoor nei chip cinesi

Posted on May 31, 2012 by blogadmin

La cosa è ormai nota: a una dichiarazione di un ricercatore di Cambridge di aver trovato una backdoor è seguita una dichiarazione di segno contrario da parte di un “esperto” (lo metto fra parentesi non perché penso che non lo sia, ma perché non sono riuscito a capire chi sia questo Robert David Graham, a parte un blogger, e perché al suo post sia stato dato tanto risalto). Per completezza, il chip di cui si parla è questo, mentre qui c’è il commento di Skorobogatov a tutta la vicenda. Devo premettere che concordo con quasi tutte le considerazioni di Graham sul chip in sé, compresa l’ambiguità del termine “militare”. Molti circuiti integrati vengono vengono prodotti da tempo in due versioni, una normale e una “per uso militare”, che vuole dire semplicemente che possono operare in condizioni ambientali più sfavorevoli, in particolare a temperature più alte o più basse. È solo una questione di standard più elevati tipicamente richiesti in quel contesto. Dire che sono “chip militari” è come dire che un circuito SN 5400, che comprende quattro porte logiche NAND e niente di più, è un “chip militare” solo perché sopporta temperature più elevate rispetto alla sua controparte “civile” SN7400. Come anche è facile che la backdoor non sia stata messa “apposta” per rubare informazioni ai militari americani…

Ma il mio accordo con lui finisce qui. Il primo punto importante è che, come Graham stesso dice, i chip in discussione sono oggetti complessi, e se devono essere utilizzati su un sistema critico (e alla fine, chip militari o no, se vengono utilizzati in ambito militare è facile che finiscano in contesti critici) dovrebbero essere sottoposti allo stesso livello di assurance a cui sono sottoposti certamente i componenti software. Questo è il senso delle dichiarazioni di Skorobogatov. Altrimenti si tratta del classico gigante con i piedi di argilla. Invece, c’è il rischio che oggetti così complessi vengano davvero utilizzati con la stessa (poca, suppongo) attenzione con cui viene utilizzato un circuito integrato più semplice.

È chiaro anche che si tratti effettivamente di una backdoor: storicamente le backdoor sono porte di accesso nascoste che lo sviluppatore lascia nei propri prodotti, non c’è necessariamente un’intenzione malevola. Anzi, le backdoor sono sempre state considerate pericolose soprattutto perché potevano essere scoperte da malintenzionati accidentalmente. Quindi che siano state messe intenzionalmente dai cinesi non cambia molto, anche perché non credo che per questo venga messo in discussione l’interesse della Cina ad accedere a informazioni riservate, né la pericolosità della backdoor in sé. Al più, si può dire che fortunatamente i cinesi non ci avevano pensato, ma sicuramente ci potranno pensare da adesso in poi.

Ma c’è anche un’altra lezione che è bene ricordare. In molti contesti dell’ingegneria e dell’informatica ci viene insegnato a pensare “per strati” (layer): in fase di progettazione o programmazione di uno strumento, uno strato sottostante mi fornisce delle funzionalità che, in base alle specifiche dichiarate, io utilizzo senza preoccuparmi di come sono realizzate, e a mia volta realizzo funzionalità che fornisco ad uno strato superiore, senza preoccuparmi di che uso ne farà, specifiche a parte. Nel campo della sicurezza questo non funziona, perché di fatto le specifiche non coprono quasi mai esplicitamente tutti i problemi di sicurezza. In questo caso, esiste un meccanismo di cifratura dei dati caricati sul chip: io non mi posso disinteressare di come è realizzato il chip e di come mi fornisce queste funzionalità, perché se la realizzazione è insicura, anche la sicurezza che io mi aspetto ad un livello più alto sparisce. Non mi stupirei quindi se oggetti come questi chip venissero utilizzati all’interno di oggetti soggetti a certificazione di sistema, minando magari tutto lo sforzo fatto per certificare il resto del sistema, software compreso. Nel caso specifico della backdoor scoperta naturalmente, il rischio è mitigato dalla necessità di accesso fisico al chip, ma la mancanza di assurance per un oggetto complesso rimane un problema.

Aggiornamento: il produttore del chip ha rilasciato un commento alla questione. Sarà un limite del mio inglese, ma la frase cruciale non mi è chiara, né nel documento ufficiale, né nel commento che ne fa The Register: “The internal test mode can only be entered in a customer-programmed device when the customer supplies their passcode, thus preventing unauthorized access by Microsemi or anyone else“. Per come la leggo io, questo vuole dire che per accedere all’internal test mode in un chip programmato, prima bisogna dare la password, ma questo naturalmente escluderebbe che si tratti di una backdoor anche potenziale. A questo punto non resta che aspettare ulteriori chiarimenti da Cambridge 😉

Posted in ict, Sicurezza | Tagged , , , , , , | 1 Comment

BYOD: Broadcast Your Own Documents

Posted on May 30, 2012 by blogadmin

L’ingresso di palmari, tablet e simili in azienda è uno dei tanti fenomeni inevitabili. Mi sembra che assomigli al passaggio dal mainframe ai sistemi distribuiti, e non a caso il calo di sicurezza degli apparati viene paragonato a quello degli albori di Windows. Su questo tornerò un altro giorno, ma adesso vorrei mettere l’accento su uno dei tanti problemi di sicurezza collegati a questi apparati e che probabilmente sfugge a molti degli utenti, professionali o domestici che siano. Qualche giorno fa chiacchieravo con un collega di app rischiose, e in particolare di quelle che visualizzano documenti di formati inusuali. Date le risorse di calcolo limitate di questi strumenti, è comune che l’app non sia altro che un’interfaccia che manda il documento ad un server, il quale lo interpreta e lo restituisce visualizzato come pagina HTML o altro. Quindi sì, queste applicazioni mandano i vostri documenti riservati ad un server gestito da chissà chi. Un sistema semplice per vedere se l’app che state usando si comporta in questo modo, è mettervi off-line e provare a leggere un documento: se l’app ha bisogno di connettersi ad un server si lamenterà e vi dirà che non può visualizzare il documento. Quanti documenti superriservati interni aziendali viaggiano felicemente verso server in mezzo mondo? Scherzavamo sul fatto che questi server potrebbero preparare delle “bustone sorpresa” come quelle di Natale per i bimbi: 10.000 documenti assortiti per 10 euro, se siete fortunati ci trovate un documento di grande valore… 😉 Ma ripensandoci, c’è un altro aspetto interessante, e cioè l’interfaccia fra la app e il server. Qualcuno si illude che sia sicura? E quindi, non sarebbe un buon vettore sia per attaccare l’apparato, sia per andare “a pesca” di documenti sul server?

Ma quello che mi ha spinto a scrivere il post è un altro problema, simile. È noto che Opera è un ottimo browser per gli smartphone perché usa un proxy con un meccanismo di compressione. Anche grazie ad un articolo di InfoWorld, ho deciso di considerare di installare Opera sul tablet Android nuovo che mi sono appena comprato (grande soddisfazione!), e mi sono trovato davanti alla scelta fra Opera Mobile e Opera Mini. Opera Mini è pensato apposta per gli smarphone perché utilizza quel meccanismo di compressione… e naturalmente mi sono chiesto: ma con le connessioni SSL, come fa? La risposta, ovvia, è nella FAQ di Opera Mini:

Is there any end-to-end security between my handset and — for example — paypal.com or my bank?

Opera Mini uses a transcoder server to translate HTML/CSS/JavaScript into a more compact format. It will also shrink any images to fit the screen of your handset. This translation step makes Opera Mini fast, small, and also very cheap to use. To be able to do this translation, the Opera Mini server needs to have access to the unencrypted version of the webpage. Therefore no end-to-end encryption between the client and the remote web server is possible. If you need full end-to-end encryption, you should use a full web browser such as Opera Mobile.

Naturalmente, tutti ci fidiamo di Opera… specialmente poi se lo comprasse facebook, come si rumoreggia 😉

Posted in ict, Sicurezza | Tagged , , , , , | Comments Off on BYOD: Broadcast Your Own Documents

Stefano Quintarelli presidente di AGCOM?

Posted on May 14, 2012 by blogadmin

Articolo del Corriere della Sera: “Agcom, dal web spunta il candidato «tecnico» Prima candidatura via Twitter per un’authority “

Ho avuto occasione di chiacchierare con Stefano qualche volta, oltre a seguire il suo blog da tempo. Oltre a sapere di cosa parla, ha il pregio di cercare i fatti a sostegno delle sue posizioni, oltre ad ascoltare le opinioni altrui. Inoltre, la sua competenza non si limita agli aspetti tecnici, il che non è comune.
Per chi vuole farsi un’idea, il suo blog è qui:
http://blog.quintarelli.it/

… quindi sì, vi sto suggerendo di firmare la petizione
http://www.firmiamo.it/stefano-quintarelli-4-president

Posted in ict | Tagged , , | Comments Off on Stefano Quintarelli presidente di AGCOM?