Discussione:
libreboot: la soluzione contro UEFI e SECURE BOOT?
(troppo vecchio per rispondere)
Lutrin
2015-10-01 12:19:02 UTC
Permalink
leggevo, in un forum (confesso che lo ignoravo) di una possibile soluzione
per annientare il secure boot con cui si stacercando di limitare e rendere
difficoltosol'utilizzo di linux

il progetto si chiama libreboot

http://libreboot.org/

non ho ancora avuto occasione di leggere tutto per bene, qualcheduno l'ha
fatto?, Ne sa di più? È una reale speranza per sconfiggere UEFI e SECURE
BOOT by Micro$oft?

per ora il supporto hardware appare limitato:

http://libreboot.org/docs/hcl/index.html#supported_list

ma la possibilità di rootare dei computer tabellari (tablet) è
interessante...
--
Puppy Linux wiki: http://dokupuppylinux.info
Puppy Linux Forum: http://www.italianpuppy.org/
Windows me genuit, Ubuntu rapuere / tenet nunc Puppy Linux...
dropbox 2GB free - http://db.tt/Vc6IeN4
marmellata23
2015-10-01 19:29:58 UTC
Permalink
On Thu, 01 Oct 2015 12:19:02 GMT
Post by Lutrin
leggevo, in un forum (confesso che lo ignoravo) di una possibile
soluzione per annientare il secure boot con cui si stacercando di
limitare e rendere difficoltosol'utilizzo di linux
il progetto si chiama libreboot
http://libreboot.org/
Ho iniziato a leggere le FAQ e sono rimasto sconcertato (ma non piu' di
tanto...); quoto:

"Why is the latest Intel hardware unsupported in libreboot? #intel

It is extremely unlikely that any post-2008 Intel hardware will ever be
supported in libreboot, due to severe security and freedom issues; so
severe, that the libreboot project recommends avoiding all modern Intel
hardware. If you have an Intel based system affected by the problems
described below, then you should get rid of it as soon as possible. The
main issues are as follows:"

Continuate a leggere voi.
--
marmellata23 <***@yahoo.it>
Quasidor
2015-10-03 08:41:13 UTC
Permalink
Post by marmellata23
On Thu, 01 Oct 2015 12:19:02 GMT
Post by Lutrin
leggevo, in un forum (confesso che lo ignoravo) di una possibile
soluzione per annientare il secure boot con cui si stacercando di
limitare e rendere difficoltosol'utilizzo di linux
il progetto si chiama libreboot
http://libreboot.org/
Ho iniziato a leggere le FAQ e sono rimasto sconcertato (ma non piu' di
"Why is the latest Intel hardware unsupported in libreboot? #intel
It is extremely unlikely that any post-2008 Intel hardware will ever be
supported in libreboot, due to severe security and freedom issues; so
severe, that the libreboot project recommends avoiding all modern Intel
hardware. If you have an Intel based system affected by the problems
described below, then you should get rid of it as soon as possible. The
main issues are as follows:"
Continuate a leggere voi.
Da quanto ho capito, con il traduttore automatico, ormai la strada e'
quella di impedire l'uso contemporaneo di Linux/Windows.
Temo che andra' sempre peggio. :(
Consigli, per un nuovo PC, di usare piattaforme AMD?
Questo risolve o aiuto l'installazione in dual boot di Linux?
Ciao!
marmellata23
2015-10-03 12:33:45 UTC
Permalink
On Sat, 03 Oct 2015 08:41:13 GMT
Post by Quasidor
Post by marmellata23
On Thu, 01 Oct 2015 12:19:02 GMT
Post by Lutrin
leggevo, in un forum (confesso che lo ignoravo) di una possibile
soluzione per annientare il secure boot con cui si stacercando di
limitare e rendere difficoltosol'utilizzo di linux
il progetto si chiama libreboot
http://libreboot.org/
Ho iniziato a leggere le FAQ e sono rimasto sconcertato (ma non
"Why is the latest Intel hardware unsupported in libreboot? #intel
It is extremely unlikely that any post-2008 Intel hardware will
ever be supported in libreboot, due to severe security and freedom
issues; so severe, that the libreboot project recommends avoiding
all modern Intel hardware. If you have an Intel based system
affected by the problems described below, then you should get rid
of it as soon as possible. The main issues are as follows:"
Continuate a leggere voi.
Da quanto ho capito, con il traduttore automatico, ormai la strada e'
quella di impedire l'uso contemporaneo di Linux/Windows.
Anche io mi sono orientato per questa soluzione: macchine separate per
Windows e Linux. A meno che non ti ritrovi ancora Windows 7 o lo compri
(credo sia ancora possibile dagli OEM): devi bloccare l'aggiornamento a
Windows 10 e vivi felice col dual boot.
Post by Quasidor
Consigli, per un nuovo PC, di usare piattaforme AMD?
Io mi ero orientato sui laptop freedos senza sistema operativo che non
hanno Uefi e Secure boot per l'uso con linux (sono anche economici).
Comunque ho diversi laptops di riserva e un nuovo acquisto non e'
imminente. Potresti anche comprare dell'hardware certificato da
Libreboot come compatibile: poter mettere un firmware open-source e'
una garanzia.

In ogni caso la lotta tra guardie e ladri e' per noi una causa persa.
Anche se hai una macchina garantita pulita da "malfirmware" chi e'
padrone della rete non ti da' via di scampo. Dicono che ci sono
i sottomarini atomici sui cavi transoceanici a sniffare il
traffico senza contare i tecnici che hanno accesso ai nodi fondamentali
di internet e il traffico e' garantito decriptabile almeno al 99 per
cento per chi ha sufficiente potenza di calcolo. Internet e' solo un
gioco che ci hanno regalato con lo scopo di controllarci e se hai
segreti commerciali o industriali da proteggere ti devi rivolgere a
schiere di esperti. Si puo' concludere dicendo che la sicurezza
informatica e' una chimera: pensateci ma non troppo.
--
marmellata23 <***@yahoo.it>
M_M
2015-10-03 14:01:28 UTC
Permalink
Post by marmellata23
Si puo' concludere dicendo che la sicurezza
informatica e' una chimera: pensateci ma non troppo.
Quoto. la mia personale conclusione e` stata che e` meglio se considero
Internet una rete di condivisione e semmai volessi custodire dei segreti
semplicemente non li esporrei li`.

C'e` cmq anche il problema dei tracciamenti e delle profilazioni.
A mio avviso tutti conoscono il problema ma sembra non avvertito perche` alla
fine la maggior parte delle persone se ne frega, sottovalutando un po' il
fatto che il misero dato che si sta` esponendo magari in quel momento (ad es.:
sono nato nel 1997) andra` ad aggiungersi ad una caterva di altri dati gia`
immagazzinati fino a giungere ad un profilo individuale completo e spendibile
ad esempio sul mercato pubblicitario ma non solo.

Pensa poi a che fine fanno tutte le ricerche sul nostro motore di ricerca
preferito, oppure anche ai DNS ...
Io ad esempio usavo i server di OpenDNS che quest'estate s'e` venduta baracca
e burattini alla Cisco
https://www.opendns.com/cisco-opendns/
e quindi ora tutte le mie rotte sono in possesso della Cisco. :-/
Okay, sono passato a OpenNIC
https://www.opennicproject.org/
ma per il passato non posso farci nulla ...

Pure dai browser carpiscono dati; io uso Iron al posto di Chromium dopo aver
letto questa comparazione:
http://www.srware.net/en/software_srware_iron_chrome_vs_iron.php

Ci sono certo 1000 modi per tutelarsi, ad es.:

Disattivazione di Google Analytics
https://tools.google.com/dlpage/gaoptout

Privacy Badger
https://www.eff.org/privacybadger

oppure ad esempio
dmail Self-Destructing Email
https://mail.delicious.com/

e mi viene in mente anche l'uso della cifratura e di Tor e magari anche di Tox
o un altro client VoIP al posto di quel colabrodo che e` Skype, ma alla fine
anche prese tutte le opportune contromisure, resto dell'avviso di prima, cioe`
che su Internet ci sia un tentativo continuo di violare la privacy di
navigatori e sia meglio tenerne sempre conto e quindi piu` che "pensarci ma
non troppo" occorra "pensarci sempre".
La "navigazione consapevole" secondo me dovrebbe essere insegnata nelle
scuole.
--
"Se usi i network service devi chiederti come loro usano te."
(Richard M. Stallman)
Quasidor
2015-10-03 14:53:24 UTC
Permalink
Post by M_M
Post by marmellata23
Si puo' concludere dicendo che la sicurezza
informatica e' una chimera: pensateci ma non troppo.
Il problema e' completamente assente dal 99% degli utenti di internet.
Il restante 1% e' composto da uno 0,99% di persone che tenta di risvegliare,
inutilmente la popolazione, e lo 0,01% che effettua il controllo.
Il problema e' che lo 0,99% quando cerca di svegliare, ribadisco inutilmente, il
resto della popolazione come minimo viene associato al restante 0,01%, guardato
con sospetto e magari messo alla gogna.
L'effetto che ha avuto https://it.wikipedia.org/wiki/Edward_Snowden. Nullo.
Il servizio delle iene sulla vulnerabilita' degli smartphone: effetto nullo.
Questo va a tutto vantaggio di quel 0,01% che vuole incrementare ulteriormente,
quanto non sia gia' pervasivo, il controllo sulla popolazione.
Post by M_M
Quoto. la mia personale conclusione e` stata che e` meglio se considero
Internet una rete di condivisione e semmai volessi custodire dei segreti
semplicemente non li esporrei li`.
Direi che anche computer, tablet, smartphone, se realmente avessero un senso
averli sconnessi dalla rete non dovrebbero conservare nulla.
Ovviamente cio' e' impossibile, non fosse che prima o poi qualche aggiornamento
o programma lo dovrai pur scaricare. Percui... il problema lo vedo veramente a
tinte fosche.
Post by M_M
C'e` cmq anche il problema dei tracciamenti e delle profilazioni.
Ormai non c'e' limite.
Post by M_M
A mio avviso tutti conoscono il problema ma sembra non avvertito perche` alla
fine la maggior parte delle persone se ne frega, sottovalutando un po' il
sono nato nel 1997) andra` ad aggiungersi ad una caterva di altri dati gia`
immagazzinati fino a giungere ad un profilo individuale completo e spendibile
ad esempio sul mercato pubblicitario ma non solo.
La profilazione ormai è concreta e pervasiva. Ci sono strumenti per evitarla ma
lo adotta l'1% di cui prima.
Post by M_M
Pensa poi a che fine fanno tutte le ricerche sul nostro motore di ricerca
preferito, oppure anche ai DNS ...
E da li non scappi.
Post by M_M
Io ad esempio usavo i server di OpenDNS che quest'estate s'e` venduta baracca
e burattini alla Cisco
https://www.opendns.com/cisco-opendns/
e quindi ora tutte le mie rotte sono in possesso della Cisco. :-/
Okay, sono passato a OpenNIC
https://www.opennicproject.org/
ma per il passato non posso farci nulla ...
Prima o poi anche OpenNIC...
Post by M_M
Pure dai browser carpiscono dati; io uso Iron al posto di Chromium dopo aver
http://www.srware.net/en/software_srware_iron_chrome_vs_iron.php
Roba google mai installata coscientemente sul mio PC.
Post by M_M
Disattivazione di Google Analytics
https://tools.google.com/dlpage/gaoptout
Privacy Badger
https://www.eff.org/privacybadger
oppure ad esempio
dmail Self-Destructing Email
https://mail.delicious.com/
e mi viene in mente anche l'uso della cifratura e di Tor e magari anche di Tox
o un altro client VoIP al posto di quel colabrodo che e` Skype, ma alla fine
anche prese tutte le opportune contromisure, resto dell'avviso di prima, cioe`
che su Internet ci sia un tentativo continuo di violare la privacy di
navigatori e sia meglio tenerne sempre conto e quindi piu` che "pensarci ma
non troppo" occorra "pensarci sempre".
La "navigazione consapevole" secondo me dovrebbe essere insegnata nelle
scuole.
Da chi? Da persone che appartendo a quel 99% di esseri umani incoscienti
direbbero ai propri alunni: "internet funziona cercando informazioni su google e
utilizzando facebook per trovare i propri amici".
La vedo molto dura. Mi auguro sempre che il riveglio collettivo non sia troppo
duro e tardivo.... :(
M_M
2015-10-03 16:34:39 UTC
Permalink
Post by Quasidor
Post by M_M
Pensa poi a che fine fanno tutte le ricerche sul nostro motore di ricerca
preferito, oppure anche ai DNS ...
E da li non scappi.
Mah! Google, IMHO rappresenta l'eccellenza per quanto riguarda la qualita` delle
ricerche ma altri search-engine come duckduckgo o startpage/ixquick (io uso
quello) offrono per ricerche quasi altrettanto buone, la tutela della privacy.
(Poi certo un po' tutto si basa anche sulla fiducia)

https://duckduckgo.com/privacy
https://classic.ixquick.com/ita/protect-privacy.html
Post by Quasidor
Prima o poi anche OpenNIC...
La soluzione ottimale credo sarebbe installare il proprio server DNS.
Per me su Debian corrisponderebbe a bind9 ma purtroppo ogni volta che provo a
consultare una guida, tipo questa:
https://wiki.debian.org/Bind9
mi smarrisco e non riesco a capire esattamente come dovrei configurarlo sul mio
notebook per le mie esigenze domestiche.
Post by Quasidor
Post by M_M
http://www.srware.net/en/software_srware_iron_chrome_vs_iron.php
Roba google mai installata coscientemente sul mio PC.
Iron pero` sarebbe un software depurato da certe influenze googlesche. :-)
THe_ZiPMaN
2015-10-03 17:58:00 UTC
Permalink
Post by M_M
La soluzione ottimale credo sarebbe installare il proprio server DNS.
Per me su Debian corrisponderebbe a bind9 ma purtroppo ogni volta che provo a
https://wiki.debian.org/Bind9
mi smarrisco e non riesco a capire esattamente come dovrei configurarlo sul mio
notebook per le mie esigenze domestiche.
Dnsmasq è più che sufficiente per quel che ti serve.
--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
M_M
2015-10-03 19:55:06 UTC
Permalink
Post by THe_ZiPMaN
Dnsmasq è più che sufficiente per quel che ti serve.
Grazie 1000, non dubitavo ma gia` alla prima riga qui:
https://wiki.debian.org/HowTo/dnsmasq

"Dnsmasq is a lightweight, easy to configure, DNS forwarder and DHCP server."

ho la conferma che e` cio` che va bene per me ma gia` alla frase successiva mi
blocco e sorgono solo tante domande perche` purtroppo sono troppo ignorante.
La frase e`:

"It is designed to provide DNS and optionally, DHCP, to a small network."

Ecco, io ho un notebook ed un netbook che navigano su Internet tramite un
router, l'uno collegato col cavo ethernet, l'altro tramite wifi.
Entrambi i laptop utilizzano network-manager ma li` non ho configurato nulla.
Sul router invece ho abilitato il DHCP ed inserito due indirizzi di server DNS
(openNIC).
Tutto cio` va levato dal router?
Se non uso il DHCP di Dnsmasq allora il server DNS sara` solo utilizzabile sulla
macchina su cui e` installato e non su altri eventuali macchine che usano il mio
router?
Non potrei dire al router di usare in qualche modo Dnsmasq?

Perdona l'ignoranza, ho provato varie volte ad avvicinarmi all' argomento "reti"
ma purtroppo risulta sempre molto ostico per me. :-/
THe_ZiPMaN
2015-10-04 00:08:12 UTC
Permalink
Post by M_M
"It is designed to provide DNS and optionally, DHCP, to a small network."
Sì, può fare tutto lui se vuoi.
Post by M_M
Ecco, io ho un notebook ed un netbook che navigano su Internet tramite un
router, l'uno collegato col cavo ethernet, l'altro tramite wifi.
Entrambi i laptop utilizzano network-manager ma li` non ho configurato nulla.
OK.
Post by M_M
Sul router invece ho abilitato il DHCP ed inserito due indirizzi di server DNS
(openNIC).
Tutto cio` va levato dal router?
Ni. Se vuoi sì, altrimenti puoi lasciare anche quello.
Post by M_M
Se non uso il DHCP di Dnsmasq allora il server DNS sara` solo utilizzabile sulla
macchina su cui e` installato e non su altri eventuali macchine che usano il mio
router?
No, puoi usarlo da dove vuoi. DHCP e DNS sono entità distinte.
Post by M_M
Non potrei dire al router di usare in qualche modo Dnsmasq?
Sì, gli passi al posto dei DNS di opennic l'indirizzo IP della macchina
con dnsmasq. O, se lo installi su entrambi i PC puoi configurare network
manager per usare come dns 127.0.0.1 al posto dei DNS distribuiti dal DHCP.
Post by M_M
Perdona l'ignoranza, ho provato varie volte ad avvicinarmi all' argomento "reti"
ma purtroppo risulta sempre molto ostico per me. :-/
Don't worry. La cosa più semplice comunque è dare una letta veloce alla
documentazione ed eventualmente chiedere.
--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
M_M
2015-10-04 21:08:50 UTC
Permalink
Post by THe_ZiPMaN
Post by M_M
Non potrei dire al router di usare in qualche modo Dnsmasq?
Sì, gli passi al posto dei DNS di opennic l'indirizzo IP della macchina
con dnsmasq. O, se lo installi su entrambi i PC puoi configurare network
manager per usare come dns 127.0.0.1 al posto dei DNS distribuiti dal DHCP.
Preferisco il tuo secondo suggerimento e lasciare invariate le impostazioni sul
router cosi` se qualche ospite, come mi e` gia` piu` volte capitato, vuole
connettere il suo cellulare o tablet al wifi del router di casa mia, puo` farlo
senza la necessita` che io accenda il portatile.

In realta` anche se volessi non potrei fare diversamente perche` sul router pur
cancellando gli indirizzi dei server DNS, e salvando, al riavvio del router
tornano a ricomparire e non so spiegarmi il perche`. (grave!)

Cmq ricapitolando per ora su un notebook ho fatto cosi`:

Installato dnsmasq:
# apt-get install dnsmasq

In testa a /etc/resolv.conf ho aggiunto la riga:
nameserver 127.0.0.1

Modificato /etc/dnsmasq.conf abilitando (non ho trovato indicazioni per
configurarlo ..) le righe:
domain-needed
bogus-priv
interface=eth0
interface=wlan0
listen-address=127.0.0.1
no-dhcp-interface=eth0
no-dhcp-interface=wlan0

Aggiunto nel file /etc/NetworkManager/NetworkManager.conf la riga:
dns=dnsmasq

$ cat /etc/NetworkManager/NetworkManager.conf
[main]
plugins=ifupdown,keyfile
dns=dnsmasq

[ifupdown]
managed=false


Stoppato e disabilitato il servizio dnsmasq all'avvio
lo avviera` appunto NetworkManager :
# systemctl stop dnsmasq
# systemctl disable dnsmasq

Aggiunto nel file /etc/NetworkManager/dnsmasq.d/cache la riga:
cache-size=1000

Aggiunto nel file /etc/NetworkManager/dnsmasq.d/ipv6_listen.conf la riga:
listen-address=::1


Riavviato, il risultato e` questo:

# nslookup google.it localhost
Server: localhost
Address: ::1#53

Non-authoritative answer:
Name: google.it
Address: 173.194.67.94


# dig archlinux.org | grep "Query time"
;; Query time: 28 msec


Quindi direi che per andare va, ma ho il dubbio se non stia utilizzando ancora i
DNS di openNIC.
Basta l'indicazione
Server: localhost
del precedente comando nslookup?
o c'e` qualche altro modo per verificarlo?

Il dubbio mi viene perche` nel resolv.conf trovo questo:
$ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 127.0.0.1

ma l'interfaccia del networkmanager prima mi indica i due server di openNIC e
poi 127.0.0.1 e funziona solo se imposto i DNS ad Automatico ON; di qui i miei
dubbi ...

Ho messo 2 immagini nel caso non mi fossi spiegato bene:
Loading Image...
Loading Image...

Mannaggia! Gia` quel file di configurazione a prima vista non mi sembrava
proprio "Dnsmasq is a lightweight, easy to configure", poi si e` messo dimezzo
pure quella vaccata del network-manager! :-/
Il networkmanager non mi e` mai piaciuto perche` IMHO fa sempre le cose a modo
suo ma purtroppo debbo tenerlo per motivi di test. :-(

Poi purtroppo da qualche parte ho letto che se si impostano per bene le cose nel
dnsmasq.conf, sapendo cio` che si fa`, e` possibile migliorare i tempi di
risposta, mentre il mio dnsmasq.conf e` praticamente della serie "la fantasia al
potere" perche` purtroppo non sono riuscito a reperire informazioni valide ed ho
dovuto fare di testa mia, per cui figurati ... :-D
THe_ZiPMaN
2015-10-04 21:54:36 UTC
Permalink
Post by M_M
Quindi direi che per andare va, ma ho il dubbio se non stia utilizzando ancora i
DNS di openNIC.
Basta l'indicazione
Server: localhost
del precedente comando nslookup?
o c'e` qualche altro modo per verificarlo?
Di default dnsmasq utilizza come resolvers i DNS passati dal DHCP e
scritti dal network manager. Il fatto che ti dica che è una "non
authoritative answer" indica che ha utilizzato un resolver ricorsivo
come appunto i dns passati dal router.
Puoi però modificare il file di configurazione di dnsmasq per non usarli
e fare tutte le richieste direttamente ai server autoritativi

Aggiungi al tuo file di configurazione di dnsmasq la linea:
no-resolv

E dovrebbe andare.
--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
THe_ZiPMaN
2015-10-04 22:21:12 UTC
Permalink
Post by THe_ZiPMaN
Puoi però modificare il file di configurazione di dnsmasq per non usarli
e fare tutte le richieste direttamente ai server autoritativi
Uhm... temo di averti dato un'indicazione sbagliata. Necessiti
ugualmente di un recursive server per risolvere.

pdnsd potrebbe essere un'alternativa ma è fermo da 3 anni.
O maradns-deadwood...
--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
M_M
2015-10-05 16:52:55 UTC
Permalink
Post by THe_ZiPMaN
Di default dnsmasq utilizza come resolvers i DNS passati dal DHCP e
scritti dal network manager.
Se non altro ora ho capito che non era grave che non riuscissi a
rimuovere i DNS dal mio router :-) era perche`, a differenza di dnsmasq,
sono inscindibili dal DHCP.
La morale che ne ho tratto e` che volevo l'uvo e la gallina e cosi` alla
fine non ho ottenuto nulla.
Forse sarebbe meglio se cambiassi strategia e delegassi DNS e DHCP ad un
server esterno? Basterebbe un raspberry o simile?
Post by THe_ZiPMaN
Il fatto che ti dica che è una "non
authoritative answer" indica che ha utilizzato un resolver ricorsivo
come appunto i dns passati dal router.
Oggi ho disinstallato dnsmasq .. ma mi sono divertito ieri :-)
Avrei pero` prima dovuto verificare una cosa: se magari utilizzava la
cache impostata, per cui per indirizzi gia` risolti non interrogava piu`
opennic, velocizzando il processo. (Perche` cmq nel resolv.conf,
impostato a non modificabile, c'era solo scritto 127.0.0.1) Boh!?
Post by THe_ZiPMaN
Puoi però modificare il file di configurazione di dnsmasq per non usarli
e fare tutte le richieste direttamente ai server autoritativi
E se per tagliare la testa al toPo questi server autoritativi li
scrivessi sul router nei DNS di DHCP?
In qualunque caso pero` mi pare di capire che cmq qualcuno le rotte le
puo` tracciare, o sbaglio?
Quasidor
2015-10-03 15:02:40 UTC
Permalink
Post by marmellata23
On Sat, 03 Oct 2015 08:41:13 GMT
..
Post by Quasidor
Consigli, per un nuovo PC, di usare piattaforme AMD?
Io mi ero orientato sui laptop freedos senza sistema operativo che non
hanno Uefi e Secure boot per l'uso con linux (sono anche economici).
Ok.
Post by marmellata23
Comunque ho diversi laptops di riserva e un nuovo acquisto non e'
imminente. Potresti anche comprare dell'hardware certificato da
Libreboot come compatibile: poter mettere un firmware open-source e'
una garanzia.
Ok.
Post by marmellata23
In ogni caso la lotta tra guardie e ladri e' per noi una causa persa.
Condivido.
Post by marmellata23
Anche se hai una macchina garantita pulita da "malfirmware" chi e'
padrone della rete non ti da' via di scampo. Dicono che ci sono
i sottomarini atomici sui cavi transoceanici a sniffare il
traffico
Penso che li abbiano sostituiti con qualcosa di meno appariscente.
Post by marmellata23
senza contare i tecnici che hanno accesso ai nodi fondamentali
di internet e il traffico e' garantito decriptabile almeno al 99 per
cento per chi ha sufficiente potenza di calcolo.
Il che non e' sempre un fatto negativo. Sulla rete ci vanno anche i cattivi.
Post by marmellata23
Internet e' solo un
gioco che ci hanno regalato con lo scopo di controllarci e se hai
segreti commerciali o industriali da proteggere ti devi rivolgere a
schiere di esperti. Si puo' concludere dicendo che la sicurezza
informatica e' una chimera: pensateci ma non troppo.
Mah.... speriamo bene.
Piergiorgio Sartor
2015-10-03 16:41:55 UTC
Permalink
On 2015-10-01 21:29, marmellata23 wrote:
[...]
Post by marmellata23
Continuate a leggere voi.
Certo, pero` sono un po' paranoici ed anche
alquanto imprecisi.

Raccomandare uno storage USB, perche` il
firmware dei dispositivi SATA, che hanno
il DMA (questo e` il loro problema), e`
proprietario e non puo` essere verificato,
e` una cura peggiore del male.

Infatti, e` noto che gli storage USB sono
soggetti a riprogrammazione del firmware
(che anche loro hanno) ad insaputa del
proprietario. E` stato dimostrato un attacco
a Linux usando questo metodo.

Quindi c'e` da scegliere se, forse, farsi
male con un SATA o, molto piu` probabilmente,
farsi male con USB.

bye,
--
piergiorgio
M_M
2015-10-03 20:31:43 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
Infatti, e` noto che gli storage USB sono
soggetti a riprogrammazione del firmware
(che anche loro hanno) ad insaputa del
proprietario. E` stato dimostrato un attacco
a Linux usando questo metodo.
Su macchine che non avevano il BIOS con il UEFI secure boot?
Piergiorgio Sartor
2015-10-03 20:36:35 UTC
Permalink
Post by M_M
Piergiorgio Sartor
Post by Piergiorgio Sartor
Infatti, e` noto che gli storage USB sono
soggetti a riprogrammazione del firmware
(che anche loro hanno) ad insaputa del
proprietario. E` stato dimostrato un attacco
a Linux usando questo metodo.
Su macchine che non avevano il BIOS con il UEFI secure boot?
Su qualunque PC, e` una cosa user space.

Si manda un comando al dispositivo e poi il
nuovo firmware.
Il problema e` che non e` protetto in scrittura.
In realta` non vi e` nessuna protezione.

Nell'esempio fatto, il nuovo firmware modificava
i file che venivano copiati dall'USB al sistema.
In particolare pacchetti di installazione.

Quindi, chiunque suggerisca di sostituire un
SATA con USB (boot o meno), e` quantomeno
un incosciente.

bye,
--
piergiorgio
Quasidor
2015-10-04 08:38:05 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
..
Quindi, chiunque suggerisca di sostituire un
SATA con USB (boot o meno), e` quantomeno
un incosciente.
Quindi se avvio Linux o altro S.O. da un'USB posso incorrere nel pericolo che,
qualcuno che ne sia in grado e capace di individuarmi sulla rete, possa a mia
insaputa modificare i file di avvio del mio sistema operativo?
Azz questa non la sapevo. E' stata trovata soluzione per proteggersi?
Piergiorgio Sartor
2015-10-04 09:23:43 UTC
Permalink
On 2015-10-04 10:38, Quasidor wrote:
[...]
Post by Quasidor
Quindi se avvio Linux o altro S.O. da un'USB posso incorrere nel pericolo che,
qualcuno che ne sia in grado e capace di individuarmi sulla rete, possa a mia
insaputa modificare i file di avvio del mio sistema operativo?
Il pericolo e` che il firmware dell'USB drive venga
modificato a tua insaputa, con tutte le conseguenze
del caso quando usi tale USB drive.

Per individuarti sulla rete serve molto meno, non
credi? Il tuo provider sa gia` tutto...
Al riguardo, non credere che https sia utile per
quanto riguarda proteggersi dal suddetto provider.
Post by Quasidor
Azz questa non la sapevo. E' stata trovata soluzione per proteggersi?
No, gli USB storage (stick) sono considerati insicuri.

Tra l'altro, per l'uso di scambio file, se uno vuole
essere paranoico, sono da considerarsi usa e getta.

bye,
--
piergiorgio
Yoda
2015-10-04 10:05:36 UTC
Permalink
Post by Piergiorgio Sartor
Post by Quasidor
Azz questa non la sapevo. E' stata trovata soluzione per proteggersi?
No, gli USB storage (stick) sono considerati insicuri.
Tra l'altro, per l'uso di scambio file, se uno vuole
essere paranoico, sono da considerarsi usa e getta.
LOL peggio dei floppy del tempo che fu!
--
Tanti saluti
Piergiorgio Sartor
2015-10-04 10:35:33 UTC
Permalink
On 2015-10-04 12:05, Yoda wrote:
[...]
Post by Yoda
Post by Piergiorgio Sartor
Tra l'altro, per l'uso di scambio file, se uno vuole
essere paranoico, sono da considerarsi usa e getta.
LOL peggio dei floppy del tempo che fu!
Esattamente.
Con la differenza che il floppy aveva un modo
per renderlo read-only, quindi era ancora
possibile evitare (o tentare di evitare) che
qualche sconosciuto vi scrivesse.

Nel caso degli USB, questo non e` possibile.

Non saprei cosa succeda usando un (raro) USB
stick con switch r/o.

In generale, vi e` tanto firmware nei dispositivi
periferici che credo sia estremamente difficile
essere immuni da possibili "infiltrazioni".

Le schede/USB WiFi per esempio, sono un altro
possibile punto di attacco. Per varie ragioni
tecniche, hanno un "bel" firmware...

bye,
--
piergiorgio
Yorgos
2015-10-04 11:32:42 UTC
Permalink
Con la differenza che il floppy aveva un modo per renderlo read-only,
quindi era ancora possibile evitare (o tentare di evitare)
*Tentare* di evitare è più aderente alla realtà.
--
Bye, Yorgos
Galanterie: http://goo.gl/pTlgz
To send me an e-mail, please change cambronne with merde
Valerio Vanni
2015-10-06 10:01:52 UTC
Permalink
On Sun, 4 Oct 2015 11:32:42 +0000 (UTC), Yorgos
Post by Yorgos
Con la differenza che il floppy aveva un modo per renderlo read-only,
quindi era ancora possibile evitare (o tentare di evitare)
*Tentare* di evitare è più aderente alla realtà.
Da quello che ricordo, per i floppy da 3.5" il blocco era meccanico.
Ma non trovo più niente al riguardo.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Yoda
2015-10-06 11:03:35 UTC
Permalink
Post by Valerio Vanni
On Sun, 4 Oct 2015 11:32:42 +0000 (UTC), Yorgos
Post by Yorgos
Con la differenza che il floppy aveva un modo per renderlo read-only,
quindi era ancora possibile evitare (o tentare di evitare)
*Tentare* di evitare è più aderente alla realtà.
Da quello che ricordo, per i floppy da 3.5" il blocco era meccanico.
Ma non trovo più niente al riguardo.
Nelle memorie da inserire nelle chiavette c'e' dispositivo di blocco
(nottolino da spostare) tipo i floppy per renderle ro, ma non so se
agisce anche sul firmware.
--
Tanti saluti
Quasidor
2015-10-06 11:37:25 UTC
Permalink
Post by Yoda
Post by Valerio Vanni
On Sun, 4 Oct 2015 11:32:42 +0000 (UTC), Yorgos
Con la differenza che il floppy aveva un modo per renderlo read-only,
quindi era ancora possibile evitare (o tentare di evitare)
*Tentare* di evitare Ú più aderente alla realtà.
Da quello che ricordo, per i floppy da 3.5" il blocco era meccanico.
Ma non trovo più niente al riguardo.
Nelle memorie da inserire nelle chiavette c'e' dispositivo di blocco
(nottolino da spostare) tipo i floppy per renderle ro, ma non so se
agisce anche sul firmware.
Non un pendrive con un sistema del genere da tanto tempo.
Non credo comunque che agisca sul firmware, bisognerebbe fare una prova.
Dove lo hai trovato/si comprerebbe?
Yoda
2015-10-06 12:55:14 UTC
Permalink
Post by Quasidor
Post by Yoda
Post by Valerio Vanni
Da quello che ricordo, per i floppy da 3.5" il blocco era meccanico.
Ma non trovo più niente al riguardo.
Nelle memorie da inserire nelle chiavette c'e' dispositivo di blocco
(nottolino da spostare) tipo i floppy per renderle ro, ma non so se
agisce anche sul firmware.
Non un pendrive con un sistema del genere da tanto tempo.
Non credo comunque che agisca sul firmware, bisognerebbe fare una prova.
Dove lo hai trovato/si comprerebbe?
Sono chiavette usb leggi-memorie, questa e' "TravelLite SD/MMC Reader"
della Kingston, il blocco sta pero' nelle memorie SD che ci metti
dentro, lo vedi anche in rete nelle immagini: c'e' scritto "LOCK", le SD
sono circa 2,5 x 3,3 centimetri.
--
Tanti saluti
Quasidor
2015-10-06 14:47:27 UTC
Permalink
Post by Yoda
Sono chiavette usb leggi-memorie, questa e' "TravelLite SD/MMC Reader"
della Kingston, il blocco sta pero' nelle memorie SD che ci metti
dentro, lo vedi anche in rete nelle immagini: c'e' scritto "LOCK", le SD
sono circa 2,5 x 3,3 centimetri.
Ok, temo pero' che non risolva il problema del firmware, concordo con te.
Quasidor
2015-10-04 14:15:03 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Le schede/USB WiFi per esempio, sono un altro
possibile punto di attacco. Per varie ragioni
tecniche, hanno un "bel" firmware...
Scusa ma se non erro anche i dischi fissi hanno un bel firmware aggiornabile, di
certo gli SSD ce lo hanno visto che il mio l'ho aggiornato.
Anche quello puo' essere, se tanto mi da tanto, taroccato ad arte.
Poi questo firmware dovrebbe essere costruito e testato sulla periferica
specifica altrimenti questa non funzionerebbe piu'. Non e' un lavoro che
restringe fortemente il numero di coloro che possono realizzare un'attacco del
genere e l'/gli obiettivo/i da colpire?
Oppure ci sono firmware generici capaci di soppiantare la stragande maggioranza
di quelli in commercio?
Piergiorgio Sartor
2015-10-04 15:04:27 UTC
Permalink
On 2015-10-04 16:15, Quasidor wrote:
[...]
Post by Quasidor
Scusa ma se non erro anche i dischi fissi hanno un bel firmware aggiornabile, di
certo gli SSD ce lo hanno visto che il mio l'ho aggiornato.
Anche quello puo' essere, se tanto mi da tanto, taroccato ad arte.
Certamente, mai scritto il contrario.

Solo che con un USB e` molto piu` facile, poiche`
il controller e` sempre lo stesso ed e` facilmente
programmabile.

Riprogrammare un SSD od HDD e` piu` difficile, ma
non impossibile.

D'altro canto, nessuno garantisce che il firmware
originale sia "buono".

La mia critica e` verso chi consiglia USB al posto
di SATA, e` una sciocchezza.

bye,
--
piergiorgio
Quasidor
2015-10-04 18:31:31 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Post by Quasidor
Scusa ma se non erro anche i dischi fissi hanno un bel firmware aggiornabile, di
certo gli SSD ce lo hanno visto che il mio l'ho aggiornato.
Anche quello puo' essere, se tanto mi da tanto, taroccato ad arte.
Certamente, mai scritto il contrario.
Solo che con un USB e` molto piu` facile, poiche`
il controller e` sempre lo stesso ed e` facilmente
programmabile.
Riprogrammare un SSD od HDD e` piu` difficile, ma
non impossibile.
D'altro canto, nessuno garantisce che il firmware
originale sia "buono".
La mia critica e` verso chi consiglia USB al posto
di SATA, e` una sciocchezza.
Ho qualche curiosita' da soddisfare.
a) non ho capito con certezza e' se il virus deve essere programmato per agire
indipendetemente dal S.O. o deve essere istruito in tal senso.
b) Con un'antivirus venga riconosciuta la modifica della pendrive
c) che politica si puo' adottare sotto linux per avere modo di riconoscere una
periferica infetta.

Cmq ormai non c'e' limite al taroccamento di un sistema.
Direi che è praticamente impossibile difendersi con un grado di protezione
accettabile visto che su alcuni aspetti, mi pare di capire, si dovrebbe
diventare paranoici (da ricovero ;) )
Mi lascia perplesso che questa grave falla non sia stata risolta in qualche
modo, magari avviando la produzione di nuove periferiche protette.
Piergiorgio Sartor
2015-10-04 18:40:18 UTC
Permalink
On 2015-10-04 20:31, Quasidor wrote:
[...]
Post by Quasidor
Ho qualche curiosita' da soddisfare.
a) non ho capito con certezza e' se il virus deve essere programmato per agire
indipendetemente dal S.O. o deve essere istruito in tal senso.
A scelta, dipende da cosa gli si voglia far fare...
Post by Quasidor
b) Con un'antivirus venga riconosciuta la modifica della pendrive
Probabilmente no, poiche` devono valere almeno 2 condizioni:
1) l'antivirus deve avere un qualche modo per conoscere
esattamente cosa c'e` come firmware su ogni USB
2) il firmware deve essere cooperativo, nel senso che deve
essere leggibile...
Post by Quasidor
c) che politica si puo' adottare sotto linux per avere modo di riconoscere una
periferica infetta.
A quanto dicono, nessuna.
C'e` solo da *fidarsi* di un USB nuovo.
Post by Quasidor
Cmq ormai non c'e' limite al taroccamento di un sistema.
Direi che è praticamente impossibile difendersi con un grado di protezione
accettabile visto che su alcuni aspetti, mi pare di capire, si dovrebbe
diventare paranoici (da ricovero ;) )
Esistono strategie per combinare elementi insicuri
creando un sistema sicuro.
La domanda e` se ne valga la pena.
Post by Quasidor
Mi lascia perplesso che questa grave falla non sia stata risolta in qualche
modo, magari avviando la produzione di nuove periferiche protette.
Mi pare che qualche costruttore di USB dichiari di
avere una protezione (ironkey?).
D'altro canto ci si deve fidare del costruttore...

bye,
--
piergiorgio
Quasidor
2015-10-05 06:27:52 UTC
Permalink
On 2015-10-04 20:31, Quasidor wrote:
[...]
Post by Piergiorgio Sartor
Post by Quasidor
Ho qualche curiosita' da soddisfare.
a) non ho capito con certezza e' se il virus deve essere programmato per agire
indipendetemente dal S.O. o deve essere istruito in tal senso.
A scelta, dipende da cosa gli si voglia far fare...
Quadro sempre piu' fosco.... :(
Post by Piergiorgio Sartor
Post by Quasidor
b) Con un'antivirus venga riconosciuta la modifica della pendrive
1) l'antivirus deve avere un qualche modo per conoscere
esattamente cosa c'e` come firmware su ogni USB
Ok.
Post by Piergiorgio Sartor
2) il firmware deve essere cooperativo, nel senso che deve
essere leggibile...
Ma la cosa che non ho capito bene, almeno a quanto ho interpretato, praticamente
se si inserisce un pendrive infetto questi infettera' tutti i controller USB che
trova. Percui anche quelli del PC che si sta usando, credo, e credo, a seguire,
anche tutti i pendrive che gli verranno collegati.
Ergo tutti i computer potrebbero essere infetti. Forse ho una visione
esageratamente pessimistica o forse ho capito male?
Post by Piergiorgio Sartor
Post by Quasidor
c) che politica si puo' adottare sotto linux per avere modo di riconoscere una
periferica infetta.
A quanto dicono, nessuna.
C'e` solo da *fidarsi* di un USB nuovo.
Purtroppo, per quanto gia' ho detto, neanche quella se il computer ha avuto
ospite un pendrive infetto compatibile con il controller del medesimo.
Post by Piergiorgio Sartor
Cmq ormai non c'e' limite al taroccamento di un sistema.
Direi che è praticamente impossibile difendersi con un grado di protezione
accettabile visto che su alcuni aspetti, mi pare di capire, si dovrebbe
diventare paranoici (da ricovero ;) )
Esistono strategie per combinare elementi insicuri
creando un sistema sicuro.
Del tipo?
Post by Piergiorgio Sartor
La domanda e` se ne valga la pena.
Secondo me: comunque si. Come ha senso aggiornare il sistema operativo o
aggiornare l'antivirus etc. Altrimenti dovremmo rassegnarci a comprarci un
computer di 10 anni fa con Windows XP, senza alcun antivirus, e vivere felici.
Lo fanno in molti.....Inizio a capire il perche'! :)
Post by Piergiorgio Sartor
Post by Quasidor
Mi lascia perplesso che questa grave falla non sia stata risolta in qualche
modo, magari avviando la produzione di nuove periferiche protette.
Mi pare che qualche costruttore di USB dichiari di
avere una protezione (ironkey?).
Chissa' come l'hanno resa immune. Secondo me hanno bloccato la possibilita' di
aggiornare il firmware, l'avranno messo, in qualche modo, in modalita' read-only.
Post by Piergiorgio Sartor
D'altro canto ci si deve fidare del costruttore...
Questo e' il limite e la forza di tutte le strutture umane: l'uomo.
Anche questa funzione:
"A distanza disattivare o interrompere unità USB smarriti o rubati usando
l'Enterprise Service Management IronKey, che fornisce potenti opzioni per
impedire l'accesso a dispositivi non autorizzati." (ho usato un traduttore
automatico) deve essere presa con estrema fiducia dall'utilizzatore.... :) bye.
Piergiorgio Sartor
2015-10-05 16:42:30 UTC
Permalink
On 2015-10-05 08:27, Quasidor wrote:
[...]
Post by Quasidor
Ma la cosa che non ho capito bene, almeno a quanto ho interpretato, praticamente
se si inserisce un pendrive infetto questi infettera' tutti i controller USB che
trova. Percui anche quelli del PC che si sta usando, credo, e credo, a seguire,
anche tutti i pendrive che gli verranno collegati.
Ergo tutti i computer potrebbero essere infetti. Forse ho una visione
esageratamente pessimistica o forse ho capito male?
Da quello che ho capito io, si puo` cambiare il
firmware dell'USB in modo tale da modificare
file che vengono copiati su di (o semplicemente
letti da) esso.
Questo diventa un vettore di attacco per installare
un virus che potrebbe, a sua volta, infettare altri
USB stick (probabilmente, in Linux, se riesce a
diventare root).

Questo, pero`, non garantisce la persistenza.
Prima o poi ti accorgi che qualcosa non va...

[...]
Post by Quasidor
Post by Piergiorgio Sartor
Esistono strategie per combinare elementi insicuri
creando un sistema sicuro.
Del tipo?
E` complicato spiegarlo qui, ma l'idea di base e`
che due sistemi insicuri non sono comunque cooperanti.
Quindi e` possibile usarli assieme, uno per eliminare
l'insicurezza dell'altro.

[...]
Post by Quasidor
Chissa' come l'hanno resa immune. Secondo me hanno bloccato la possibilita' di
aggiornare il firmware, l'avranno messo, in qualche modo, in modalita' read-only.
Il che e` normale, non viene fatto per motivi di
praticita`: possono *aggiornare* il firmware in
ogni momento. Il che e` comodo anche per l'utente.

bye,
--
piergiorgio
Quasidor
2015-10-05 17:22:39 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Da quello che ho capito io, si puo` cambiare il
firmware dell'USB in modo tale da modificare
file che vengono copiati su di (o semplicemente
letti da) esso.
Insomma infezioni virali a gogo... :(
Post by Piergiorgio Sartor
Questo diventa un vettore di attacco per installare
un virus che potrebbe, a sua volta, infettare altri
USB stick (probabilmente, in Linux, se riesce a
diventare root).
Un bel mal di testa.
Post by Piergiorgio Sartor
Questo, pero`, non garantisce la persistenza.
Prima o poi ti accorgi che qualcosa non va...
Si te ne puoi accorgere ma come risolvi dopo? :(
Post by Piergiorgio Sartor
E` complicato spiegarlo qui, ma l'idea di base e`
che due sistemi insicuri non sono comunque cooperanti.
Quindi e` possibile usarli assieme, uno per eliminare
l'insicurezza dell'altro.
Richiedo maggiori informazioni... :) Se possibile.
Post by Piergiorgio Sartor
Il che e` normale, non viene fatto per motivi di
praticita`: possono *aggiornare* il firmware in
ogni momento. Il che e` comodo anche per l'utente.
Si ma visto i risultati la soluzione rischia di essere piu' grave del problema
che intende risolvere: praticita' di manutenzione....
Questo problema coinvolge, come abbiamo gia' detto, tutti i firmware di
periferiche diffuse. Insomma un bel casino'... :(
Piergiorgio Sartor
2015-10-05 17:45:28 UTC
Permalink
On 2015-10-05 19:22, Quasidor wrote:
[...]
Post by Quasidor
Post by Piergiorgio Sartor
E` complicato spiegarlo qui, ma l'idea di base e`
che due sistemi insicuri non sono comunque cooperanti.
Quindi e` possibile usarli assieme, uno per eliminare
l'insicurezza dell'altro.
Richiedo maggiori informazioni... :) Se possibile.
Mah, come scrivevo e` complicato e dipende
caso per caso.

Se uno teme che il chipset usi per conto proprio
la rete, puo` sempre dirottare questa su di un
altro PC e poi indietro al PC originale e verificare
che se vi e` qualche pacchetto in piu`.
Da qui e` possibile prendere delle decisioni.

Questo e` un esempio a caso, probabilmente con
diversi problemi, ma dovrebbe rendere l'idea.

bye,
--
piergiorgio
Quasidor
2015-10-06 06:13:01 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Post by Quasidor
Richiedo maggiori informazioni... :) Se possibile.
Mah, come scrivevo e` complicato e dipende
caso per caso.
Se uno teme che il chipset usi per conto proprio
la rete, puo` sempre dirottare questa su di un
altro PC e poi indietro al PC originale e verificare
che se vi e` qualche pacchetto in piu`.
Da qui e` possibile prendere delle decisioni.
Questo e` un esempio a caso, probabilmente con
diversi problemi, ma dovrebbe rendere l'idea.
Direi che rende l'approccio complicato. In effetti dovrebbero trovare soluzione
ai problemi dei firmware a questo punto "ma anche del resto".
Purtroppo, a parte hacker vari, visto che sono addirittura coinvolti gli stati
USA, Cina etc. nel fare queste modifiche il problema andrebbe risolto ai piani
alti. Temo che alla fine non faranno assolutamente nulla, a parte litigare e
rimproverarsi a vicenda. A livello industriale quei tentativi sono chimere, alla
fine, poco affidabili. Insomma, al momento, non ci resta che aggiornare i nostri
PC e "vivere felici". Anche perche' nonostante i servizi giornalistici e Edward
Snowden non si e' mosso nulla. :(
M_M
2015-10-05 17:09:15 UTC
Permalink
Post by Quasidor
Poi questo firmware dovrebbe essere costruito e testato sulla periferica
specifica altrimenti questa non funzionerebbe piu'. Non e' un lavoro che
restringe fortemente il numero di coloro che possono realizzare un'attacco del
genere e l'/gli obiettivo/i da colpire?
I cinesi, a stare alle proteste rivolte al presidente Xi da parte di Obama, in
visita in Cina non molto tempo fa. Ma non un device taroccato, proprio tutti,
alla fonte.
Emh! Poi si potrebbe aggiungere: "ma senti un po' da chi viene la predica" :-)
Quasidor
2015-10-05 17:18:44 UTC
Permalink
Post by M_M
Post by Quasidor
Poi questo firmware dovrebbe essere costruito e testato sulla periferica
specifica altrimenti questa non funzionerebbe piu'. Non e' un lavoro che
restringe fortemente il numero di coloro che possono realizzare un'attacco del
genere e l'/gli obiettivo/i da colpire?
I cinesi, a stare alle proteste rivolte al presidente Xi da parte di Obama, in
visita in Cina non molto tempo fa. Ma non un device taroccato, proprio tutti,
alla fonte.
Emh! Poi si potrebbe aggiungere: "ma senti un po' da chi viene la predica" :-)
Della serie "l'asino chiama cornuto il bue...." :)
Leggevo infatti che i prodotti cinesi hanno grossi problemi in tal senso e visto
che tutto (o quasi) si produce li.... :(
Gli ammerricani non vogliono perdere il predominio in queste cose ma i cinesi
sanno copiare bene... :)
Qualche link per approfondire questa spinosa situazione?
M_M
2015-10-05 17:44:16 UTC
Permalink
Post by Quasidor
Qualche link per approfondire questa spinosa situazione?
Non ti e` bastato "Hard disk hacking"
http://spritesmods.com/?art=hddhack
citato nel thread "Usura SSD sotto linux?" di un mesetto fa?
Quasidor
2015-10-06 06:05:04 UTC
Permalink
Post by M_M
Post by Quasidor
Qualche link per approfondire questa spinosa situazione?
Non ti e` bastato "Hard disk hacking"
http://spritesmods.com/?art=hddhack
citato nel thread "Usura SSD sotto linux?" di un mesetto fa?
Non l'avevo visto proprio. Ciao.
Piergiorgio Sartor
2015-10-05 17:20:01 UTC
Permalink
On 2015-10-04 16:15, Quasidor wrote:
[...]
Post by Quasidor
Poi questo firmware dovrebbe essere costruito e testato sulla periferica
specifica altrimenti questa non funzionerebbe piu'. Non e' un lavoro che
restringe fortemente il numero di coloro che possono realizzare un'attacco del
genere e l'/gli obiettivo/i da colpire?
Il problema e` che il 90% (una cifra a caso,
ma significativa) degli USB stick usano lo
stesso controller: 8051
Post by Quasidor
Oppure ci sono firmware generici capaci di soppiantare la stragande maggioranza
di quelli in commercio?
Piu` o meno...

bye,
--
piergiorgio
Quasidor
2015-10-06 06:05:51 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Post by Quasidor
Poi questo firmware dovrebbe essere costruito e testato sulla periferica
specifica altrimenti questa non funzionerebbe piu'. Non e' un lavoro che
restringe fortemente il numero di coloro che possono realizzare un'attacco del
genere e l'/gli obiettivo/i da colpire?
Il problema e` che il 90% (una cifra a caso,
ma significativa) degli USB stick usano lo
stesso controller: 8051
Post by Quasidor
Oppure ci sono firmware generici capaci di soppiantare la stragande maggioranza
di quelli in commercio?
Piu` o meno...
e quello originale da ricopiarci su? ;)
Piergiorgio Sartor
2015-10-06 06:30:32 UTC
Permalink
On 2015-10-06 08:05, Quasidor wrote:
[...]
Post by Quasidor
e quello originale da ricopiarci su? ;)
Hanno fatto il reverse engineering di uno.
Siccome l'HW e` sempre lo stesso, il firmare
funziona comunque (probabilmente e` lo stesso
pure quello).

Il trionfo della produzione di massa: tutto
e` uguale, per risparmiare, cosi` cambi uno
e cambi tutti...

bye,
--
piergiorgio
Quasidor
2015-10-06 10:04:03 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Hanno fatto il reverse engineering di uno.
Siccome l'HW e` sempre lo stesso, il firmare
funziona comunque (probabilmente e` lo stesso
pure quello).
Il trionfo della produzione di massa: tutto
e` uguale, per risparmiare, cosi` cambi uno
e cambi tutti...
Uhmm... ho capito ma un firmware pulito da scaricare (link)? ;)
Si usa un'utl win o linux e' gia' in grado di riscrivere il firmware per conto suo?
Quasidor
2015-10-04 14:10:54 UTC
Permalink
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Post by Quasidor
Azz questa non la sapevo. E' stata trovata soluzione per proteggersi?
No, gli USB storage (stick) sono considerati insicuri.
[...]
Ho cercato in rete ma non ho trovato queste informazioni. Dove posso leggere
qualche articolo a riguardo?
Piergiorgio Sartor
2015-10-04 15:02:09 UTC
Permalink
Post by M_M
Piergiorgio Sartor
Post by Piergiorgio Sartor
[...]
Post by Quasidor
Azz questa non la sapevo. E' stata trovata soluzione per proteggersi?
No, gli USB storage (stick) sono considerati insicuri.
[...]
Ho cercato in rete ma non ho trovato queste informazioni. Dove posso leggere
qualche articolo a riguardo?
Per es.:

https://srlabs.de/badusb/
https://www.blackhat.com/us-14/briefings.html#badusb-on-accessories-that-turn-evil
https://nakedsecurity.sophos.com/2014/10/06/badusb-now-with-do-it-yourself-instructions/

bye,
--
piergiorgio
Continua a leggere su narkive:
Loading...