Sicurezza, ICT e altro

Sembrerebbe una cosa abbastanza facile, no? L’utente inserisce una password, e i dati scritti sulla chiavetta usb vengono cifrati con quella password. Inserendo la stessa password, i dati vengono letti correttamente. Le varie problematiche di cifratura di drive sono note e trattate dai numerosi driver per dischi/partizioni cifrati.

Già una volta (non trovo il riferimento) la qualità delle implementazioni era stata messa in discussione. Adesso, il problema si presenta di nuovo: “NIST-certified USB Flash drives with hardware encryption cracked“. Cito:

During a successful authorisation procedure the program will, irrespective of the password, always send the same character string to the drive after performing various crypto operations.

Naturalmente mi viene un dubbio. Dato che questi oggetti sono certificati FIPS 140-2 Level 2, una prova che si potrebbe supporre venga effettuata è che i dati cifrati sulla chiavetta siano effettivamente cifrati con AES-128 come dichiarato. Ma se una tale verifica fosse stata fatta, ci si sarebbe dovuti almeno accorgere che la chiave con cui erano cifrati i dati non era quella derivata dalla password inserita…

Tutto questo conferma ancora una volta, se ce ne fosse bisogno, che i problemi della crittografia non vengono tanto dagli algoritmi crittografici in sè, ma dai protocolli che li utilizzano e dalle implementazioni.

La pagina è temporanea. Sto nuovamente trasferendo il dominio 🙁

Meno male che dovevo far ripartire il blog… alla fine mi sono trovato con pochissimo tempo, e l’unica cosa che mi ha convinto a ritagliare il tempo per preparare un post è stato il quarto OWASP Day. Hp partcipato ad un OWASP Day, il primo credo, alla Sapienza a Roma un paio di anni fa, e devo dire che è stato illuminante per quanto riguarda ad esempio la capacità di controllare un browser dopo che è stato attaccato (c’era una demo, se ben ricordo). Insomma, ve lo consiglio fortemente. Il termine per le iscrizioni è domani 30 ottobre, ed è per questo che oggi mi sono costretto a dedicare un po’ di tempo al blog.

Fra gli altri “eventi” del periodo, al meno per quanto mi riguarda, c’è l’avvio della laurea magistrale in Sicurezza Informatica a La Spezia, per la quale tengo il corso di Metodi e Strumenti per la Sicurezza.

Poi c; è il Premio Tesi del CLUSIT, che anche quest’anno si terrà al Security Summit a Milano, ma per il quale è già iniziata la raccolta delle tesi candidate. A parte il premio, penso che sia soprattutto l’occasione per un neolaureato di dare visibilità alla propria tesi sulla sicurezza, dato che altrimenti le tesi corrono il rischio di finire archiviate e dimenticate. La bacheca tesi può essere un modo per valorizzare la tesi, rendendola visibile e disponibile in un contesto specialistico. Partecipate numerosi 🙂

Sempre come CLUSIT abbiamo in corso una collaborazione con Federconsumatori per dell’attività di formazione di base che già nella prima edizione ha dato risultati molto soddisfacenti. presto ci sarà di più al riguardo sul blog del CLUSIT.

Sempre in tema di iniziative, continua l’attività di AIPSI sulla certificazione LoCSI. C’è un attimo di rallentamento nelle attività, ma nel complesso si va avanti, seppure con meno impeto di quanto sperassimo.

E poi ci sono altre iniziative, delle quali potrò parlare quando saranno ad un punto abbastanza definito…