Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Feb Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen
Hot coffee

Che Seattle sia la patria di Starbucks è risaputo; la gente beve "caffé" anche mentre guida.

Meno risaputo che Seattle fosse la patria di cowgirls espresso:

CowgirlsEspresso

Magari il caffé lascia desiderare, ma il servizio sembrerebbe compensare Smile

-quack

Pubblicato giovedì 18 ottobre 2007 alle 4:10 AM - 7 commenti so far
Archiviato in: Cazzate

Chain of trust

Sabato scorso avevo proposto un quiz sul tanto odiato TPM. La domanda era cosa offre un TPM che una Smart Card non può offrire. La risposta è riassunta nel titolo di questo post, la chain of trust.

Il TPM - essendo un dispositivo riconosciuto e supportato da BIOS - permette di validare il Sistema  Operativo prima che quest'ultimo venga caricato in memoria, cominciando appunto dal boot loader: in parole povere iTPMChip l TPM è in grado di garantire l'integrità del boot loader _AL_ sistema operativo; l'unico modo safe in cui questo può avvenire è via hardware e necessariamente prima che il sistema operativo venga caricato. Perché non ci si può fidare del boot loader solamente via software? Perché il boot loader potrebbe venire facilmente aggirato e programmato per mentire (i rootkit sono solo una via). Il TPM, per come è costruito, garantisce l'integrità fisica delle chiavi private in esso contenute: modificarle dall'esterno è impossibile, come può avvenire con una chiave memorizzata su una chiavetta USB.

Per far funzionare una Smart Card, o un dispositivo SD, c'è bisogno di driver e di un sistema operativo. Per questo motivo una Smart Card, laddove non supportata a livello di BIOS[1], non può essere usata come dispositivo per garantire la chain of trust.

Nota importante: il compito principale del secure boot non è quello di impedire di far partire software "non firmato" ma è quello di dare al software interessato la risposta «certa» alla domanda «ma io sono veramente io?». La reazione a tale risposta dipende quindi solamente da «chi» fa la domanda e non dal TPM stesso.

C'è infine un aspetto pratico: se si usasse una Smart Card per memorizzare le chiavi di cifratura di bitlocker, il trafugamento fisico dei dati sarebbe un pelino più semplice.

Questo da parte mia è il primo post sull'argomento Trusted Platform. Cercherò di evitare accuratamente «false» paranoie; quelle vere vanno prese in considerazione in quanto alla base dei requirements per creare una Trusted Platform.

-quack

Technorati Tags: ,

[1] Ad oggi, non sono a conoscenza di sistemi in vendita che supportino il secure boot via smartcard.

Pubblicato martedì 16 ottobre 2007 alle 6:38 PM - 31 commenti so far
Archiviato in: Security, Trusted Computing

Licenza di scrivere

Prendo spunto da questo complimento (mi fanno arrossire):

Il blogger e' letteralmente un pazzo con la licenza di scrivere !!!!  

Watson: ma Sherlock, ma che licenza ci vuole per scrivere?
Sherlock: elementare Watson, elementare!!!

-quack

Pubblicato domenica 14 ottobre 2007 alle 9:17 PM - 2 commenti so far
Archiviato in: Cazzate

TPMQ

Oggi è giornata di quiz sul TPM.

"Batman" ha colpito ancora. L'articolo, che varrebbe uno dei miei "soliti" post, è pieno di inesattezze. Siccome sono in vena di quiz, ne riporto un paragrafo:

Se avete acquistato un banalissimo notebook con Vista Hut (la versione povera di Vista Home) sappiate che potete tranquillamente cifrare il disco fisso usando uno qualunque dei vari strumenti disponibili sul libero mercato. Potete usare BestCrypt di Jetico, TrueCrypt o cercare qualcosa di alternativo a Tucows. Non occorre avere Windows Vista Enterprise ed un TPM per avere accesso a questa feature. Più esattamente, non è nemmeno necessario avere Windows.

La mia domanda: c'è un motivo specifico per il quale in uno scenario del genere un chip beerTPM diventa insostituibile. Quale?

Un punto in più per chi spiega perché quello che si può fare con un TPM non si può fare con una memory card SD (secure digital) oppure una smartcard (a cui pare Batman ci sia molto affezionato).

La risposta (corretta?) dopo il weekend. Io intanto vado a farmi una birra all'Oktoberfest di Leavenworth, paese  bavarese negli Stati Uniti Indifferent.

-Salut'!

Pubblicato sabato 13 ottobre 2007 alle 6:40 PM - 6 commenti so far
Archiviato in: Cazzate

Disabilitare il secure desktop di Vista

UACshield In passato ho già spiegato come disabilitare parzialmente UAC, operazione che sconsiglio vivamente (senza UAC molte features interessanti sono altrettanto spente). Un'altra possibilità alternativa alla disabilitazione parziale è quella di disabilitare il secure desktop. Tale desktop, totalmente separato da quello normalmente "interattivo", viene usato dal sistema esclusivamente per presentare il prompt di UAC ma non solo: il secure desktop è controllato esclusivamente dal sistema e nessun software può interagire automaticamente con esso; una misura di sicurezza in più a garanzia dell'utente.

Spegnere il secure desktop è abbastanza semplice. Basta settare a zero il valore di questo intero nel registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
PromptOnSecureDesktop

Per riattivarlo basta rimetterci il valore "1".

Quali sono le implicazioni dal punto di Vista della sicurezza?

Se il malware è già presente ed in esecuzione sul sistema ma come 'utente normale' (e già basta per far parecchi danni) potrebbe lanciare un altro processo, forzare UAC e avere accesso totale (e quindi infettare anche tutti gli altri profili). Infine, sarà una mia impressione, ma i prompt UAC con il SP1 in un secure desktop mi sembrano istantanei, ma potrebbe essere dovuto ad un effetto placebo. Il mio consiglio: questa opzione è interessante dal punto di vista sperimentale. Fatti i dovuti esperimenti è meglio lasciare tutto come prima.

-quack

Technorati tags: ,

Pubblicato venerdì 12 ottobre 2007 alle 7:17 PM - 14 commenti so far
Archiviato in: Windows