Author

Topic: [sicurezza] vulnerabilità protocollo usb (Read 1550 times)

legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
August 07, 2014, 08:38:47 AM
#17
Leggendo mi è tornato in mente quel sistema che prevede tramite electrum di firmare la transazione offline. Ma se ora le chiavette usb sono diventate cosi pericolose, forse è meglio affidarsi a qualche altro tipo di memoria.


Ciao, passati i dati delle tx tramite qr codes e togliti il pensiero, oppure ancora più drastico: scriviti a mano la tx non firmata ricopiandola dal pc online. Palloso ma indubbiamente a prova di backdoor.

+1. Direi che l'argomento merita un approfondimento (o almeno una citazione) anche nella guida. Se si fosse paranoici a livelli patologici (o quasi) bisognerebbe evitare di usare chiavette USB anche per i backup, oppure essere in grado di verificare il firmware installato e/o sovrascriverlo con un firmware sicuro. La sola formattazione andrebbe considerata come insufficiente, ai fini di una bonifica da eventuale malware.

Ciao!

Sto già studiando dei metodi per realizzare tx in maniera totalmente "air-gapped" (tradotto: firmare transazioni senza lasciare lo spazio fisico necessario ad ospitare un malware nell'ambiente di lavoro sterile), però al momento il trasferimento di dati risulta tedioso anche per importi considerevoli.
legendary
Activity: 2450
Merit: 1008
August 06, 2014, 06:35:26 PM
#16
Leggendo mi è tornato in mente quel sistema che prevede tramite electrum di firmare la transazione offline. Ma se ora le chiavette usb sono diventate cosi pericolose, forse è meglio affidarsi a qualche altro tipo di memoria.


Ciao, passati i dati delle tx tramite qr codes e togliti il pensiero, oppure ancora più drastico: scriviti a mano la tx non firmata ricopiandola dal pc online. Palloso ma indubbiamente a prova di backdoor.

+1. Direi che l'argomento merita un approfondimento (o almeno una citazione) anche nella guida. Se si fosse paranoici a livelli patologici (o quasi) bisognerebbe evitare di usare chiavette USB anche per i backup, oppure essere in grado di verificare il firmware installato e/o sovrascriverlo con un firmware sicuro. La sola formattazione andrebbe considerata come insufficiente, ai fini di una bonifica da eventuale malware.

Ciao!
legendary
Activity: 981
Merit: 1029
August 03, 2014, 07:11:27 AM
#15
Se ho capito bene si parla della possibilità di scrivere codice malevolo sui firmware dei vari dispositivi, servirebbe uno switch (anche fisico) che ne impedisca la scrittura. Comunque se ne parlerà al Black Hat 2014: https://www.blackhat.com/us-14/briefings.html#Nohl
legendary
Activity: 3248
Merit: 1070
August 03, 2014, 02:42:41 AM
#14
..

beh ovvio come dire se ho la combinazione della cassaforte la cassaforte non è più sicura, ma senza quella combinazione lo è al 100%, è una cassaforte indistruttibile e inviolabile

volevo solo puntualizzare che il 100% esiste
Rimanendo OT facciamo un caso pratico, (supponiamo che) tu vuoi salvare la private key del tuo BTC address con i BTC caricati. Allora per essere sicuro la codifichi con vernam e salvi su USB che non e' sicura.
Dove salvi la chiave casuale che ti serve per codificare/decodificare?

trascrivo su carta
Praticamente un paper wallet

beh si sono obbligato, comunque bisogna vedere chi sono questi "malintenzionati" di cui parla l'articolo, le case produttrici non credo farebbero cose del genere...
legendary
Activity: 2506
Merit: 1120
August 02, 2014, 03:26:21 PM
#13
..

beh ovvio come dire se ho la combinazione della cassaforte la cassaforte non è più sicura, ma senza quella combinazione lo è al 100%, è una cassaforte indistruttibile e inviolabile

volevo solo puntualizzare che il 100% esiste
Rimanendo OT facciamo un caso pratico, (supponiamo che) tu vuoi salvare la private key del tuo BTC address con i BTC caricati. Allora per essere sicuro la codifichi con vernam e salvi su USB che non e' sicura.
Dove salvi la chiave casuale che ti serve per codificare/decodificare?

trascrivo su carta
Praticamente un paper wallet
legendary
Activity: 3248
Merit: 1070
August 02, 2014, 03:23:59 PM
#12
..

beh ovvio come dire se ho la combinazione della cassaforte la cassaforte non è più sicura, ma senza quella combinazione lo è al 100%, è una cassaforte indistruttibile e inviolabile

volevo solo puntualizzare che il 100% esiste
Rimanendo OT facciamo un caso pratico, (supponiamo che) tu vuoi salvare la private key del tuo BTC address con i BTC caricati. Allora per essere sicuro la codifichi con vernam e salvi su USB che non e' sicura.
Dove salvi la chiave casuale che ti serve per codificare/decodificare?

trascrivo su carta
legendary
Activity: 2506
Merit: 1120
August 02, 2014, 03:06:54 PM
#11
..

beh ovvio come dire se ho la combinazione della cassaforte la cassaforte non è più sicura, ma senza quella combinazione lo è al 100%, è una cassaforte indistruttibile e inviolabile

volevo solo puntualizzare che il 100% esiste
Rimanendo OT facciamo un caso pratico, (supponiamo che) tu vuoi salvare la private key del tuo BTC address con i BTC caricati. Allora per essere sicuro la codifichi con vernam e salvi su USB che non e' sicura.
Dove salvi la chiave casuale che ti serve per codificare/decodificare?
legendary
Activity: 3248
Merit: 1070
August 02, 2014, 02:15:44 PM
#10
Al giorno d'oggi la sicurezza al 100% non esiste più. L'unica cosa su cui possiamo fare affidamento è la "relativa sicurezza".
Quanto è probabile che quel problema possa essere reale per te nei dispositivi che possiedi? A seconda di questa valutazione puoi essere più o meno sicuro.
La preoccupazione rimane ma non penso che sia così comune per il Sig. Rossi piuttosto che per Sig. Brambilla.

eh ti sbagli

cifrario di vernam say hi  Grin
Il cifrario è sicuro (dimostrato da Shannon - fonte wikipedia.org) ma la chiave? Chi garantisce che la stessa non venga persa e scoperta da un malintenzionato?
Pertanto: ricordo un testo di sicurezza informatica che iniziava +- con queste parole: si puo' considerare sicuro un computer rotto, non funzionante disassemblato e staccato fisicamente da tutte le connessioni elettriche e non.
Per il cifrario consiglio la lettura di: http://www.crittologia.eu/critto/vernam.html  

beh ovvio come dire se ho la combinazione della cassaforte la cassaforte non è più sicura, ma senza quella combinazione lo è al 100%, è una cassaforte indistruttibile e inviolabile

volevo solo puntualizzare che il 100% esiste
legendary
Activity: 2506
Merit: 1120
August 02, 2014, 02:02:33 PM
#9
Al giorno d'oggi la sicurezza al 100% non esiste più. L'unica cosa su cui possiamo fare affidamento è la "relativa sicurezza".
Quanto è probabile che quel problema possa essere reale per te nei dispositivi che possiedi? A seconda di questa valutazione puoi essere più o meno sicuro.
La preoccupazione rimane ma non penso che sia così comune per il Sig. Rossi piuttosto che per Sig. Brambilla.

eh ti sbagli

cifrario di vernam say hi  Grin
Il cifrario è sicuro (dimostrato da Shannon - fonte wikipedia.org) ma la chiave? Chi garantisce che la stessa non venga persa e scoperta da un malintenzionato?
Pertanto: ricordo un testo di sicurezza informatica che iniziava +- con queste parole: si puo' considerare sicuro un computer rotto, non funzionante disassemblato e staccato fisicamente da tutte le connessioni elettriche e non.
Per il cifrario consiglio la lettura di: http://www.crittologia.eu/critto/vernam.html 
legendary
Activity: 3248
Merit: 1070
August 02, 2014, 08:21:40 AM
#8
Al giorno d'oggi la sicurezza al 100% non esiste più. L'unica cosa su cui possiamo fare affidamento è la "relativa sicurezza".
Quanto è probabile che quel problema possa essere reale per te nei dispositivi che possiedi? A seconda di questa valutazione puoi essere più o meno sicuro.
La preoccupazione rimane ma non penso che sia così comune per il Sig. Rossi piuttosto che per Sig. Brambilla.

eh ti sbagli

cifrario di vernam say hi  Grin

Una sicurezza al 100% non esiste  Grin .

per il momento esiste(quel cifrario è unbreakable almeno per ora), nel futuro chissà, se parliamo di sicurezza al 100% di qua alla fine dei tempi, beh allora basta immaginare qualcosa che non accadrà mai tipo un asino gigante quanto una galassia che spara scorregge e distruggere universi :asd:
legendary
Activity: 1526
Merit: 1010
▇ ▅ ▃ ▇ ▅ █
August 02, 2014, 07:51:50 AM
#7
Al giorno d'oggi la sicurezza al 100% non esiste più. L'unica cosa su cui possiamo fare affidamento è la "relativa sicurezza".
Quanto è probabile che quel problema possa essere reale per te nei dispositivi che possiedi? A seconda di questa valutazione puoi essere più o meno sicuro.
La preoccupazione rimane ma non penso che sia così comune per il Sig. Rossi piuttosto che per Sig. Brambilla.

eh ti sbagli

cifrario di vernam say hi  Grin

Una sicurezza al 100% non esiste  Grin .
mi accontento anche del 99,999999999999999999999999999999999999999999999999999999%
 Tongue
legendary
Activity: 1778
Merit: 1043
#Free market
August 02, 2014, 07:36:02 AM
#6
Al giorno d'oggi la sicurezza al 100% non esiste più. L'unica cosa su cui possiamo fare affidamento è la "relativa sicurezza".
Quanto è probabile che quel problema possa essere reale per te nei dispositivi che possiedi? A seconda di questa valutazione puoi essere più o meno sicuro.
La preoccupazione rimane ma non penso che sia così comune per il Sig. Rossi piuttosto che per Sig. Brambilla.

eh ti sbagli

cifrario di vernam say hi  Grin

Una sicurezza al 100% non esiste  Grin .
legendary
Activity: 3248
Merit: 1070
August 02, 2014, 06:40:23 AM
#5
Al giorno d'oggi la sicurezza al 100% non esiste più. L'unica cosa su cui possiamo fare affidamento è la "relativa sicurezza".
Quanto è probabile che quel problema possa essere reale per te nei dispositivi che possiedi? A seconda di questa valutazione puoi essere più o meno sicuro.
La preoccupazione rimane ma non penso che sia così comune per il Sig. Rossi piuttosto che per Sig. Brambilla.

eh ti sbagli

cifrario di vernam say hi  Grin
full member
Activity: 210
Merit: 100
August 01, 2014, 04:51:33 PM
#4
ancora più drastico: scriviti a mano la tx non firmata ricopiandola dal pc online. Palloso ma indubbiamente a prova di backdoor.

Lo faccio  Grin
legendary
Activity: 3766
Merit: 1742
Join the world-leading crypto sportsbook NOW!
August 01, 2014, 02:55:41 PM
#3
Leggendo mi è tornato in mente quel sistema che prevede tramite electrum di firmare la transazione offline. Ma se ora le chiavette usb sono diventate cosi pericolose, forse è meglio affidarsi a qualche altro tipo di memoria.


Ciao, passati i dati delle tx tramite qr codes e togliti il pensiero, oppure ancora più drastico: scriviti a mano la tx non firmata ricopiandola dal pc online. Palloso ma indubbiamente a prova di backdoor.
legendary
Activity: 1092
Merit: 1021
August 01, 2014, 06:20:27 AM
#2
Al giorno d'oggi la sicurezza al 100% non esiste più. L'unica cosa su cui possiamo fare affidamento è la "relativa sicurezza".
Quanto è probabile che quel problema possa essere reale per te nei dispositivi che possiedi? A seconda di questa valutazione puoi essere più o meno sicuro.
La preoccupazione rimane ma non penso che sia così comune per il Sig. Rossi piuttosto che per Sig. Brambilla.
sr. member
Activity: 1270
Merit: 254
Oikos.cash | Decentralized Finance on Tron
August 01, 2014, 04:11:55 AM
#1
Leggevo questa notizia
http://www.tomshw.it/cont/news/protocollo-usb-sicurezza-addio-c-e-una-falla-enorme/58277/1.html

Leggendo mi è tornato in mente quel sistema che prevede tramite electrum di firmare la transazione offline. Ma se ora le chiavette usb sono diventate cosi pericolose, forse è meglio affidarsi a qualche altro tipo di memoria.
Jump to: