On 05-09-15 10:58, GiPOCO wrote:
> Ciao.
>
> Il 2015-09-04 19:29 Elettrico ha scritto:
>> Il 04/09/2015 14:11, lobo ha scritto:
>>> crypto + javascript = sbagliato
>>
>> sono pure d'accordo, ma il tutto avviene lato client.
>> cioè, che la criptazione la faccia javascript o java o python o c, non
>> ci vedo molta differenza, se hai installato un keylogger non cambia
>> nulla.
>
> In linea di principio se l'ambiente non è fidato non ha molto senso
> parlare
> di crittografia probabilmente. Sulla questione dei keyloggers (hardware o
> software che siano) vi racconto una mia esperienza...
>
> Personalmente, ho risolto compilando una mia versione custom che il
> problema
> lo risolve a modo mio: il mio "cryptsetup" (nessuno mi vieta di
> modificarmi
> anche "login", "ssh", etc in futuro ma per ora mi sento abbastanza a
> posto)
> dove prima chiedeva una password da inserire interattivamente via
> tastiera
> ora mi chiede di digitarla su una tastiera traslata, ruotata e deformata
> casualmente sullo schermo. Al prossimo passo credo che cambierò il set
> dei
> caratteri, accetto consigli su come operare.
>
Penso che queste siano tutte contromisure inutili, se ti ritrovi un
keylogger installato, non sara' certo quello il principale problema.
la modifica al layout della tastiera non ti protegge contro i
keylogger.. se proprio non vuoi usare la tastiera usa qualcosa tipo le
yubikey (che manco ti proteggono del tutto dai keylogger)
cryptsetup mantiene le key in memoria in modo abbastanza intelligente,
vedi le funzioni AF-split e AF-merge
> modificato il puntatore del mouse e i colori di caratteri, puntatore e
> sfondo
> per fare si che tutto ciò sia visibile solo da una certa angolazione
> sui monitor
> LCD e appena percettibile (parliamo di grigio rosa ed azzurro) sui
> CRT, ergo
> alla fine accetto anche di essere ripreso durante la procedura.
> ...naturalmente
> dopo aver verificato che le free() prima di liberare la memoria la
> sovrascriva
> adeguatamente e altre banalità (che in "cryptsetup" mi hanno
> soddisfatto, ma
> che nel sorgente di "login" non sono sicuro di trovare a posto, a
> sensazione).
> Naturalmente se mai pensassi di pubblicare la cosa i colori sarebbero
> customizzabili a piacere.
>
> Questo non per descrivere un punto d'arrivo, ma solo per condividere
> un pensiero
> che possa ispirare paranoia costruttiva e il solito nostro comune
> intento di
> metterci le mani dentro.
>
> ...tornando in topic, mi riprometto di fare qualche ragionamento
> equivalente
> proiettato nel mondo del mobile. Nel frattempo continuerò a leggere
> questa
> stimolante discussione, che mi sta inspirando parecchio.
>
cryptocat non e' altro che un client xmpp con il supporto OTR single e
multichat, il suo successo e' dato dal fatto che gira nel browser ed e'
quindi facilmente utilizzabile (?), il suo problema e' che e' scritto
con un linguaggio che non aiuta con vulnerabilita', per esempio, dovute
al typing (viva Rust!)
http://tobtu.com/decryptocat.php
oppure:
https://github.com/cryptocat/cryptocat/issues/702
http://www.scip.ch/en/?vuldb.9443
http://www.scip.ch/en/?vuldb.9436
etc...
https://twitter.com/tqbf/status/466635473340104704
altro problema e' la "pacchettizazione" come diceva boyska. ad ogni modo
un grosso passo avanti fu fatto quando da semplice app in DOM e'
diventata una extension, ma il problema principale resta, ovvero che
gira in una delle parti piu' weak di un sistema, il browser. (VM, Qubes
OS aiutano? probabilmente si, sono usabili facilmente da un utente
medio? probabilmente no..)
ciao