Zoom

Software

Zoom cambia idea: crittografia end-to-end per tutti

Luca Colantuoni | 18 Giugno 2020

crittografia Sicurezza Software

Zoom ha deciso di offrire la crittografia end-to-end a tutti gli utenti, quindi non solo agli abbonati al servizio per le videoconferenze.

In seguito alle critiche ricevute dai sostenitori della privacy e dei diritti umani, Zoom ha deciso di offrire la crittografia end-to-end anche per la versione gratuita del servizio. La software house californiana aveva comunicato all’inizio del mese che la funzionalità sarebbe stata un’esclusiva degli abbonati.

Il consulente per la sicurezza, Alex Stamos, aveva spiegato che la crittografia end-to-end avrebbe ostacolato eventuali indagini da parte delle forze dell’ordine. La maggioranza delle persone che utilizzano Zoom per attività illecite sfruttano le funzionalità della versione gratuita, quindi la crittografia end-to-end non avrebbe permesso di identificare questi soggetti (gli abbonati forniscono più informazioni oltre alla semplice email necessaria per la versione gratuita).

La crittografia “forte” offre tuttavia più sicurezza ai giornalisti, agli attivisti e ai cittadini che protestano contro dittatura, censura e comportamenti violenti della polizia. Electronic Frontier Foundation e Mozilla avevano scritto una lettera per chiedere a Zoom di attivare la funzionalità a tutti gli utenti.

Dopo aver ricevuto sollecitazioni da più parti, Zoom ha deciso di includere la funzionalità anche nella versione gratuita del servizio, trovando il miglior compromesso tra privacy e sicurezza. Per attivare la crittografia end-to-end (disponibile in beta da luglio) verrà richiesta la verifica tramite numero di telefono (solo la prima volta), come avviene con WhatsApp. Ciò ridurrà la creazione di massa di account abusivi.

Gli amministratori potranno attivare/disattivare la crittografia end-to-end a livello di account o gruppi. Sarà comunque opzionale perché la sua attivazione potrebbe impedire l’uso delle linee telefoniche tradizionali (PSTN) e dei sistemi H.323/SIP. Tutti gli utenti continueranno ad usufruire della crittografia AES 256 GCM che protegge i dati in transito.

Messaggio cifrato del Killer dello Zodiaco

Security

Killer dello Zodiaco, 51 anni per risolvere il messaggio cifrato dell’assassino

Alfonso Maruccia | 15 Dicembre 2020

crittografia

Usando un semplice software freeware e la potenza dei PC moderni, un trio di esperti di crittografia ha finalmente interpretato uno dei messaggi cifrati inviati dal Killer dello Zodiaco alla stampa negli anni ’60.

Attivo alla fine degli anni ’60 in diverse città della California settentrionale, il Killer dello Zodiaco è uno dei serial killer più famigerati dell’epoca moderna. L’assassino ha ucciso almeno 5 persone e ha provato a fare lo stesso con 2 sopravvissuti, mentre i delitti per cui è stato accusato ammontano a 37. Come Jack lo Squartatore, anche l’ignoto killer californiano era solito firmarsi con il suo “nome d’arte”, e aveva altresì l’abitudine di inviare messaggi cifrati alla stampa americana dopo gli omicidi.

Dei crittogrammi spediti ai giornali dell’epoca, uno dei più noti (e più complessi) è quello indicato come “Z-340” per via dell’utilizzo di 340 caratteri in totale. Crittografi professionisti e amatoriali hanno provato per decenni a svelare il cifrario impiegato per comporre il messaggio, ma sono stati necessari 51 anni perché un team internazionale di tre esperti riuscisse finalmente a risolvere il mistero decriptando il codice del killer californiano.

Il setup utilizzato da David Oranchak (USA), Sam Blake (Australia) e Jarl Van Eycke (Belgio) ha richiesto un comune PC Windows (x64) e una versione modificata di AZdecrypt, software di decrittazione scritto dal suddetto Eycke, l’ipotesi che il killer avesse riassemblato il messaggio tramite una serie di regole segrete, e un approccio a base di “forza bruta” per procedere alla progressiva decodifica del messaggio cifrato Z-340.

Il contenuto del messaggio ora svelato non è particolarmente interessante, visto che si tratta dei tipici vaneggiamenti deliranti di chi si crede invincibile, irrintracciabile e destinato a un “paradiso” in cui verrà servito da schiavi totalmente assoggettati al suo volere.

Molto più interessante è invece il fatto che ci sia voluto mezzo secolo, e l’impiego di una tecnologia moderna ma tutto sommato comune invece di un sistema di calcolo ad alte prestazioni (HPC) nella disponibilità della CIA o dell’FBI, per decifrare uno dei misteri crittografici moderni. A restare segreta è per il momento l’identità del Killer dello Zodiaco, mentre per la polizia di San Francisco il caso è ancora aperto.

Whistleblowing

Networking

Whistleblowing, il Ministero della Giustizia ha il suo portale dedicato

Alfonso Maruccia | 11 Dicembre 2020

crittografia Sicurezza Whistleblowing

Il Ministero della Giustizia ha reso disponibile una piattaforma per il whistleblowing, un tool utilizzabile da dipendenti e fornitori di servizi per riferire di fatti, comportamenti illeciti o anche illegali.

Un nuovo portale per le “delazioni” in totale sicurezza si aggiunge alla già presentata piattaforma della Autorità Nazionale Anticorruzione (ANAC). Il Ministero della Giustizia si è dotato di uno strumento dedicato al whistleblowing, una piattaforma a codice aperto utilizzabile da tutti quelli che non vogliono “voltarsi dall’altra parte”.

Il nuovo portale è stato presentato il 9 dicembre in occasione della giornata internazionale contro la corruzione, ed è raggiungibile esclusivamente all’interno della Rete Unica della Giustizia (RUG). Dipendenti del ministero, fornitori di beni e servizi o aziende impegnate nella realizzazione di opere in favore dell’Amministrazione potranno accedere al sito per denunciare e segnalare presunti fatti illeciti al Responsabile della prevenzione corruzione e della trasparenza (Rpct).

Ministero della Giustizia Whistleblowing

Il sito di whistleblowing del Ministero della Giustizia è basato su una piattaforma open source ed è pensato per preservare la riservatezza e l’identità del denunciante. Secondo il Ministero, l’obiettivo è stato raggiunto grazie all’impiego di un non meglio specificato protocollo crittografico, e un sistema di identificazione univoco in grado di permettere un dialogo “anonimo e spersonalizzato” con l’Rpct. Il denunciante potrà usare il codice identificativo per accedere in ogni momento alla sua segnalazione.

Stando a quanto dichiarato dal Ministro della Giustizia Alfonso Bonafede, la segnalazione delle condotte illecite di cui si è venuti a conoscenza svolgendo il proprio lavoro è fondamentale. La pratica del whistleblowing sarà utile, dice ancora Bonafede, a chi “non vuole voltare la testa dall’altra parte ma intende denunciare” gli illeciti per migliorare l’Amministrazione giudiziaria in Italia.

Google Messaggi

Android

Google Messaggi supporterà la crittografia end-to-end

Luca Colantuoni | 19 Novembre 2020

crittografia Google Sicurezza

Google ha annunciato la disponibilità globale delle funzionalità di chat RCS in Messaggi e l’avvio dei test per la crittografia end-to-end.

Google ha annunciato due importanti novità per la sua app Messaggi. L’azienda di Mountain View ha completato il rollout globale (tranne che in Russia, Cina, Iran e Siria) della funzionalità di chat tramite RCS (Rich Communication Services) e avviato i test per la crittografia end-to-end.

Google Messaggi, funzionalità di chat

Oltre due anni fa, Google aveva iniziato ad implementare lo standard RCS, grazie al quale è possibile utilizzare funzionalità più avanzate dei tradizionali (e ormai obsoleti) SMS, come le conferme di lettura, le conversazioni di gruppo e la condivisione di foto. L’azienda di Mountain View aveva lasciato l’attivazione nelle mani degli operatori telefonici, ma viste le varie problematiche (tra cui l’assenza di interoperabilità), ha deciso di gestire direttamente i servizi RCS.

Ora il processo è stato completato e tutti gli utenti Android (o quasi) possono utilizzare le funzionalità di chat basate su RCS (da attivare nelle impostazioni). L’app Messaggi potrebbe teoricamente diventare un diretto concorrente di WhatsApp, Telegram o Facebook Messenger.

Crittografia end-to-end

Per garantire la massima sicurezza delle conversazioni RCS, Google ha avviato i test per la crittografia end-to-end. La funzionalità è accessibile solo ai beta tester e solo per le chat one-to-one. Le chat protette dalla crittografia end-to-end non possono essere lette da nessuno.

La sua attivazione viene indicata con un lucchetto all’inizio della conversazione, accanto al pulsante di invio e accanto alla data di invio del messaggio. Se il destinatario non usa l’app Messaggi o le funzionalità di chat non sono attive, la crittografia end-to-end viene disattivata. Quindi il messaggio RCS non è protetto oppure diventa un normale SMS (se non viene usata la connessione WiFi o mobile). Come spiegato nel documento tecnico, Google ha scelto il protocollo Signal, lo stesso usato da Signal e WhatsApp.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.