Zoom

Software

Zoom attiva la crittografia end-to-end

Luca Colantuoni | 15 Ottobre 2020

crittografia Sicurezza Software

Zoom attiverà la crittografia end-to-end nel corso delle prossima settimana, ma gli utenti dovranno inizialmente rinunciare ad alcune funzionalità del servizio.

Dopo alcuni mesi di attesa, Zoom ha finalmente comunicato l’attivazione della crittografia end-to-end a partire dalla prossima settimana. Come detto in precedenza, la funzionalità sarà disponibile anche per la versione gratuita del servizio (inizialmente doveva essere un’esclusiva per gli abbonati).

L’annuncio è arrivato durante l’evento Zoomtopia. La crittografia end-to-end (E2EE) verrà offerta come “technical preview”, in quanto l’azienda californiana vuole sollecitare i feedback degli utenti per i primi 30 giorni. L’attivazione prevede quattro fasi. Durante la fase 1 è necessaria l’attivazione manuale nelle impostazioni da parte di tutti i partecipanti al meeting. Ciò comporterà la disattivazione di alcune funzionalità, tra cui registrazione cloud, streaming, trascrizione live, sondaggi, chat private e reazioni.

Attualmente Zoom utilizza la crittografia TLS a 256 bit per stabilire la connessione e la crittografia AES a 256 bit GCM per i contenuti condivisi. Anche la crittografia end-to-end sfrutta chiavi AES a 256 bit GCM, ma le chiavi sono generate localmente (sui dispositivi degli utenti), non sui server di Zoom. Ciò significa che la software house non possiede la chiave per decifrare i contenuti video. Il funzionamento è simile a quello offerto da alcuni servizi di messaggistica, come WhatsApp.

Ogni partecipante può verificare se il meeting è protetto con la crittografia end-to-end. Nell’angolo superiore è visibile uno scudo di colore verde all’interno del quale c’è un lucchetto. I partecipanti vedranno anche il codice di sicurezza del leader della riunione che possono utilizzare per verificare la connessione protetta.

Zoom E2EE security code

In base alla roadmap attuale, nel corso del 2021 verranno attuata la fase 2 che prevede una migliore gestione dell’identità e l’integrazione della E2EE SSO (Single Sign-On).

Messaggio cifrato del Killer dello Zodiaco

Security

Killer dello Zodiaco, 51 anni per risolvere il messaggio cifrato dell’assassino

Alfonso Maruccia | 15 Dicembre 2020

crittografia

Usando un semplice software freeware e la potenza dei PC moderni, un trio di esperti di crittografia ha finalmente interpretato uno dei messaggi cifrati inviati dal Killer dello Zodiaco alla stampa negli anni ’60.

Attivo alla fine degli anni ’60 in diverse città della California settentrionale, il Killer dello Zodiaco è uno dei serial killer più famigerati dell’epoca moderna. L’assassino ha ucciso almeno 5 persone e ha provato a fare lo stesso con 2 sopravvissuti, mentre i delitti per cui è stato accusato ammontano a 37. Come Jack lo Squartatore, anche l’ignoto killer californiano era solito firmarsi con il suo “nome d’arte”, e aveva altresì l’abitudine di inviare messaggi cifrati alla stampa americana dopo gli omicidi.

Dei crittogrammi spediti ai giornali dell’epoca, uno dei più noti (e più complessi) è quello indicato come “Z-340” per via dell’utilizzo di 340 caratteri in totale. Crittografi professionisti e amatoriali hanno provato per decenni a svelare il cifrario impiegato per comporre il messaggio, ma sono stati necessari 51 anni perché un team internazionale di tre esperti riuscisse finalmente a risolvere il mistero decriptando il codice del killer californiano.

Il setup utilizzato da David Oranchak (USA), Sam Blake (Australia) e Jarl Van Eycke (Belgio) ha richiesto un comune PC Windows (x64) e una versione modificata di AZdecrypt, software di decrittazione scritto dal suddetto Eycke, l’ipotesi che il killer avesse riassemblato il messaggio tramite una serie di regole segrete, e un approccio a base di “forza bruta” per procedere alla progressiva decodifica del messaggio cifrato Z-340.

Il contenuto del messaggio ora svelato non è particolarmente interessante, visto che si tratta dei tipici vaneggiamenti deliranti di chi si crede invincibile, irrintracciabile e destinato a un “paradiso” in cui verrà servito da schiavi totalmente assoggettati al suo volere.

Molto più interessante è invece il fatto che ci sia voluto mezzo secolo, e l’impiego di una tecnologia moderna ma tutto sommato comune invece di un sistema di calcolo ad alte prestazioni (HPC) nella disponibilità della CIA o dell’FBI, per decifrare uno dei misteri crittografici moderni. A restare segreta è per il momento l’identità del Killer dello Zodiaco, mentre per la polizia di San Francisco il caso è ancora aperto.

Whistleblowing

Networking

Whistleblowing, il Ministero della Giustizia ha il suo portale dedicato

Alfonso Maruccia | 11 Dicembre 2020

crittografia Sicurezza Whistleblowing

Il Ministero della Giustizia ha reso disponibile una piattaforma per il whistleblowing, un tool utilizzabile da dipendenti e fornitori di servizi per riferire di fatti, comportamenti illeciti o anche illegali.

Un nuovo portale per le “delazioni” in totale sicurezza si aggiunge alla già presentata piattaforma della Autorità Nazionale Anticorruzione (ANAC). Il Ministero della Giustizia si è dotato di uno strumento dedicato al whistleblowing, una piattaforma a codice aperto utilizzabile da tutti quelli che non vogliono “voltarsi dall’altra parte”.

Il nuovo portale è stato presentato il 9 dicembre in occasione della giornata internazionale contro la corruzione, ed è raggiungibile esclusivamente all’interno della Rete Unica della Giustizia (RUG). Dipendenti del ministero, fornitori di beni e servizi o aziende impegnate nella realizzazione di opere in favore dell’Amministrazione potranno accedere al sito per denunciare e segnalare presunti fatti illeciti al Responsabile della prevenzione corruzione e della trasparenza (Rpct).

Ministero della Giustizia Whistleblowing

Il sito di whistleblowing del Ministero della Giustizia è basato su una piattaforma open source ed è pensato per preservare la riservatezza e l’identità del denunciante. Secondo il Ministero, l’obiettivo è stato raggiunto grazie all’impiego di un non meglio specificato protocollo crittografico, e un sistema di identificazione univoco in grado di permettere un dialogo “anonimo e spersonalizzato” con l’Rpct. Il denunciante potrà usare il codice identificativo per accedere in ogni momento alla sua segnalazione.

Stando a quanto dichiarato dal Ministro della Giustizia Alfonso Bonafede, la segnalazione delle condotte illecite di cui si è venuti a conoscenza svolgendo il proprio lavoro è fondamentale. La pratica del whistleblowing sarà utile, dice ancora Bonafede, a chi “non vuole voltare la testa dall’altra parte ma intende denunciare” gli illeciti per migliorare l’Amministrazione giudiziaria in Italia.

Google Messaggi

Android

Google Messaggi supporterà la crittografia end-to-end

Luca Colantuoni | 19 Novembre 2020

crittografia Google Sicurezza

Google ha annunciato la disponibilità globale delle funzionalità di chat RCS in Messaggi e l’avvio dei test per la crittografia end-to-end.

Google ha annunciato due importanti novità per la sua app Messaggi. L’azienda di Mountain View ha completato il rollout globale (tranne che in Russia, Cina, Iran e Siria) della funzionalità di chat tramite RCS (Rich Communication Services) e avviato i test per la crittografia end-to-end.

Google Messaggi, funzionalità di chat

Oltre due anni fa, Google aveva iniziato ad implementare lo standard RCS, grazie al quale è possibile utilizzare funzionalità più avanzate dei tradizionali (e ormai obsoleti) SMS, come le conferme di lettura, le conversazioni di gruppo e la condivisione di foto. L’azienda di Mountain View aveva lasciato l’attivazione nelle mani degli operatori telefonici, ma viste le varie problematiche (tra cui l’assenza di interoperabilità), ha deciso di gestire direttamente i servizi RCS.

Ora il processo è stato completato e tutti gli utenti Android (o quasi) possono utilizzare le funzionalità di chat basate su RCS (da attivare nelle impostazioni). L’app Messaggi potrebbe teoricamente diventare un diretto concorrente di WhatsApp, Telegram o Facebook Messenger.

Crittografia end-to-end

Per garantire la massima sicurezza delle conversazioni RCS, Google ha avviato i test per la crittografia end-to-end. La funzionalità è accessibile solo ai beta tester e solo per le chat one-to-one. Le chat protette dalla crittografia end-to-end non possono essere lette da nessuno.

La sua attivazione viene indicata con un lucchetto all’inizio della conversazione, accanto al pulsante di invio e accanto alla data di invio del messaggio. Se il destinatario non usa l’app Messaggi o le funzionalità di chat non sono attive, la crittografia end-to-end viene disattivata. Quindi il messaggio RCS non è protetto oppure diventa un normale SMS (se non viene usata la connessione WiFi o mobile). Come spiegato nel documento tecnico, Google ha scelto il protocollo Signal, lo stesso usato da Signal e WhatsApp.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.