Congrats Snowden

I didn’t use Microsoft machines when I was in my operational phase, because I couldn’t trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn’t be sure
— Snowden said.

Ora immagino che si sia spulciato una ad una tutte le righe di codice della sua distro preferita. E che abbia compilato la sua distro preferita a mano per essere sicuro che i bit che installava erano quelli del codice che ha ispezionato. E che abbia verificato tutte le righe di codice del compilatore e l’abbia compilato a mano, prima di compilare il resto di tutto l’OS. E che magari abbia usato l’ASSEMBLER per farlo. E che abbia controllato tutto il codice del compilatore ASSEMBLER per farlo. E immagino pure che abbia scelto un’architettura safe, perché vatti a fidare di Intel. Roba risaputa sin dal 1984 (coincidenza? non credo!).

Quello che dice Snowden nel paragrafo citato è molto interessante: ad un certo punto bisogna tracciare una linea. Ma la posizione della linea è un concetto astratto e quella scelta è alquanto farlocca. Fossi nell’NSA comincerei ad inserire vulnerabilità nei compilatori usati da quelli che distribuiscono le distro. Un po’ come hanno fatto in maniera non altrettanto raffinata gli achari cinesi.

-quack

UPDATE: Apple a quanto pare è persino più paranoica e non si fida di Hardware Off-The-Shelf.

Pubblicato mercoledì 23 marzo 2016 alle 5:57 PM - 17 commenti so far
Archiviato in: Privacy, Security, Linux

Fingerprints

Sono da sempre stato un big fan di lettori di impronte digitali e ne ho provato in tutte le salse. Devo dire che mi fa piacere che Apple abbia a suo modo messo la tecnologia sotto i riflettori ma sono un po’ deluso dal fatto che l’implementazione scelta sia completamente “noiosa”. Insomma niente di nuovo rispetto a quello che si faceva già da tempo su Windows a parte il fatto di averla integrata nei loro telefoni. Ad esempio: nessuna possibilità di usare le impronte come uno di più multi-factor authentication mechanism che so abbinando PIN + Impronte su uno o più livelli (ti logghi con l’impronta e allora hai accesso ad alcune cose, per avere accesso ad altre cose devi inserire anche il PIN, ecc.).

Poi c’è la finta questione hacker, su cui ovviamente si è spostata l’attenzione dei media. Insomma è possibile copiare un’impronta ma questo si sapeva già da tantissimo tempo. Semmai l’unica cosa deplorevole è che AuthenTec vendeva la sua tecnologia  vantandone fantasiose proprietà “anti-spoofing”, però non dovrebbe essere scandaloso visto che ora il tutto è di proprietà di quelli che “il loro Mac non piglia virus”. Per maggiori dettagli consiglio l’articolo di Ed Bott.

Dal punto di vista implementativo, a voler credere a quello che dicono in Apple e in questo particolare contesto ho pochi dubbi sul fatto che stiano dicendo “il giusto”, le cose son state fatte in maniera corretta. Non viene memorizzata l’immagine dell’impronta ma la sua “trasformata” (hash), l’hash è sigillato dentro un processore cattivo e amen. In pratica l’NSA non può provare che l’impronta sia la stessa senza avere il telefono a disposizione e quindi da questo punto di vista, backdoor a parte, il tutto sembra inattacabile.

API: pare che abbiano deciso di non esporre il sensore all’uso di applicazioni. Sarebbe bastato che lo storage fosse “silosizzato ermeticamente” per ogni app e si sarebbero potute sviluppare applicazioni interessanti. Ad esempio un password manager bluetooth basato su cellulare: io ho infatti abbandonato l’idea del lettore di impronte in quanto una gestione centralizzata delle password richiede un lettore per ogni pc che si usa, cosa estremamente non pratica. Però se il password manager fosse sul cellulare con il lettore di impronte e facesse le sue cosine con il bluetooth o via USB…

…non mi resta che sognare e sperare che in Google copino qualcosa e lo migliorino.

-quack

Pubblicato martedì 24 settembre 2013 alle 5:51 PM - 2 commenti so far
Archiviato in: Privacy, Apple, Security

Diritto alla privacy

Quindi, di punto in bianco, a causa del gran casino che l’NSA spia tutti e tutto (i loro tentacoli raggiungono il 75% dei connessi), Groklaw ha deciso di chiudere.

Mi dispiace, ma forse è la scelta sbagliata per i motivi giusti. O la scelta giusta per il motivo sbagliato. O è sbagliato tutto.

Che ci sia un braccio di ferro in corso tra diritto all’informazione e diritto a far tacere l’informazione è pure triste. Però che quache paladino del software libero decida di andare in pensione adesso, mi sembra sbagliato. Certo PJ lavorava parecchio attraverso le mail. Ma non è che adesso è spiata più di prima: è cambiata la consapevolezza e forse con questa consapevolezza non riesce a fare più serenamente il suo lavoro. Ma non è un problema logistico, è un problema di emozioni. È chi prende decisioni importanti solo in base alle proprie emozioni può alla lunga pentirsi.

Che poi, un sottotesto che se tutti usassimo software libero saremmo meno spiati, spiace (e son tre!) ma non ci sta per niente. Se l’NSA può spiarci non è perché usiamo Windows anziché Linux (teorie cospirative a parte): ma perché usiamo l’email e la maggior parte dei server di posta lì fuori girano su software libero.

Un gran bel paradosso.

-quack

Pubblicato mercoledì 21 agosto 2013 alle 8:12 PM - 16 commenti so far
Archiviato in: Privacy, Linux

Diversamente vero #1

WebKit is “Work we did at Apple” (Steve Jobs, 2 Giugno 2010).
Peccato che per come l’abbia lasciato intendere Apple non ha ‘inventato’ Webkit da zero. Ha però contribuito in maniera fondamentale.

The first phone to implement multitasking (Steve Jobs, 7 Giugno 2010)
Ovviamente l’affermazione è verissima se si considera che è il primo telefono a implementare il multitasking in maniera “corretta”, dove “corretta” è come piace a Steve Jobs. Mi ricorda tanto la battuttaccia di Benigni su papa Wojtyla definito all’epoca “il miglior papa polacco vivente al mondo residente a Roma”. Ovvero quant’è facile essere i primi ed i migliori in un insieme fatto da se stessi soltanto.

'Fragmentation' is a bogeyman, a red herring, a story you tell to frighten junior developers. Yawn (Dan Morrill, 21 Maggio 2010)
Sì, certo come no. Le storie horror di chi deve sviluppare per 4 versioni diverse moltiplicate per tre o quattro UI diverse sono frutto di pura fantasia.

The wi-fi sniffing was accidental (Google 14 Maggio 2010)
Chissà perché Google ha una tendenza atipica ad inciampare coi problemi di privacy. Scava scava… si scopre che lo sniffing non solo era stato volontario ma addirittura brevettato. Per maggiori informazioni sull’argomento consiglio il dibattito in corso su IdentityBlog.com

-quack

Bonus:

The world is moving to HTML5 (Steve Jobs, 1 Febbraio 2010)
Parafrasando un mitico quartetto: se il mondo somiglia a te, noi siamo in pericolo.

image

Pubblicato martedì 8 giugno 2010 alle 6:41 PM - 89 commenti so far
Archiviato in: Google, Privacy, Apple, Security

Privacy 101

Giro una notizia che sta passando abbastanza in sordina ma che dovrebbe fare immediatamente il giro del mondo.

Microsoft ha rilasciato l’SDK di U-Prove di cui avevo già parlato in maniera flash in precedenza. La parte più interessante è questa:

It is made available under the BSD open-source license.

Vittorio Bertocci aka Vibro.Net ha intervistato Stefan Brands, il ricercatore dietro questa importante innovazione. L’intervista è estremamente godibile per gli appassionati dell’argomento cryptografia; Vittorio la definisce in una parola sola come cryptopr0n.

Enjoy!

P.S. sempre a proposito di privacy le scuse pubbliche di Google sulla questione Buzz sono esilaranti. The Onion è un giornale satirico, però l’esagerazione caricaturale dell’articolo è davvero minima.

Pubblicato mercoledì 3 marzo 2010 alle 6:39 PM - 6 commenti so far
Archiviato in: Privacy, Codice, Security