(8 Agosto: cambiato il titolo)
Due eventi recenti molto interessanti.
Kazakhstan government is now intercepting all HTTPS traffic
In Kazakhistan, ogni utente può navigare su Internet solo dopo avere inserito il Governo tra le Certification Authority fidate dai propri dispositivi.
Ciò implica che il Governo del Kazakhistan può operare da Man-In-The-Middle nei confronti di tutte le comunicazioni HTTPS, quelle "crittate" che usiamo ogni giorno: può cioè vedere e modificare tutto ciò che viene trasmesso nei due sensi. Ripeto, può vedere e modificare le comunicazioni crittate.
Spiegare i dettagli tecnici è troppo lungo...specialmente per una mattina di fine luglio...se uno ha la pazienza di leggere la dispensa "Security" del corso di Reti di Calcolatori trova tutti i dettagli.
Peraltro, penso che questa azione renda impossibile, in Kazakhistan, l'uso del browser Chrome e di molte app per smartphone (per motivi tecnici inadatti a fine luglio...in questo caso i motivi non sono descritti nelle dispense di Reti di Calcolatori; sono spiegati in Reti di Calcolatori II e Principi di Sicurezza Informatica; in breve, alcune applicazioni usano il "Certificate Pinning", contengono già i soli certificati di cui si fidano e non accettano altri certificati, neanche se rilasciati da certification authority che il dispositivo su cui sono in esecuzione considera fidate).
Advanced mobile surveillanceware, made in Russia, found in the wild
Un malware per dispositivi Android scoperto nei giorni scorsi altera le Certification Authority fidate sul dispositivo (pare che esista anche per iPhone). In estrema sintesi e semplificando un (bel) pò, l'organizzazione che ha distribuito quel malware ha (circa) le stesse capacità sopra descritte, può cioè vedere e modificare etc etc.
Come diceva Roger Needham "se qualcuno dice che un problema è risolto facilmente dalla crittografia, dimostra di non avere capito il problema".
Due eventi recenti molto interessanti.
Kazakhstan government is now intercepting all HTTPS traffic
In Kazakhistan, ogni utente può navigare su Internet solo dopo avere inserito il Governo tra le Certification Authority fidate dai propri dispositivi.
Ciò implica che il Governo del Kazakhistan può operare da Man-In-The-Middle nei confronti di tutte le comunicazioni HTTPS, quelle "crittate" che usiamo ogni giorno: può cioè vedere e modificare tutto ciò che viene trasmesso nei due sensi. Ripeto, può vedere e modificare le comunicazioni crittate.
Spiegare i dettagli tecnici è troppo lungo...specialmente per una mattina di fine luglio...se uno ha la pazienza di leggere la dispensa "Security" del corso di Reti di Calcolatori trova tutti i dettagli.
Peraltro, penso che questa azione renda impossibile, in Kazakhistan, l'uso del browser Chrome e di molte app per smartphone (per motivi tecnici inadatti a fine luglio...in questo caso i motivi non sono descritti nelle dispense di Reti di Calcolatori; sono spiegati in Reti di Calcolatori II e Principi di Sicurezza Informatica; in breve, alcune applicazioni usano il "Certificate Pinning", contengono già i soli certificati di cui si fidano e non accettano altri certificati, neanche se rilasciati da certification authority che il dispositivo su cui sono in esecuzione considera fidate).
Advanced mobile surveillanceware, made in Russia, found in the wild
Come diceva Roger Needham "se qualcuno dice che un problema è risolto facilmente dalla crittografia, dimostra di non avere capito il problema".
Commenti