{"id":150,"date":"2010-01-25T08:38:39","date_gmt":"2010-01-25T06:38:39","guid":{"rendered":"http:\/\/www.fantascienza.com\/blog\/blackpig\/?p=150"},"modified":"2010-01-25T08:38:39","modified_gmt":"2010-01-25T06:38:39","slug":"allora-e-meglio-microsoft","status":"publish","type":"post","link":"https:\/\/luigirosa.com\/index.php\/2010\/01\/25\/allora-e-meglio-microsoft\/","title":{"rendered":"&#8230;allora \u00e8 meglio Microsoft!"},"content":{"rendered":"<p>Il titolo \u00e8 volutamente provocatorio e l&#8217;antagonismo ideologico tra le <em>major<\/em> dell&#8217;informatica non \u00e8 l&#8217;oggetto di questo post, che \u00e8 un esercizio teorico basato su un fatto di cronaca.<\/p>\n<p>Recentemente c&#8217;\u00e8 stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L&#8217;attacco sarebbe stato coordinato attraverso dei computer controllati tramite il protocollo Aurora, <a href=\"http:\/\/www.trustedsource.org\/blog\/373\/An-Insight-into-the-Aurora-Communication-Protocol\" target=\"_blank\" rel=\"noopener\">la cui analisi ne rivela la complessit\u00e0<\/a> e fa chiaramente capire che non \u00e8 stato creato dal solito gruppo di smanettoni cantinari.<\/p>\n<p><!--more-->Immaginiamo di voler penetrare in un migliaio di account email di Google. Abbiamo sostanzialmente tre vie per farlo: o rubiamo le password agli utenti con vari sistemi (<a href=\"http:\/\/it.wikipedia.org\/wiki\/Social_engineering\" target=\"_blank\" rel=\"noopener\"><em>social engineering<\/em><\/a>, accessi fisici ai loro computer, <a href=\"http:\/\/it.wikipedia.org\/wiki\/Intercettazione#Tecniche_per_l.27intercettazione\" target=\"_blank\" rel=\"noopener\">intercettazioni ambientali<\/a>), o tentiamo di accedere utilizzando password generate pi\u00f9 o meno casualmente, o troviamo un buco nella sicurezza dei sistemi di BigG.<\/p>\n<p>Il primo sistema \u00e8 rischioso, costoso e anche poco efficace, specialmente se le vittime dell&#8217;attacco sono preparate dal punto di vista informatico e utilizzano computer diversi per collegarsi. Senza contare che il crivello <em>antispam<\/em> di Google potrebbe eliminare i messaggi di <a href=\"http:\/\/it.wikipedia.org\/wiki\/Phishing\" target=\"_blank\" rel=\"noopener\"><em>phishing<\/em><\/a>. Da ultimo, se lo spionaggio venisse scoperto potrebbe compromettere tutta l&#8217;operazione. No buono.<\/p>\n<p>Tentare sistematicamente le password \u00e8 fuori discussione per vari motivi. Innanzi tutto i sistemi di Google sono ben preparati per riconoscere e bloccare questi tentativi; inoltre, in caso di ripetuti tentativi di login non autorizzato, si corre il rischio che l&#8217;utente vittima dell&#8217;attacco venga avvisato dei tentativi da parte dei sistemi automatici del gestore. Anche se tutte queste limitazioni non esistessero, sarebbe comunque un tentativo che richiederebbe tempo e risorse. Per avere un&#8217;idea, utilizzando i soli caratteri scrivibili attraverso una tastiera USA modificati usando solamente il tasto maiuscola (per i tecnici: il set <a href=\"http:\/\/it.wikipedia.org\/wiki\/ASCII\" target=\"_blank\" rel=\"noopener\">ASCII<\/a> stampabile), con una password di 10 caratteri le combinazioni sarebbero <a href=\"http:\/\/www.wolframalpha.com\/input\/?i=95^10\" target=\"_blank\" rel=\"noopener\">95^10<\/a>. Con il set <a href=\"http:\/\/it.wikipedia.org\/wiki\/ASCII_esteso\" target=\"blank\" rel=\"noopener\"> ASCII-esteso<\/a> si aggiungono 128 caratteri e una password di 10 caratteri ha <a href=\"http:\/\/www.wolframalpha.com\/input\/?i=223^10\" target=\"_blank\" rel=\"noopener\">223^10<\/a> combinazioni. Il tutto senza prendere in considerazione <a href=\"http:\/\/it.wikipedia.org\/wiki\/Unicode\" target=\"_blank\" rel=\"noopener\">Unicode<\/a> e il set di ideogrammi cinesi. Tutto quanto per un solo utente, i numeri devono essere moltiplicati per gli utenti da attaccare. Decisamente poco pratico.<\/p>\n<p>La soluzione pi\u00f9 praticabile sembrerebbe essere quella di trovare una falla nella protezione del sistema da attaccare, ben sapendo che, una volta trovata un&#8217;ipotetica vulnerabilit\u00e0, il tempo per sfruttarla sarebbe veramente poco. Teniamo presente che non stiamo parlando di sprovveduti, ma di persone molto abili dal punto di vista informatico. Meglio ancora se si dispone di un <a href=\"http:\/\/www.reuters.com\/article\/idUSTRE60H1J620100119?type=technologyNews\" target=\"_blank\" rel=\"noopener\">basista all&#8217;interno di Google<\/a>, anche se non siamo sicuri di poterlo sfruttare: si sa i tecnici parlano tra loro e discutono volentieri dei loro problemi con i colleghi; peccato che, come insegnavano gli Inglesi, <a href=\"http:\/\/www.eyewitnesstohistory.com\/lslips.htm\" target=\"_blank\" rel=\"noopener\"><em>loose lips sink ships<\/em><\/a>. I tentativi possono continuare per dei mesi, ma l&#8217;attaccante ha dalla sua un numeroso esercito di computer sotto il suo controllo. Possiamo solo immaginare quale sia stata la sorpresa nello scoprire non gi\u00e0 un problema di sicurezza, ma una <a href=\"http:\/\/it.wikipedia.org\/wiki\/Backdoor\" target=\"_blank\" rel=\"noopener\"><em>backdoor<\/em><\/a> collocata deliberatamente per <a href=\"http:\/\/edition.cnn.com\/2010\/OPINION\/01\/23\/schneier.google.hacking\/index.html\" target=\"_blank\" rel=\"noopener\">permettere l&#8217;accesso alle forze dell&#8217;ordine americane<\/a>. <em>Et voil\u00e0<\/em>! Ecco il &#8220;baco perfetto&#8221;: una <em>backdoor<\/em> di un sistema che deve esistere <em>ex lege<\/em>, non si potrebbe chiedere di meglio.<\/p>\n<p>Vero? Falso? Impossibile dirlo per ora. Per\u00f2 non fatevi spedire password di altri sistemi su Gmail. Just in case&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il titolo \u00e8 volutamente provocatorio e l&#8217;antagonismo ideologico tra le major dell&#8217;informatica non \u00e8 l&#8217;oggetto di questo post, che \u00e8 un esercizio teorico basato su un fatto di cronaca. Recentemente c&#8217;\u00e8 stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L&#8217;attacco sarebbe stato coordinato attraverso dei computer controllati tramite [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"activitypub_content_warning":"","activitypub_content_visibility":"local","activitypub_max_image_attachments":3,"footnotes":""},"categories":[11,12,25],"tags":[86,205,265,366,423],"class_list":["post-150","post","type-post","status-publish","format-standard","hentry","category-informatica","category-internet-informatica","category-sicurezza","tag-backdoor","tag-email","tag-internet-informatica","tag-posta-elettronica","tag-sicurezza"],"_links":{"self":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/posts\/150","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/comments?post=150"}],"version-history":[{"count":0,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/posts\/150\/revisions"}],"wp:attachment":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/media?parent=150"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/categories?post=150"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/tags?post=150"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}