USA, NSA cuore della sicurezza IT

L'amministrazione Bush è sul punto di affidare alla più importante agenzia di intelligence la responsabilità dei sistemi governativi e della PA. Non ne saranno toccati - dicono - i privati

USA, NSA cuore della sicurezza ITWashington (USA) - Ci saranno i tecnici, i software e le attrezzature della National Security Agency (NSA) dietro tutte le comunicazioni telematiche della pubblica amministrazione statunitense. Questo è il controverso progetto che la Casa Bianca intende portare avanti e che sarà presto reso ufficiale.

Un compito del genere porrebbe la NSA al centro di un vitale scambio di informazioni tra l'amministrazione pubblica e il dipartimento per la Sicurezza nazionale e spingerebbe la più importante delle agenzie dell'intelligence statunitense ad assumere un ruolo del tutto nuovo. Un ruolo destinato a costare parecchio sebbene non siano ancora stati definiti i nuovi fondi che dovranno essere trasferiti alla NSA per riuscire nell'operazione.

Nell'ottica di questo progetto, dunque, NSA dovrà fornire gli standard tecnici e i software ai quali le diverse agenzie governative dovranno uniformarsi. Se fino ad oggi NSA si è occupata direttamente di garantire la sicurezza, anche informatica, delle agenzie impegnate su fronti essenziali come quello degli armamenti e dell'intelligence, ora potrebbe infilarsi come "garante" in tutte le comunicazioni delle e tra le diverse amministrazioni. Da un lato, in questo modo si superebbero le attuali difformità nella sicurezza dei diversi sistemi governativi, arrivando ad infrastrutture comuni, dall'altro si accentrerebbero notevolmente responsabilità oggi distribuite.
Oggi, ha spiegato ai reporter Daniel Wolf, direttore dei sistemi informativi di NSA, i diversi settori della PA americana dialogano tra di loro e questo può significare che la debolezza o la vulnerabilità di un sistema secondario, collegato però all'infrastruttura pubblica, si traduca in una voragine capace di far entrare cracker su sistemi apparentemente sicuri. Uno scenario insostenibile, viste le potenzialità informatiche delle numerose potenze ostili agli Stati Uniti.

"Se non c'è nessuno che controlla il traffico - ha affermato Wolf con una metafora dal sapore medievale - e dà le direttiva necessarie su quanto i sistemi debbano essere sicuri, il rischio corso da un castello rischia di essere condiviso da altri castelli. Chi definisce gli standard? Chi dice quanto alte debbano essere le mura?"

Difficile comunque stupirsi della nuova attribuzione che si intende dare alla NSA, visto che di recente il Congresso ha fatto il punto sulla sicurezza dei sistemi governativi basandosi su uno studio commissionato proprio a NSA e al Dipartimento della Homeland Security. Uno studio che pone al centro il problema fondamentale descritto da Wolf, secondo cui la connessione tra sistemi diversi "incrementa la vulnerabilità di reti un tempo concepite per essere sostanzialmente isolate le une dalle altre".

Il quartier generale della NSAMa è anche ovvio che i maggiori finanziamenti che arriveranno alla NSA suscitino qualche polemica così come il nuovo ruolo dell'agenzia. Le attività della NSA, infatti, rispetto a quelle di qualunque altra agenzia americana, sono coperte da un'altissima classificazione che impedisce quella che secondo alcuni è una necessaria trasparenza operativa. Non solo, il coinvolgimento diretto di NSA nei più sofisticati sistemi di intercettazione, da quelli prettamente nazionali a quelli che operano su scala mondiale come Echelon, acuisce il timore che il ruolo di "vigile del traffico" ossia della comunicazione tra pubbliche amministrazioni possa finire per nuocere alle libertà individuali.

Su questo punto Wolf e NSA gettano acqua sul fuoco sottolineando che il loro lavoro non potrà in alcun modo "riguardare i privati". Un'affermazione che può apparire scontata ma che non lo è affatto in un paese nel quale tutte le più importanti installazioni civili, dalla gestione delle acque alla produzione elettrica, pur decisive anche per l'amministrazione pubblica, sono però gestite da società private.

Sono preoccupazioni legate peraltro al sostanziale fallimento negli USA del PCII, sigla che sta per Protected Critical Infrastructure Information, un programma che da un anno spinge affinché le aziende che gestiscono le infrastrutture critiche comunichino i dettagli delle proprie strutture di sicurezza alla Homeland Security, affinché siano revisionate per garantire maggiore sicurezza, con l'assicurazione che le informazioni rimarranno classificate. Ma è una garanzia alla quale l'industria ha creduto così poco che quasi nessuno ha utilizzato il PCII. Studiato per evitare che particolari fondamentali comprensivi di segreti industriali arrivassero ai media, il PCII sembra aver fallito il suo compito. "Dopotutto - ha spiegato Harris Miller, segretario dell'Associazione americana degli industriali IT - non si chiede alle aziende di condividere il loro materiale promozionale, gli si chiede di parlare dei loro segreti più importanti e oscuri, per così dire".
TAG: cybercops
23 Commenti alla Notizia USA, NSA cuore della sicurezza IT
Ordina
  • "Nell'ottica di questo progetto, dunque, NSA dovrà fornire gli standard tecnici e i software ai quali le diverse agenzie governative dovranno uniformarsi."

    C'è un bel documento su come impostare i settaggi di Mac OS X Panther per gli utilizzi interni all'NSA.
    Alcune impostazioni possono essere utili anche ad altri enti o società.
    non+autenticato

  • > C'è un bel documento su come
    > impostare i settaggi di Mac OS X Panther per
    > gli utilizzi interni all'NSA.
    > Alcune impostazioni possono essere utili
    > anche ad altri enti o società.

    Assolutamente si.
    Considera' pero' che, come avveniva per NT, non sono sempre le versioni retail di cui si parla.
    non+autenticato
  • > C'è un bel documento su come
    > impostare i settaggi di Mac OS X Panther per
    > gli utilizzi interni all'NSA.
    > Alcune impostazioni possono essere utili
    > anche ad altri enti o società.

    Puoi darci qualche riferimento per recuperarlo?
    non+autenticato

  • - Scritto da: Anonimo
    > > C'è un bel documento su come
    > > impostare i settaggi di Mac OS X
    > Panther per
    > > gli utilizzi interni all'NSA.
    > > Alcune impostazioni possono essere utili
    > > anche ad altri enti o società.
    >
    > Puoi darci qualche riferimento per
    > recuperarlo?

    il link diretto per il download
    http://www.nsa.gov/snac/os/applemac/osx_client_fin...
    non+autenticato
  • "Nemico pubblico" con Willy Smith e Gene Hackman se potete, è illuminante e non banale.
  • l' ho visto!!

    comunque non è recentissimo.. rispetto a quel che hanno (e fanno) adesso ci sono anni-luce
    non+autenticato

  • - Scritto da: HotEngine
    > "Nemico pubblico" con Willy Smith e Gene
    > Hackman se potete, è illuminante e
    > non banale.

    Uno dei mie film preferiti... Il problema è: il film è troppo avanti o troppo indietro rispetto a quello che la NSA è in grado di fare??

    Fabio D.
    non+autenticato

  • - Scritto da: HotEngine
    > "Nemico pubblico" con Willy Smith e Gene
    > Hackman se potete, è illuminante e
    > non banale.

    oppure leggetevi "digital fortress" di Dan Brown. Purtroppo è solo in inglese
    non+autenticato

  • - Scritto da: Anonimo
    > oppure leggetevi "digital fortress" di Dan
    > Brown. Purtroppo è solo in inglese

    dan brown non sa scrivere,in compenso i sui libri
    sono pieni di tecniche utilizzate dalla polizia e servizi
    segreti in generale....
    mi viene da pensare che il suo lavoro di scrittore sia
    una sorta di copertura....
    non+autenticato

  • L'algoritmo di hashing crittografico piu' usato al
    mondo (praticamente ogni documento segreto
    mandato via mail viene firmato digitalmente
    con esso), l'SHA-1, e' stato appena crackato da
    un giapponese, che ne ha scoperto una debolezza.

    Inutile dire che, come e' sempre successo in
    precedenza, la NSA lo sapeva fin dall'inizio.
    Anzi, come si e' gia' dimostrato probabile,
    tale algoritmo e' stato progettato fin dall'inizio
    con questa debolezza, per poter permettere
    alla NSA di crackarlo come e quando voleva...

    http://it.slashdot.org/article.pl?sid=05/02/16/014...
    non+autenticato
  • Varamente si parla di collisioni, cioè possibilità che lo stesso hash esca per input diversi.
    Ci si attendeva la possibilità di collisioni ogni 2^80 bit, è stato trovato un metodo per dimostrare che in realtà si possono attendere ogni 2^69 bit.
    Questo viene ad intaccare, pesantemente, l'utilità di sha-1 come hash collision-free, nel senso che le sollisioni, inevitabili (altrimenti servirebbe un hash di 2^n bit dove n è la lunghezza del messaggio per una sicurezza matematica di assenza di collisioni) sono previste in misura 2^21 (azz!) superiore.
    Nell'articolo di Schneier linkato si dice chiaramente che per quanto è dato sapere la ricerca riguardava solo il modello delle collisioni dell'sha, non la possibilità ben più grave di falsificarlo, quindi che sha ne esce sostanzialmente ridimensionato come appllicabilità nei contesti in cui servano determinate garanzie di relativa assenza di collisioni.
    SHA tra l'altro è disponibile pubblicamente da lungo tempo, casomai questa non è la dimostrazione di come un prodotto closed (che non è) si riveli buggato intenzionalmente come suggerisci, ma piuttosto è importante notare come un algoritmo visibile per anni da tutta la comunità, studiato dai migliori ed implementato in migliaia di prodotti open e closed possa risultare inaspettatamente ed inavvertitamente fallato!
    Questo non toglie che non sappiamo se NSA lo sapesse e tacesse fin dall'inizio o da quando... a pensar male, come dice Giulio...
    non+autenticato
  • E' noto che una legge americana proibisce l'uso di tecniche di crittografia che non siano aggirabili o "sfondabili" dal governo.

    Avete presente il famoso intervento "indebolente" fatto da NSA al glorioso DES?
    Avete letto dei presunti buchi esistenti nelle versioni di PGP successive all'arresto di Zimmermann?

    Persino Debian e' distribuito in due versioni (USA e non-USA) perche' contiene sistemi di cifratura non legali negli stati uniti.

    E' ovvio che gli interventi di NSA sono minimi, si cerca di indebolire un algoritmo quanto basta a renderlo attaccabile con i loro supercomputer e di certo non si sognerebbero mai di fare qualcosa di piu' appariscente.

    Anche in DES l'intervento era minimo ed era stato "sviato" dall'introduzione delle s-box. Quando e' stato possibile dimostrare che con 2 o 300 dollari si poteva costruire un sistema modulare per il brute forcing del DES, NSA ha ammesso di avere da tempo un computer molto potente dedicato proprio a quello, che in un'ora faceva quello che fuori ha richiesto mesi.

    Il problema sta nel fatto che Bush e' stato appoggiato e manovrato da NSA fin dall'inizio (ed eravano parecchi a dirlo).
    Dopo l'11 settembre ha dato addosso alla CIA e ha spostato gradualmente tutti i poteri inm mano all'NSA.

    Ora si tratta di mantenere questo potere e di certo NSA avra' un bel vantaggio in questo senso se le daranno da gestire le comunicazioni governative.

    Si e' parlato anche di un colpo di stato, o meglio, di un mini scontro tra NSA e CIA con i rispettivi soldati.
    Sono solo voci di corridoio e ovviamente vanno prese per tali, ma diciamo che in quest'ottica, analizzando il comportamento dell'amministrazione Bush in questo settore, non si stenta a credere anche a questo.

    CoD
    non+autenticato
  • Sul retroscena politico non credo che ne sapremo mai abbastanza, più che seguire la filosofia di Giulio del "chi pensa male..." non possiamo fare.
    Il fatto in questione però va valutato nella sua interezza:
    a) l'sha è stato ridimensionato come resistenza alle collisioni, non come falsificabilità
    b) l'sha è da lungo tempo visibile a tutti, è stato analizzato da tantissimi ricercatori e sviluppatori indipendenti, anche grandissimi nomi, quello che è successo va semplicemente a confermare in modo eclatante quello che i ricercatori di ogni disciplina da sempre sanno: non basta che qualcosa sia visibile perchè venga visto.
    Questo sfata i miti della visibilità e disponibilità pubblica come garanzia di sicurezza.
    Attenzione, non sto inneggiando al closed, sto dicendo che la visibilità e verificabilità pubblica in crittografia è considerata un PREREQUISITO della sicurezza, mai un GARANZIA di per se.
    Ripeto, se poi dietro ci sia una macchinazione dell'NSA è tutt'altro discorso, non si può negare che quest'ente dia lavoro a moltissimi matematici ed altri cervelli fini in grado di fare questo ed altro!
    non+autenticato

  • - Scritto da: Anonimo
    > E' noto che una legge americana proibisce
    > l'uso di tecniche di crittografia che non
    > siano aggirabili o "sfondabili" dal governo.

    Per quello che ne so, ne era proibita l'esportazione, fino al 2000. I 128 bit sono sempre stati utilizzabili in USA. Poi si sono resi conto che questo danneggiava le loro industrie rispetto a quelle di altri paesi e hanno "rilassato" le restrizioni all'esportazione, tranne ai soliti cattivi (Iran, Iraq, Corea del Nord, Libia ecc.). Adesso non so se dopo l'11/9 ci sia stato un nuovo giro di vite...

    >
    > Avete presente il famoso intervento
    > "indebolente" fatto da NSA al glorioso DES?
    > Avete letto dei presunti buchi esistenti
    > nelle versioni di PGP successive all'arresto
    > di Zimmermann?

    Per quello che ne so, Zimmermann non è mai stato arrestato, ma solo incriminato e poi assolto... e i presunti buchi di PGP non sono mai stati trovati...

    >
    > Persino Debian e' distribuito in due
    > versioni (USA e non-USA) perche' contiene
    > sistemi di cifratura non legali negli stati
    > uniti.

    Direi il contrario...

    >
    > E' ovvio che gli interventi di NSA sono
    > minimi, si cerca di indebolire un algoritmo
    > quanto basta a renderlo attaccabile con i
    > loro supercomputer e di certo non si
    > sognerebbero mai di fare qualcosa di piu'
    > appariscente.
    >
    > Anche in DES l'intervento era minimo ed era
    > stato "sviato" dall'introduzione delle
    > s-box.

    Mah... le S-box non contengono vulnerabilità, anzi. Si è saputo da pochi anni che NSA aveva progettato le S-box per resistere alla crittanalisi differenziale. Piccolo particolare: la crittanalisi differenziale è stata scoperta dalla comunità scientifica 10 anni dopo.... NSA già la conosceva!! Il loro intervento si è limitato a ridurre i bit della chiave. Il DES è stato studiato al massimo e non contiene debolezze, semplicemente 56 bit sono troppo pochi. NSA ha negato per anni di riuscire a craccare il DES a forza bruta, finché EFF ha costruito una macchina da 200mila dollari in grado di farlo in 2 o 3 giorni. Per cui è certo che NSA poteva già farlo da anni.

    Quando e' stato possibile dimostrare
    > che con 2 o 300 dollari

    200 o 300mila....

    si poteva costruire
    > un sistema modulare per il brute forcing
    > del DES, NSA ha ammesso di avere da tempo un
    > computer molto potente dedicato proprio a
    > quello, che in un'ora faceva quello che
    > fuori ha richiesto mesi.
    >
    > Ora si tratta di mantenere questo potere e
    > di certo NSA avra' un bel vantaggio in
    > questo senso se le daranno da gestire le
    > comunicazioni governative.

    Probabilmente già le monitorava.... monitorano tutto...


    Fabio D.
    non+autenticato
  • Che bello discutere un po'Sorride

    Ti rispondo:


    - Scritto da: Fabio D.:

    > Per quello che ne so, ne era proibita
    > l'esportazione, fino al 2000. I 128 bit sono
    > sempre stati utilizzabili in USA. Poi si
    > sono resi conto che questo danneggiava le
    > loro industrie rispetto a quelle di altri
    > paesi e hanno "rilassato" le restrizioni
    > all'esportazione, tranne ai soliti cattivi
    > (Iran, Iraq, Corea del Nord, Libia ecc.).
    > Adesso non so se dopo l'11/9 ci sia stato un
    > nuovo giro di vite...

    Credo tu ti riferisca all'ITAR "International Traffic in Arms Regulation".
    Io mi riferivo a leggi americane... purtroppo non riesco a trovare dove le avevo lette.

    > i presunti
    > buchi di PGP non sono mai stati trovati...

    Hai ragione.
    Infatti parlavo di presunti buchi.
    Avrei dovuto specificare meglio che mi riferivo agli esperimenti di Senderek: http://senderek.de/security/key-experiments.html
    Zimmermann ha negato tutto, ovviamente... pero' applicando il "teorema di giulio"...A bocca storta

    > > Persino Debian e' distribuito in due
    > > versioni (USA e non-USA) perche'
    > contiene
    > > sistemi di cifratura non legali negli
    > stati
    > > uniti.
    >
    > Direi il contrario...

    Lo dicevo anch'io ma mi hanno assicurato di no. Non dico che la fonte sia affidabile al 100%.. ovviamente riporto solo cio' che so.

    > Mah... le S-box non contengono
    > vulnerabilità, anzi. Si è
    > saputo da pochi anni che NSA aveva
    > progettato le S-box per resistere alla
    > crittanalisi differenziale.

    Verissimo.
    Infatti parlavo dello "sviare" l'attenzione, non intendevo dire che le s-box contenessero vulnerabilita', ma parlavo di come l'attenzione della comunita' fosse stata concentrata su questo elemento e i pochi che continuavano a dire "56 bit sono pochi" venivano zittiti con "ma ci sono le s-box a proteggerci" (ok ho semplificato molto, perdonami)

    > Il loro
    > intervento si è limitato a ridurre i
    > bit della chiave. Il DES è stato
    > studiato al massimo e non contiene
    > debolezze, semplicemente 56 bit sono troppo
    > pochi.

    Nel proporre DES a NSA, IBM aveva pensato a 128 bit che NSA ha prontamente ridotto.
    E' proprio questo che intendevo quando dicevo:
    "E' ovvio che gli interventi di NSA sono minimi, si cerca di indebolire un algoritmo quanto basta "

    > Quando e' stato possibile dimostrare
    > > che con 2 o 300 dollari
    >
    > 200 o 300mila....

    OOOOPPS. Si' si' scusate.... mi e' sfuggito milaA bocca aperta
    Beh 300 dollari per un DES Cracker... magari: ce lo avrei sul comodino come portafortunaA bocca aperta


    > > di certo NSA avra' un bel vantaggio in
    > > questo senso se le daranno da gestire le
    > > comunicazioni governative.
    >
    > Probabilmente già le monitorava....
    > monitorano tutto...

    Ecco, su questo mi piacerebbe discutere.

    Anch'io ho pensato "ma a che serve? dopotutto hanno gia' tutte le spie che vogliono".

    Date per scontato che sono paranoico... lo sono.
    Eppure c'e' qualcosa che non mi torna: mi sembra tanto un colpo di mano molto ben congeniato ma non riesco a spiegarmene la necessita'.

    Idee? Commenti?

    CoD
    non+autenticato
  • Mi torna in mente una citazione a caso:
    "Chi controlla il passato, controlla il futuro; chi controlla il presente, controllo il passato"

    Che c'entra? Beh, se alla NSA mettono una backdoor e d'altro canto spacciano i dati per sicuri contro contraffazioni, i dati possono cambiare convenientemente senza che nessuno lo dubiti, stile "The Net".

    L'unico dubbio, ovvio, che rimane dopo é, e chi controlla la NSA?
    Non certo io.
  • Prima di credere in tutta questa potenza dell'NSA considerate che per le brigate rosse, nonostante l'aiuto chiesto al'FBI, PGP è stato aperto nel momento in cui hanno svelato le passphrase. Solo il palmarino che aveva una password corta è stato cracckato, con una certa difficoltà.

    Se l'NSA vuole aprire un archivio, usa sicuramente metodi più subdoli di un brute-force.

    Un famoso mafioso che usava PGP è stato tradito da un semplice keylogger installato nella sua tastiera.
    Qualcuno ha detto PGP è stato forzato, niente affatto. Si è attaccato l'anelllo più debole, con successo.
    non+autenticato
  • Giapponese l'universitá di Shandong, in Cina?Sorpresa

    Per quanto rotto possa essere il sistema, questo potrebbe comunque essere conveniente.
    Ad esempio, se é solo un metodo per, partendo da un messaggio dato, ottenere un altro messaggio con la stessa hash (collisione), non ti serve a nulla per recuperare le password.
    Per recuperare le password (o comunque UNA delle password che accedono all'account) ti serve un metodo per passare dalla hash ad un valore che la produca.
    Manco a dirsi, la seconda é piú forte della primaImbarazzato

    La convenienza é definita in base al rapporto costo/convenienza.
    Se usi uno SHA-256, puó essere bucabile in, che so, 2^100, che possono comunque essere sufficienti per i tuoi scopi!
  • Queste cose fanno venire i brividi.
    Ma dov'e' la democrazia in america? Sono tiranneggiati dalla stupidita'? A volte sembra di sentir parlare un dittatore. Possibile che l'america sia minacciata da un'intero pianeta? Ci sara' una ragione?
    Sara' vero o saranno loro che si stanno preparando a fare qualcosa di piu' che difendersi dal mondo(...)?
    Una volta non bisognava pensare se eri paranoico, ma se lo eri abbastanza...
    non+autenticato
  • Per le cose che hai detto sarai per sempre bollato come comunista.
    non+autenticato
  • Sai che bello se dovessero davvero classificare gli interventi sui sistemi informatici pubblici. Chi cavolo saprebbe piu' davvero cosa passa nei cavi della burcrazia. E il voto elettronico? si occuperanno anche di quello?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)