Criptaggio e cracking

Pubblicato il 16 Ottobre 2004 · in Segnalazioni ·

[da WebMasterPoint.org]

Chiedetelo a sir Paul McCartney: lui ne sa qualcosa. Nel 2000
un computer della Morgan Grenfell Asset Management, società che curava i suoi
interessi economici, finì nel circuito dei PC di seconda mano senza essere
azzerato. Un tecnico curioso diede una sfogliata al disco rigido e vi
trovò in bella mostra un centinaio di file che dettagliavano le sue
abbondanti transazioni finanziarie, oltre a quelle di un’associazione benefica e
di una duchessa. Imbarazzante.

Ancora più imbarazzante è la figura rimediata dai servizi
segreti britannici, i cui computer portatili contenenti segreti militari hanno
una stupefacente tendenza ad andarsene a spasso da soli. Non è merito di uno
dei soliti gadget di Q: il Ministero della Difesa di Sua Maestà (e di
sir Paul) ammette
che dal 1997 al 2001 ne andarono persi ben 205. Dico duecentocinque.
Alcuni furono rubati, ma la maggior parte fu semplicemente smarrita, dimenticata
sui mezzi pubblici o addirittura, in un caso, abbandonata in un bar da un’agente
troppo ubriaca per ricordarsi di avere con sé un laptop targato MI6.

Cantanti miliardari e caricature di James Bond hanno ovvie
ragioni per avere a cuore la riservatezza dei propri dati; meno ovvie sono le
ragioni per cui anche noi, comuni mortali, abbiamo sul PC informazioni che è
meglio non farsi sottrarre o far trovare. A molti verranno in mente la propria
collezione di pornografia o la contabilità in nero, ma sono sicuro che fra chi
legge queste righe ci sono molti altri che stanno facendo spallucce e pensando "tanto
io sul computer non ho niente di riservato".

Tutti abbiamo segreti

Beata illusione. Nel vostro PC c’è la corrispondenza
personale: davvero non avete mai scritto un e-mail che non vorreste sbandierato
ai quattro venti? Non avete mai scritto niente di indelicato o offensivo? Gli
MP3 che avete nel computer sono tutti ma proprio tutti legali? Le password che
usate per accedere alla vostra casella di posta, alla vostra banca e ai siti di
shopping telematico dove sono? Memorizzate nel PC, ovviamente, dove sono
facilmente decifrabili da chiunque riesca a mettere le mani sul computer.

I laptop si rubano bene, e anche i PC fissi fanno gola ai
ladri; in più ci sono i virus/worm che "zombificano" il computer
installandogli una backdoor, una "porta sul retro" attraverso
la quale i malintenzionati possono entrare e uscire a loro piacimento e leggerne
il contenuto. E’ con sistemi come questo che si effettuano i cosiddetti
"furti d’identità", crimine informatico in rapida espansione. Con
nome, cognome, indirizzo e numero di conto corrente di una persona si fanno
miracoli, in certi paesi (e non mi riferisco al Terzo Mondo).

Non è finita: che fine fanno i computer aziendali dismessi?
Vengono cancellati prima della rottamazione? Non molto spesso, a giudicare dalle
testimonianze che ho raccolto e da alcune esperienze personali. Così i dati
della vostra salute, custoditi nei PC delle ASL, finiscono in mani ignote. Che
bello.

Insomma, il bisogno di proteggere il contenuto del computer
da occhi ostili o troppo curiosi è assai più diffuso di quel che può
sembrare. La soluzione ovvia a quest’esigenza è cifrare i dati in modo che
siano illeggibili anche se finiscono in mani sbagliate. Il problema è che
proteggere con una password ogni singolo file o e-mail è impraticabile. E’ a
questo punto che entrano in gioco i programmi che creano intere partizioni
cifrate, ben più agevoli da gestire.

La cassaforte digitale

Una partizione cifrata è una porzione del disco rigido
scritta in modo tale che qualunque cosa vi mettiate dentro viene cifrata al volo
e decifrata in modo altrettanto trasparente quando occorre consultarla. In
pratica la partizione cifrata è come una cassaforte: un guscio robusto che
racchiude i dati delicati. Solo chi conosce la combinazione può aprirla e avere
accesso al suo contenuto. Si digita una sola volta la password per aprirla, si
lavora con il suo contenuto esattamente come se si trattasse di normali file, e
a lavoro finito la partizione-cassaforte si "richiude"
automaticamente.

Alcuni sistemi operativi includono l’opzione di creare
direttamente partizioni cifrate. Per esempio, quelle offerte da Linux sono molto
robuste e quasi sempre gratuite, ma essendo Linux poco diffuso nei PC degli
utenti finali, non sono adatte alla situazione della gran parte degli utenti. Ci
vogliono soluzioni adatte per il monopolista di fatto, ossia Windows.

Conviene sgomberare subito il campo dalle soluzioni di
cifratura dei singoli file integrate nel filesystem NTFS di Windows XP/2000:
sono disponibili in Rete sia spiegazioni tecniche, sia utility a pagamento per
scavalcarle in poco tempo. Lo stesso vale per le cifrature incluse in WinZip o
Microsoft Office, che pure paiono aver goduto di una inopportuna popolarità nel
settore lattiero-caseario.

Per le vecchie versioni di Windows, come per esempio Windows
98, si trovano ancora utility gratuite come Scramdisk.
Chi usa i sistemi operativi Microsoft più recenti deve invece ricorrere a
software prodotto da terzi e non gratuito. Ho collaudato per voi tre dei più
diffusi prodotti del settore, disponibili a prezzi abbordabili anche per
l’utente ordinario e ragionevolmente facili da usare. Purtroppo tutti e tre sono
disponibili soltanto in inglese.

Drivecrypt, e i segreti spariscono

Una volta superato l’ostacolo della lingua, comune ai tre
programmi testati, e quello di un sito
per nulla aggiornato e contenente informazioni incoerenti (prerogativa di
Drivecrypt), questo programma si rivela uno dei più versatili della categoria.
Scaricabile in versione demo
con cifratura "debole" per trenta giorni e acquistabile a poco meno di
52 euro, Drivecrypt 4.10 offre la possibilità di creare sia un
"contenitore" cifrato (un unico grande file contenente tutti i file da
proteggere, che viene visto come unità disco virtuale), sia una partizione
interamente cifrata.

Drivecrypt è decisamente adatto ai veri paranoici. Uno dei
punti deboli di ogni sistema di cifratura è che chiunque ispezioni un computer
contenente dati cifrati si accorge rapidamente della loro presenza ("ehi,
cos’è quel file enorme?") e poi trova qualche metodo altamente persuasivo
per indurvi a rivelare la password di accesso. Sono quindi chiaramente
preferibili i programmi che consentono di non far neppure notare la presenza di
dati cifrati, secondo una tecnica nota come steganografia.

Drivecrypt, per esempio, consente di nascondere dati
all’interno di file audio (ma non all’interno di immagini porno, come farebbe
Al-Qaeda secondo una celebre leggenda metropolitana), e offre piccole finezze
come la possibilità di cambiare il nome del file eseguibile del programma in
modo da occultarne la presenza.

Un’altra opzione steganografica simpatica è la creazione di
"contenitori invisibili": in pratica, potete creare un
file-contenitore cifrato che contiene dati-civetta e all’interno del quale
create un altro contenitore, che risulta invisibile anche quando il primo
contenitore viene aperto; è questo secondo contenitore a custodire i veri dati
da proteggere. In questo modo, potete "confessare" (magari dopo
opportuna resistenza simulata) la password del primo contenitore al vostro
inquisitore, che troverà così i dati-civetta e penserà di aver completato la
propria missione, senza accorgersi che i dati veri sono altrove (e ancora
protetti da un’ulteriore password).

BestCrypt, soluzione Linux e Windows

Per chi è leggermente meno bisognoso di blindatura e ha
invece necessità di condividere file cifrati fra sistemi operativi differenti,
in particolare fra Windows e Linux, c’è BestCrypt.
Disponibile in versione demo e acquistabile a 85 euro, non offre la cifratura
delle partizioni ma soltanto quella di file-contenitori, visti come dischi
virtuali. Anche la steganografia non è prevista. In compenso offre varie
utility di pulizia dello swapfile e dello spazio non occupato su disco, dove si
concentra spesso il lavoro degli esperti di intrusione perché è lì che i
programmi depositano copie temporanee non cifrate dei dati. Anche gli altri
programmi dispongono di funzioni simili, ma quelle di BestCrypt sono più
versatili e sofisticate.

L’uso esclusivo di file-contenitori può sembrare una
limitazione, ma è un approccio che consente a BestCrypt di essere
multipiattaforma: un file-contenitore cifrato con BestCrypt sotto Windows è
utilizzabile sotto Linux e viceversa, ed è facile creare contenitori cifrati
anche su supporti rimovibili come CD e DVD. I contenitori cifrati sono inoltre
facilmente trasferibili da un disco a un altro o fra computer diversi. Il
programma supporta tutte le versioni di Windows dalla 95 in poi.

PGP, ritorna il mitico Phil per Mac e Win

PGP è uno dei capisaldi della cifratura online. E’ costato a
Phil Zimmerman tre anni di magagne giudiziarie, perché per molto tempo è stato
considerato troppo robusto (l’algoritmo di cifratura, non Phil) da lasciar
circolare liberamente fuori dagli Stati Uniti, come avvenne quando Phil lo offrì
gratuitamente via Internet. Ma i tempi son cambiati, e ora Phil si gode la
rivincita: il suo programma è liberamente acquistabile in quasi tutti i paesi.

La versione commerciale per l’utente privato, PGP
Personal Desktop, si acquista con cinquanta dollari presso PGP.com oppure
direttamente da Phil.
Come BestCrypt, PGP Personal Desktop è multipiattaforma, ma con una differenza:
gestisce sia Windows, sia Mac.

Il pacchetto include software per la cifratura e
l’autenticazione della posta (PGP Mail) oltre che per la cifratura dei singoli
file o di file-contenitore (PGP Disk), e si integra con i principali programmi
di posta (Outlook/Outlook Express, Eudora, Entourage e Apple Mail). A differenza
degli altri due prodotti, PGP Personal Desktop non è disponibile in versione
demo, ma la sua parte dedicata alla cifratura dell’e-mail è scaricabile
gratuitamente per usi non commerciali. Per via del rapporto prezzo/prestazioni,
PGP Personal Desktop si piazza grosso modo a metà strada fra BestCrypt e
DriveCrypt. Se cercate una soluzione unica per proteggere sia la posta, sia i
dati residenti sul PC, PGP fa al caso vostro.

L’anello debole

Tutti e tre i programmi presentati soddisfano indubbiamente
le esigenze di sicurezza dell’utente medio, i cui "nemici" sono
semplicemente i colleghi in ufficio o qualche familiare troppo impiccione: la
scelta dell’uno o dell’altro dipende quindi principalmente dalle esigenze
individuali in fatto di sistemi operativi da supportare o livelli di invisibilità
da conseguire. Ma reggerebbero a un tentativo di spionaggio industriale o a
un’indagine delle forze dell’ordine?

Ovviamente i venditori giurano di sì, ma non ci si può
fidare ciecamente di un’opinione di parte. Allo stesso tempo, gli addetti ai
lavori comprensibilmente non si sbottonano sulle proprie effettive capacità
d’indagine.

Il dott. Gerardo Costabile, esperto di computer forensics
e Iacis
Member, ha risposto così alla mia domanda: "La riservatezza dei dati,
con o senza strumenti di crittografia, è strettamente legata al fattore umano.
L’esperienza insegna che è inutile utilizzare le più sofisticate tecniche,
quando poi si sottovaluta la conservazione della password oppure si utilizza la
stessa della posta elettronica."

E’ insomma abbastanza futile concentrarsi sulla robustezza
dei programmi: l’anello debole è di gran lunga l’utente, non un buon programma
di cifratura. Il migliore algoritmo di cracking, come si suol dire, è
una pistola puntata alla tempia. O per dirla con Bruce Schneier, "se
pensate che basti la tecnologia per risolvere i vostri problemi di sicurezza,
non capite quali sono i problemi e non conoscete la tecnologia".

Costabile sottolinea la maggiore efficacia del dissimulare i
dati riservati piuttosto che ricorrere a chissà quali supersistemi di cifratura:
"spesso è più sicuro un dato apparentemente normale, e mi riferisco
alla steganografia, rispetto ad uno blindato in un algoritmo militare".
E aggiunge che di certo i prodotti che cifrano il filesystem, come quelli
recensiti qui, sono assai più efficaci di qualsiasi prodotto che cifri i
singoli file.

Sulla robustezza di questi programmi anche in caso di
tentativi da parte di esperti, Costabile è molto cauto: "In Italia, in
ambito universitario, difficilmente si può effettuare un cracking quando la
chiave è oltre i 1024 [bit]".

E le reti neurali e i computer quantistici promettono di
superare anche questa barriera. Ma va da sé che nella maggior parte dei casi
non si scomoda la scienza estrema: ci sono molti altri modi meno diretti del
calcolo per forza bruta per carpire una chiave di decifrazione o altri indizi
utili per arrivare ai dati protetti (il social engineering o un discreto keylogger
che memorizza tutto quello che viene digitato, per esempio). Per contro, c’è un
chiaro rapporto fra importanza dei dati e risorse che vale la pena dedicare alla
loro scoperta, per cui non c’è da temere che la possanza quantistica dell’NSA
venga scagliata contro chi si scarica da Internet Viuuulentemente mia, a
meno che la passione per i film di Abatantuono non si coniughi con il
terrorismo.

Per farla breve, qualche decina di euro e un po’ di buon
senso vi possono dare una garanzia di riservatezza più che ragionevole e
sufficiente per le necessità ordinarie. Se le vostre necessità sono
straordinarie, probabilmente più che un programma di cifratura vi serve un
avvocato. O uno psicologo.

Stampa 🖨 PDF 📄 eBook 📱

Contenuti
Articoli recenti
- Rebuilding America: Civil War di Alex Garland 25 Aprile 2024
- Quando tutto è possibile: a 50 anni dalla rivoluzione portoghese. Intervista a Giulia Strippoli 25 Aprile 2024
- Il reale delle/nelle immagini. La magia del cinema-menzogna 23 Aprile 2024
- Nessun governo è peggiore di chi lo ha votato… 23 Aprile 2024
- Tutto il mondo è Palestina. Un’intervista su resistenza, Asia Occidentale e dintorni. 22 Aprile 2024
- La Labbazia degli incubi (2) 20 Aprile 2024
- Per Valerio (20 giugno 1952 – 18 aprile 2022) 20 Aprile 2024
- L’ebreo immaginario degli antisemiti non abita a Tel Aviv 19 Aprile 2024
- Due anni… 17 Aprile 2024
- Sport e dintorni – Autobiografia di John Carlos, inossidabile “eroe dello sport” 16 Aprile 2024
- Il nuovo disordine mondiale / 25: Fratture della guerra estesa 15 Aprile 2024
- Disinganni 14 Aprile 2024
- La Labbazia degli incubi (1) 13 Aprile 2024
- Fahrenheit 451: molto prima del fuoco 13 Aprile 2024
- Sei giorni troppo lunghi 11 Aprile 2024
- Non bisogna mai tornare indietro, nemmeno per prendere la rincorsa 10 Aprile 2024
- Attenzione e potere nell’era della distrazione digitale di massa 9 Aprile 2024
- Al ladro! Anarchismo e filosofia di Catherine Malabou 8 Aprile 2024
- Portogallo 1974-75: la rivoluzione rimossa 8 Aprile 2024
- Essere palestinese non è uno slogan, né una professione 6 Aprile 2024
- Una generazione in punta di piedi 5 Aprile 2024
- Elogio dell’eccesso/5: Giorgio de Santillana, “the cat who walks alone” 4 Aprile 2024
- Controllo della sessualità, violenza di genere e biopolitica nella Germania nazista: i bordelli dei lager 3 Aprile 2024
- Cannibali e compari 2 Aprile 2024
- Gli altri la chiamano bellezza 2 Aprile 2024
Chi siamo

1) Carmilla è un blog dedicato alla letteratura di genere, alla critica dell'immaginario dominante e alla riflessione culturale, artistica, politica, sociologica e filosofica, riassumibile nella dicitura: “letteratura, immaginario e cultura d'opposizione”.
E' esente da qualsiasi tipo di attività a scopo di lucro ed è priva di inserti pubblicitari o commerciali. Inoltre non è oggetto di domande di provvidenze, contributi o agevolazioni pubbliche che conseguano qualsiasi ricavo e si basa sull'attività volontaria e gratuita di redattori e collaboratori.

2) Carmilla non si articola in piani editoriali ed è esclusivamente on line. La pubblicazione di contributi su temi d'attualità è esclusivamente funzionale ad affrontare i temi sopra elencati.

3) Pertanto, in riferimento ai punti 1) e 2) Carmilla non è soggetta alla registrazione presso il Tribunale, ossia alla Legge 1948 N. 47, richiamata dalla Legge 62/2001, nonché l’Art. 3-Bis del Decreto Legge 103/2012, _N. 4_16 e successive modifiche, l’Articolo 16 della Legge 7 Marzo 2001, N. 62 e ad essa non si applicano le disposizioni di cui alla delibera dell'Autorità per le Garanzie nelle Comunicazioni N. 666/08/CONS del 26 Novembre 2008, e successive modifiche.

4) Carmilla è composta da editor chi si autogestiscono con senso di responsabilità nei riguardi del collettivo redazionale e del Direttore Responsabile. I contributi pubblicati non corrispondono
necessariamente e automaticamente alle opinioni dell'intera Redazione o del Direttore Responsabile. Questo aspetto va tenuto presente per quanto riguarda ogni tipo di azione o richiesta, in un'ottica di composizione di eventuali contenziosi, contattando la Redazione tramite l'e-mail sotto indicata.

5) L’indirizzo e-mail ha una funzione esclusivamente tecnica, di interfaccia con quanti intendano comunicare osservazioni relativamente al materiale già pubblicato (titolarità delle immagini, dei contributi e correttezza dei medesimi), motivo per cui non si risponderà' a chi lo userà per inviare contributi da pubblicare o a qualsiasi tipo di richiesta di carattere editoriale, commento o discussione. Esso è: carmillaonline_legal chiocciola libero.it

6) La pubblicazione online, cartacea, multimediale o in qualsiasi altro format dei contributi già pubblicati su Carmilla, è consentita solo citando la fonte egli autori dei contributi menzionati.

Direttore Responsabile: PETER FREEMAN

Criptaggio e cracking

Contenuti

Articoli recenti

Chi siamo

Archivi

Meta