Re: [OT] Bruce Schneier sull' anonimato in TOR
automatic_jack wrote:
mi scuso dell' OT ma...non troppo tempo addietro abbiam parlato in
lista di TOR - non lo uso, ma me ne interesso in una ottica futura (ok,
sono in fase evolutiva riguardo sicurezza ed affini) - e sul numero
di Ottobre 2007 di CryptoGram leggibile in italiano qui:
http://www.cryptogram.it/cryptogram.php
ho dato un'occhiata, non sono un esperto, ma molte cose mi lasciano un
po' perplesso.
> "La sicurezza in un sistema informatico non è un prodotto ma un processo"
bisognerebbe dare una piccola definizione di sicurezza, di sistema
informatico, di prodotto e di processo ... va beh, lasciamo passare
queste "piccole" imprecisioni
dalla newsletter di ottobre:
> Il worm Storm [...]. I computer di coloro che aprivano l'allegato
> diventavano infetti, e si univano a un botnet in crescita continua.
eh?
Questa è mala-informazione. Non è indicato prima di tutto il sistema
operativo e poi il client di mail. Questi sono i minimi requisiti (poi
potrebbe essere necessario conoscere altro, ad esempio i privilegi
utente, programmi installati, ...)
Frasi come questa sono fatte solo per generare allarmismo senza fornire
informazioni utili a chi le legge. Forse usano queste news letter per
far paura ai loro lettori e vendergli qualcosa?
> Worm vecchio stile, come Sasser, Slammer e Nimda, erano realizzati da
> hacker che cercavano la gloria.
eh?
Qui bisognava forse scrivere cracker
> Slammer infettò 75.000 computer in 10 minuti
si come l'articolo di un giornale o tv di qualche anno fa che dicevano
che venivi infettato anche con PC spento.
Cosa sono indovini o astrologhi?
> Grazie a una tale offensiva, gli esperti di sicurezza poterono
> facilmente individuare l’attacco, ma fu necessaria una pronta risposta
> da parte delle compagnie antivirus, degli amministratori di sistema e
> degli utenti nella speranza di contenere l’attacco.
frase per generare "panico"/allarme in chi legge ... e se capitasse a me?
Scommetto che vendono antivirus o simili ...
Qui mi fermo.
Mi sembra un insieme di messaggi atti a rendere indispensabile
l'acquisto ed uso di determinati prodotti.
Ma dico io perché il 99,999% dei virus & C. sono su ms-windows?
Perché il 99,9999% dei virus & C. che riescono a diffondersi sono su
ms-windows?
...
per quanto riguarda Tor
> L’anonimato non vuol dire privacy.
se non vi è privacy, allora non vi può essere anonimato. La privacy è la
non diffusione di dati sensibili/personali, se questi dati sono diffusi,
allora di sicuro non c'è anonimato, perché se dispongo di tali dati
posso risalire a te.
Se conosco dei dati sensibili/personali, ma non riesco ad "agganciarli"
in nessun modo ad una persona (anonimato), allora non sto ledendo la
privacy di quella persona. Ad esempio so che una persona ha la sclerosi
multipla, ma se non ho nessun dato per identificare esattamente quella
persona, allora ho sia anonimato che privacy.
A me non viene in mente nessun caso in cui possa avere solo l'anonimato
o solo la privacy.
> Tor è uno strumento gratuito che permette di usare Internet in modo
> anonimo.
falso.
Tor è uno strumento che permette, usato insieme ad altri strumenti e con
una certa accortezza d'uso, di usare internet in modo anonimo con una
buona probabilità di successo.
Se con Tor non si usa un proxy (es: privoxy) il tuo anonimato è molto
fragile.
Se con Tor fai passare in chiaro tue informazioni personali, allora il
tuo anonimato è molto fragile.
Ad esempio: mi collego con Tor, vado su wikipedia ed edito degli
articoli dopo aver fatto il login. In questo modo sono ben
identificabile. Se prima di cambiare nodo visito in modo "anonimo" un
sito e sono ancora sullo stesso nodo d'uscita, allora oltre ad
identificare la mia mail è possibile identificare anche il sito che ho
visitato.
> Se volete che il vostro traffico Tor sia privato, dovrete criptarlo.
> Se volete che sia autenticato, dovrete anche firmarlo
eh?
questa proprio non l'ho capita.
Non sono a conoscenza del fatto di poter firmare un traffico generato
tramite Tor ... ma se così fosse dove sarebbe l'anonimato? Se lo firmo,
allora tutti sapranno che è il mio.
> Dan Egerstad [...] Il mese scorso ha pubblicato un elenco di 100
> credenziali email [...] Il prezzo che si paga per l’anonimato è
> esporre il proprio traffico a persone infide.
eh?
se usi uno strumento in modo improprio, non puoi pretendere che il
lavoro finale sia buono.
Se usi Tor perché vuoi navigare in modo anonimo, allora non devi
assolutamente fare nulla che possa identificarti. Se spedisci una mail
(in chiaro) naturalmente chi gestisce un nodo terminale può leggerla e
quindi sapere chi sei (questo ti fa perdere l'anonimato (sa chi sei) e
la privacy (legge i tuoi dati)).
....
o sono io davvero niubbo su queste "cose" e quindi non ho capito nulla o
questi riportano una marea di malainformazione ... sembrano molti (quasi
tutti) dei nostri giornalisti italiani quando parlano di informatica :-)
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione per l'uso di formati accessibili nell'Unione Europea
http://tinyurl.com/y6u4m5
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: