Accesso Fisico

Siore e siori, Thunderstrike (notizia non molto fresca, ma da reazioni alquanto inquietanti).

Un paio di simpatiche citazioni:

"Since the boot ROM is independent of the operating system, reinstallation of OS X will not remove it. Nor does it depend on anything stored on the disk, so replacing the hard drive has no effect. A hardware in-system-programming device is the only way to restore the stock firmware."

e

"There are neither hardware nor software cryptographic checks at boot time of firmware validity, so once the malicious code has been flashed to the ROM, it controls the system from the very first instruction," Trammell Hudson said. "It could use SMM and other techniques to hide from attempts to detect it."

I soliti “apologisti” sono già al lavoro per spiegarci che Apple ci metterà una pezza, dimenticano – o forse non comprendendo – che si può sempre fare un downgrade attack sui laptop già esistenti (quelli futuri pure, conoscendo i signori di Cupertino).

Poi ci spiegano che purtroppo di fronte all’accesso fisico e l’attacco della evil maid, non si può fare niente. Peccato eh, sono quasi dieci anni che è stato rilasciato Windows Vista e coi computer con TPM è possibile sigillare il sistema quasi completamente (*). Però il TPM era quell’aggeggio che avrebbe consentito a MS la dominazione globale garantendo al tempo stesso che gli utenti sarebbero stati colpiti da un pianoforte entro 30 giorni dall’acquisto.

-quack

(*) La cameriera cattiva potrebbe sostituire il disco di boot, con un disco che emula la schermata del PIN di bitlocker permettendo di memorizzare il segreto da qualche parte, per poi riavviare il PC “normalmente”. Questo assumendo che l’utonto non si accorga della procedura di avvio stranamente insolita… sì, vabbè, come no…

Pubblicato venerdì 23 gennaio 2015 alle 7:22 PM - 8 commenti so far
Archiviato in: Apple, Security

Fingerprints

Sono da sempre stato un big fan di lettori di impronte digitali e ne ho provato in tutte le salse. Devo dire che mi fa piacere che Apple abbia a suo modo messo la tecnologia sotto i riflettori ma sono un po’ deluso dal fatto che l’implementazione scelta sia completamente “noiosa”. Insomma niente di nuovo rispetto a quello che si faceva già da tempo su Windows a parte il fatto di averla integrata nei loro telefoni. Ad esempio: nessuna possibilità di usare le impronte come uno di più multi-factor authentication mechanism che so abbinando PIN + Impronte su uno o più livelli (ti logghi con l’impronta e allora hai accesso ad alcune cose, per avere accesso ad altre cose devi inserire anche il PIN, ecc.).

Poi c’è la finta questione hacker, su cui ovviamente si è spostata l’attenzione dei media. Insomma è possibile copiare un’impronta ma questo si sapeva già da tantissimo tempo. Semmai l’unica cosa deplorevole è che AuthenTec vendeva la sua tecnologia  vantandone fantasiose proprietà “anti-spoofing”, però non dovrebbe essere scandaloso visto che ora il tutto è di proprietà di quelli che “il loro Mac non piglia virus”. Per maggiori dettagli consiglio l’articolo di Ed Bott.

Dal punto di vista implementativo, a voler credere a quello che dicono in Apple e in questo particolare contesto ho pochi dubbi sul fatto che stiano dicendo “il giusto”, le cose son state fatte in maniera corretta. Non viene memorizzata l’immagine dell’impronta ma la sua “trasformata” (hash), l’hash è sigillato dentro un processore cattivo e amen. In pratica l’NSA non può provare che l’impronta sia la stessa senza avere il telefono a disposizione e quindi da questo punto di vista, backdoor a parte, il tutto sembra inattacabile.

API: pare che abbiano deciso di non esporre il sensore all’uso di applicazioni. Sarebbe bastato che lo storage fosse “silosizzato ermeticamente” per ogni app e si sarebbero potute sviluppare applicazioni interessanti. Ad esempio un password manager bluetooth basato su cellulare: io ho infatti abbandonato l’idea del lettore di impronte in quanto una gestione centralizzata delle password richiede un lettore per ogni pc che si usa, cosa estremamente non pratica. Però se il password manager fosse sul cellulare con il lettore di impronte e facesse le sue cosine con il bluetooth o via USB…

…non mi resta che sognare e sperare che in Google copino qualcosa e lo migliorino.

-quack

Pubblicato martedì 24 settembre 2013 alle 5:51 PM - 2 commenti so far
Archiviato in: Privacy, Apple, Security

Virus e teoria dei giochi

Tempo fa pubblicai un link di Adam J. O’Donnell che applicava la Teoria dei Giochi all’analisi del Malware su piattaforma. Il ricercatore aveva prodotto una formula:

(1-p)fv = (1-f)v

p e’ la probabilita’ che un attacco su Windows riesca e chiamiamola efficacia del sistema che comprende difese builtin (ASLR, firewall, valori di default) e aggiuntive (antivirus).

Gli attacchi su Mac sarebbero cominciati quando f (il market share di OSX) avrebbe risolto l’equazione. Il ricercatore all’epoca aveva considerato un valore di efficacia pari all’80% sentenziando che i Mac sarebbero diventati bersagli interessanti qualora la percentuale di market share avesse superato il 16%.

Qualcuno ha provato a giocare con questo valore usando i risultati di un test comparativo di antivirus e pigliando il risultato peggiore (Microsoft Security Essentials, ovvero 93.1%). Viene fuori una percentuale diversa, in grado di giustificare quanto sta accadendo ultimamente. Ovviamente il modello e’ estremamente semplificato (si da lo stesso valore al PC della nonna e a quello delle centrifughe iraniane; non si tiene conto dei costi di acquisizione di conoscenza per bersagliare una piattaforma diversa; ecc.). Ma se la correlazione continuasse ad essere rinforzata, sarebbe la fine per l’ingrediente segreto alla base della sicurezza dei Mac: la polvere magica.

-quack

Pubblicato venerdì 20 aprile 2012 alle 11:46 PM - 9 commenti so far
Archiviato in: Apple, Security

Secure boot

Due parole sul Secure Bootsecureboot.

Il Secure Boot non è un modo per impedire che Linux possa essere installato sui comuni PC. Era stata detta la stessa cosa dei TPM con una campagna guidata da gente che non sa distinguere un boot da uno stivale.

Il Secure Boot è un’evoluzione del TPM. Con il TPM il controllo delle misurazioni viene fatto a posteriori e quindi è possibile effettuare attacchi conosciuti come quello della diabolica signora delle pulizie (nel settore si chiama così, non è uno scherzo). Per prevenirlo, in assenza di Secure Boot è necessario armarsi di chiavetta USB con tutti i disagi del caso.

Praticamente:

TPM : BitLocker = SecureBoot : Anti-Evil-Maid

Punto due: molti ignorano che il boot loader firmato di Windows può lanciare altri sistemi/boot loader. Nel caso di boot certificato però questi boot-loader paralleli non saranno però in grado di caricare Windows.

Come il TPM è stato scritto che “chissà se sarà disabilitabile, chissà se sarà resettabile”: ad oggi non conosco nessun sistema con TPM che abbia il TPM attivo. E anche se fosse forzatamente attivo deve essere necessariamente resettabile altrimenti così com’è non servirebbe ad un tubo (basterebbe modificare una voce del BIOS ed il sistema operativo non sarebbe più avviabile, cosa che non è vera).

Come il TPM chi se ne avvantaggerà saranno le aziende che gestiscono la proprietà dei PC assegnati ai propri dipendenti. L’unica differenza è che stavolta per avere il bollino della certificazione sarà necessario supportare (leggi: ben diverso da abilitare) il secure boot. Io penso che sia una scelta buona perché se oggi compro un laptop certificato potrei non essere in grado di attivare bitlocker come piace a me in quanto il TPM non ha mai fatto parte dei requirement di certificazione.

Ultima osservazione: ma non se ne è accorto nessuno che questa polemica sterile è partita dall’osservazione da qualcuno in Red Hat? Bastava sapere un po’ di più come funziona Windows per evitare di mettere al mondo un’altra sterile polemica.

-quack

Pubblicato giovedì 6 ottobre 2011 alle 6:37 PM - 52 commenti so far
Archiviato in: Windows, Security, Trusted Computing

Wiping policy

Il supporto per Exchange in Windows Phone è fantastico, tranne per una piccola antipatica anomalia: richiede l’uso di un PIN, di norma opzionale se non si usa Exchange.

Il problema è che il PM che ha disegnato la feature deve essere di natura estremamente paranoico: a differenza dei comuni cellulari, inserire un pin sbagliato per tre volte non porta al blocco del telefono e conseguente necessità di dover inserire il PUK. Quei furbi di WP7 hanno pensato che la punizione esemplare da elargire è il reset totale del telefono a livello di appena uscito dalla fabbrica.

C’è gente come me, vittima di un wiping accidentato, che ancora si chiede che relazione c’è tra casella postale aziendale e foto/video/musica/applicazioni personali. Tra l’altro a differenza di Android, il recupero di tutte le applicazioni è un poco divertente esercizio di memoria, risorsa già largamente in esaurimento con l’avanzamento dell’età.

Questo eccesso di paranoia deve essere una malattia in rapida diffusione visto che persino in Apple, ove sono tendenzialmente poco attenti a questa materia, si permettono di bloccare la mail in uscita se il contenuto è considerato discutibile. Una vera epidemia da scemo del villaggio.

-quack

Pubblicato venerdì 8 luglio 2011 alle 9:48 PM - 52 commenti so far
Archiviato in: Microsoft, Apple, Security