Zoom

Software

Zoom, crittografia end-to-end solo a pagamento

Luca Colantuoni | 3 Giugno 2020

crittografia Sicurezza Software

Alex Stamos, consulente di Zoom per la sicurezza, spiega il motivo per cui la crittografia end-to-end sarà disponibile solo per gli abbonati al servizio.

Con l’aumento dello smart working dovuto alla pandemia COVID-19, Zoom è diventato in poco tempo uno dei servizi più utilizzati per le videoconferenze, ma subito sono stati individuate diverse vulnerabilità. La software house ha risolto quasi tutti i bug, evitando il lancio di nuove funzionalità per 90 giorni. Alex Stamos, consulente per la sicurezza, ha spiegato perché la crittografia end-to-end verrà attivata solo per gli abbonati.

Zoom rispetta la legge

In base a quanto riportato sul sito ufficiale nel mese di marzo, il servizio offre già la crittografia end-to-end per i meeting. Zoom ha successivamente chiarito che il termine è riferito alla connessione tra gli end point. La crittografia non è quindi end-to-end (come su WhatsApp per intenderci). Attualmente viene utilizzato lo standard AES-256 GCM.

In occasione della presentazione dei risultati trimestrali, il CEO Eric Yuan ha confermato che la vera crittografia end-to-end sarà disponibile solo per gli account paganti.

Sicuramente non verrà offerta la crittografia end-to-end agli utenti gratuiti. Perché vogliamo anche collaborare con l’FBI e le forze dell’ordine locali, nel caso in cui alcune persone utilizzino Zoom per scopi sbagliati.

Alex Stamos ha condiviso una serie di tweet per spiegare questa decisione. La maggioranza delle persone che utilizzano Zoom per organizzare videoconferenze con contenuti illegali sfruttano le funzionalità della versione gratuita. L’assenza della crittografia end-to-end (E2EE) permette quindi di individuare più facilmente questi soggetti, segnalando le loro azioni alle forze dell’ordine.

Ecco perché la funzionalità sarà disponibile solo per gli utenti business. In ogni caso sarà opzionale (opt-in), dato che la sua attivazione potrebbe compromettere il funzionamento del servizio (ad esempio i telefoni PSTN, i sistemi H.323/SIP e le registrazioni cloud sono incompatibili con la E2EE). Su GitHub è stato pubblicato un white paper che spiega l’implementazione prevista per Zoom.

Messaggio cifrato del Killer dello Zodiaco

Security

Killer dello Zodiaco, 51 anni per risolvere il messaggio cifrato dell’assassino

Alfonso Maruccia | 15 Dicembre 2020

crittografia

Usando un semplice software freeware e la potenza dei PC moderni, un trio di esperti di crittografia ha finalmente interpretato uno dei messaggi cifrati inviati dal Killer dello Zodiaco alla stampa negli anni ’60.

Attivo alla fine degli anni ’60 in diverse città della California settentrionale, il Killer dello Zodiaco è uno dei serial killer più famigerati dell’epoca moderna. L’assassino ha ucciso almeno 5 persone e ha provato a fare lo stesso con 2 sopravvissuti, mentre i delitti per cui è stato accusato ammontano a 37. Come Jack lo Squartatore, anche l’ignoto killer californiano era solito firmarsi con il suo “nome d’arte”, e aveva altresì l’abitudine di inviare messaggi cifrati alla stampa americana dopo gli omicidi.

Dei crittogrammi spediti ai giornali dell’epoca, uno dei più noti (e più complessi) è quello indicato come “Z-340” per via dell’utilizzo di 340 caratteri in totale. Crittografi professionisti e amatoriali hanno provato per decenni a svelare il cifrario impiegato per comporre il messaggio, ma sono stati necessari 51 anni perché un team internazionale di tre esperti riuscisse finalmente a risolvere il mistero decriptando il codice del killer californiano.

Il setup utilizzato da David Oranchak (USA), Sam Blake (Australia) e Jarl Van Eycke (Belgio) ha richiesto un comune PC Windows (x64) e una versione modificata di AZdecrypt, software di decrittazione scritto dal suddetto Eycke, l’ipotesi che il killer avesse riassemblato il messaggio tramite una serie di regole segrete, e un approccio a base di “forza bruta” per procedere alla progressiva decodifica del messaggio cifrato Z-340.

Il contenuto del messaggio ora svelato non è particolarmente interessante, visto che si tratta dei tipici vaneggiamenti deliranti di chi si crede invincibile, irrintracciabile e destinato a un “paradiso” in cui verrà servito da schiavi totalmente assoggettati al suo volere.

Molto più interessante è invece il fatto che ci sia voluto mezzo secolo, e l’impiego di una tecnologia moderna ma tutto sommato comune invece di un sistema di calcolo ad alte prestazioni (HPC) nella disponibilità della CIA o dell’FBI, per decifrare uno dei misteri crittografici moderni. A restare segreta è per il momento l’identità del Killer dello Zodiaco, mentre per la polizia di San Francisco il caso è ancora aperto.

Whistleblowing

Networking

Whistleblowing, il Ministero della Giustizia ha il suo portale dedicato

Alfonso Maruccia | 11 Dicembre 2020

crittografia Sicurezza Whistleblowing

Il Ministero della Giustizia ha reso disponibile una piattaforma per il whistleblowing, un tool utilizzabile da dipendenti e fornitori di servizi per riferire di fatti, comportamenti illeciti o anche illegali.

Un nuovo portale per le “delazioni” in totale sicurezza si aggiunge alla già presentata piattaforma della Autorità Nazionale Anticorruzione (ANAC). Il Ministero della Giustizia si è dotato di uno strumento dedicato al whistleblowing, una piattaforma a codice aperto utilizzabile da tutti quelli che non vogliono “voltarsi dall’altra parte”.

Il nuovo portale è stato presentato il 9 dicembre in occasione della giornata internazionale contro la corruzione, ed è raggiungibile esclusivamente all’interno della Rete Unica della Giustizia (RUG). Dipendenti del ministero, fornitori di beni e servizi o aziende impegnate nella realizzazione di opere in favore dell’Amministrazione potranno accedere al sito per denunciare e segnalare presunti fatti illeciti al Responsabile della prevenzione corruzione e della trasparenza (Rpct).

Ministero della Giustizia Whistleblowing

Il sito di whistleblowing del Ministero della Giustizia è basato su una piattaforma open source ed è pensato per preservare la riservatezza e l’identità del denunciante. Secondo il Ministero, l’obiettivo è stato raggiunto grazie all’impiego di un non meglio specificato protocollo crittografico, e un sistema di identificazione univoco in grado di permettere un dialogo “anonimo e spersonalizzato” con l’Rpct. Il denunciante potrà usare il codice identificativo per accedere in ogni momento alla sua segnalazione.

Stando a quanto dichiarato dal Ministro della Giustizia Alfonso Bonafede, la segnalazione delle condotte illecite di cui si è venuti a conoscenza svolgendo il proprio lavoro è fondamentale. La pratica del whistleblowing sarà utile, dice ancora Bonafede, a chi “non vuole voltare la testa dall’altra parte ma intende denunciare” gli illeciti per migliorare l’Amministrazione giudiziaria in Italia.

Google Messaggi

Android

Google Messaggi supporterà la crittografia end-to-end

Luca Colantuoni | 19 Novembre 2020

crittografia Google Sicurezza

Google ha annunciato la disponibilità globale delle funzionalità di chat RCS in Messaggi e l’avvio dei test per la crittografia end-to-end.

Google ha annunciato due importanti novità per la sua app Messaggi. L’azienda di Mountain View ha completato il rollout globale (tranne che in Russia, Cina, Iran e Siria) della funzionalità di chat tramite RCS (Rich Communication Services) e avviato i test per la crittografia end-to-end.

Google Messaggi, funzionalità di chat

Oltre due anni fa, Google aveva iniziato ad implementare lo standard RCS, grazie al quale è possibile utilizzare funzionalità più avanzate dei tradizionali (e ormai obsoleti) SMS, come le conferme di lettura, le conversazioni di gruppo e la condivisione di foto. L’azienda di Mountain View aveva lasciato l’attivazione nelle mani degli operatori telefonici, ma viste le varie problematiche (tra cui l’assenza di interoperabilità), ha deciso di gestire direttamente i servizi RCS.

Ora il processo è stato completato e tutti gli utenti Android (o quasi) possono utilizzare le funzionalità di chat basate su RCS (da attivare nelle impostazioni). L’app Messaggi potrebbe teoricamente diventare un diretto concorrente di WhatsApp, Telegram o Facebook Messenger.

Crittografia end-to-end

Per garantire la massima sicurezza delle conversazioni RCS, Google ha avviato i test per la crittografia end-to-end. La funzionalità è accessibile solo ai beta tester e solo per le chat one-to-one. Le chat protette dalla crittografia end-to-end non possono essere lette da nessuno.

La sua attivazione viene indicata con un lucchetto all’inizio della conversazione, accanto al pulsante di invio e accanto alla data di invio del messaggio. Se il destinatario non usa l’app Messaggi o le funzionalità di chat non sono attive, la crittografia end-to-end viene disattivata. Quindi il messaggio RCS non è protetto oppure diventa un normale SMS (se non viene usata la connessione WiFi o mobile). Come spiegato nel documento tecnico, Google ha scelto il protocollo Signal, lo stesso usato da Signal e WhatsApp.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.