Mauro Vecchio

FBI, se la password è un rompicapo

Nemmeno i federali sono riusciti a scardinare un algoritmo di cifratura a protezione di cinque hard disk. Precedentemente sequestrati dalla polizia brasiliana, nel 2008

Roma - Ci aveva inizialmente provato un gruppo di esperti, assoldato dalle forze di polizia brasiliane. Ma lo sforzo si era trasformato molto presto in un nulla di fatto. Alle autorità verdeoro non era rimasta che una telefonata, agli agenti del Federal Bureau of Investigation (FBI). Ma - non senza un certo stupore - nemmeno gli esperti federali sembrano essere riusciti a scardinare i codici a protezione di cinque hard disk, sequestrati a Rio de Janeiro ormai due anni fa. Nel 2008, l'obiettivo dell'Operation Satyagraha era quello di portare all'arresto del banchiere brasiliano Daniel Dantas.

Dantas era infatti il principale indiziato all'interno di una grossa rete criminosa specializzata in frodi finanziarie. Alla fine, le operazioni della polizia di Rio de Janeiro erano andate a buon fine, portando al sequestro di prove apparentemente inconfutabili. Prove tuttavia contenute in cinque hard disk, tutti protetti da un algoritmo di cifratura.

Che ovviamente lo stesso Dantas ha rifiutato di sbrogliare, dal momento che in terra brasiliana non esiste attualmente una legge che lo obblighi a consegnare le password a protezione dei dispositivi. Una vera e propria grana, sia per le autorità locali che per il National Institute of Criminology (INC) statunitense.
E quindi i dispositivi erano passati nelle mani dell'FBI, che aveva iniziato a sfruttare un meccanismo chiamato dictionary, ovvero un sistema computerizzato che testa varie combinazioni di password a partire da dati noti, tra cui quelli forniti dalla stessa polizia. Risultato? Un intera squadra a brancolare nel buio.

Mauro Vecchio
Notizie collegate
154 Commenti alla Notizia FBI, se la password è un rompicapo
Ordina
  • With regard for the text entitled “FBI, se la password è un rompicapo”, published on June 29 2010 by Punto Informatico, Daniel Dantas and
    Opportunity wish to clarify that:
    Opportunity and Daniel Dantas have countless times been victims of
    official spying under the sponsorship of the Brazilian State, to the
    benefit of competitors. The investigations were used as a pretext to
    gather data under a veneer of legality.
    Opportunity was not the only victim of this kind of abuse. In Italy,
    authorities, journalists and even soccer players were spied on by
    agents of Telecom Italia, while in Brazil there has been illegal
    bugging of authorities and judges; - even the President of the
    Supreme Court.
    In the corporate dispute for Brasil Telecom, Daniel Dantas and
    Opportunity defended themselves against Telecom Italia, a partner in
    the Brazil telephone company whose interest lay in usurping the
    rights of Citigroup and of investors in funds managed by Opportunity.
    Later on, as a result of economic interests and political pressures,
    Citigroup changed sides and then began to pursue, illegitimately, the
    rights belonging to Opportunity’s investors.
    A criminal proceeding under way before the Milan courts clearly
    reveals that Telecom Italia executives and agents have confessed that
    officers of the Brazilian Federal Police were paid-off in Brazil to
    spy on Opportunity and illegally obtain information for the Italian
    phone company, at the same time harming Daniel Dantas.
    Opportunity began to suspect that analogous processes were still
    going on and that secret information, including privilege
    attorney-clients discussions were systematically being passed on to
    its adversaries. The illegal participation of ABIN has been proven,
    this with the aim of hurting Opportunity. ABIN is the Brazilian
    Intelligence Agency (equivalent to the United States C.I.A.).
    Over time, systematic and illegal leaks led Opportunity to file a
    complaint with the police, of leaking information from its
    discussions with the Opportunity’s U.S. lawyers to agents of
    Citigroup, also leading it to resort to encryption. Opportunity has
    used three encryption programs, PGP, Truecrypt and one developed
    internally by the company. The encryption system was used as a
    defensive measure.
    Opportunity’s attorney in New York, Philip C. Korologous, sent
    letters to Brazilian and U.S. authorities (Condoleezza Rice, then
    Secretary of State). In these letters, he denounced the breach of
    client-attorney confidentiality, amounting to a gross violation of
    legal principles (Schedule 1).
    Daniel Dantas has offered to open up the encrypted data for the
    Brazilian National Congress, to have a qualified expert’s examination
    performed.
    Opportunity remains available for further clarification.

    Press Relation
    Bruno de Toledo Alves
    Phone: 55 11 3039-1200
  • Il motivo ?
    Semplice.

    La password è la prima cosa che digiti quando accendi il computer.

    Dunque la maggior parte del grasso corporeo e di altri agenti "contaminanti" che si deposita naturalmente sulle dita verrà maggiormente depositato sui primi tasti premuti.

    Da un analisi chimica della tastiera si potrà cosi restringere il campo di ricerca della password ai soli caratteri piu "sporchi".
    non+autenticato
  • - Scritto da: Formalmente Errato
    > Il motivo ?
    > Semplice.

    > La password è la prima cosa che digiti quando
    > accendi il computer.

    > Dunque la maggior parte del grasso corporeo e di
    > altri agenti "contaminanti" che si deposita
    > naturalmente sulle dita verrà maggiormente
    > depositato sui primi tasti premuti.

    > Da un analisi chimica della tastiera si potrà
    > cosi restringere il campo di ricerca della
    > password ai soli caratteri piu "sporchi".

    Dipende molto dall'uso che fai del pc, io ad esempio la tastiera la uso parecchio.
    krane
    22544
  • - Scritto da: krane
    > Dipende molto dall'uso che fai del pc, io ad
    > esempio la tastiera la uso
    > parecchio.

    piu la usi piu cose si possono capire di una persona...
    cosi ad occhio nudo:

    Consumo sopra la media dei tasti WASD = giocatore incallito
    Consumo della barra spazio a DX = utente destro
    Consumo della barra spazio a SX = utente mancino
    Consumo eccessivo dei tasti CTRL, ALT, TAB = utente avanzato/programmatore
    Consumo sopra la media del tastierino numerico = utente che ha a che fare con finanza ed affini.
    non+autenticato
  • - Scritto da: Formalmente Errato
    > - Scritto da: krane
    > > Dipende molto dall'uso che fai del pc, io ad
    > > esempio la tastiera la uso
    > > parecchio.
    >
    > piu la usi piu cose si possono capire di una
    > persona...
    > cosi ad occhio nudo:
    >
    > Consumo sopra la media dei tasti WASD = giocatore
    > incallito
    > Consumo della barra spazio a DX = utente destro
    > Consumo della barra spazio a SX = utente mancino
    > Consumo eccessivo dei tasti CTRL, ALT, TAB =
    > utente
    > avanzato/programmatore
    > Consumo sopra la media del tastierino numerico =
    > utente che ha a che fare con finanza ed
    > affini.

    K usurata = BimbominkiaA bocca aperta

    PS. Quello che dici è vero ma... Io sono principalmente destro (scrivere e mangiare) e do lo spazio con la mano sinistra, principalmente. Son io ad esser strano?
    non+autenticato
  • > > Consumo sopra la media del tastierino numerico =
    > > utente che ha a che fare con finanza ed
    > > affini.
    >
    > K usurata = BimbominkiaA bocca aperta


    ROTFL!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  • EPIC! ti stimo!
    non+autenticato
  • Se fai un ampio uso di ctrl + alt + canc ==> utente windows
    non+autenticato
  • - Scritto da: Formalmente Errato
    > - Scritto da: krane
    > > Dipende molto dall'uso che fai del pc, io ad
    > > esempio la tastiera la uso
    > > parecchio.
    >
    > piu la usi piu cose si possono capire di una
    > persona...
    > cosi ad occhio nudo:
    >
    > Consumo sopra la media dei tasti WASD = giocatore
    > incallito
    > Consumo della barra spazio a DX = utente destro
    > Consumo della barra spazio a SX = utente mancino
    > Consumo eccessivo dei tasti CTRL, ALT, TAB =
    > utente
    > avanzato/programmatore
    > Consumo sopra la media del tastierino numerico =
    > utente che ha a che fare con finanza ed
    > affini.

    Consumo eccessivo di CTRL, ALT e DEL: programmatore VisualBasic.

    Sorride
    non+autenticato
  • e consumo eccessivo di CRTL, ALT e DEL? Sorride
    non+autenticato
  • - Scritto da: Formalmente Errato
    > - Scritto da: krane
    > > Dipende molto dall'uso che fai del pc, io ad
    > > esempio la tastiera la uso
    > > parecchio.
    >
    > piu la usi piu cose si possono capire di una
    > persona...
    > cosi ad occhio nudo:
    >
    > Consumo sopra la media dei tasti WASD = giocatore
    > incallito

    Non conosco un solo gioco per PC che faccia uso di WASD. Tutti i giochi usano i cursori.

    > Consumo della barra spazio a DX = utente destro
    > Consumo della barra spazio a SX = utente mancino

    Io sono destro e la barra la aziono coi pollici, indifferentemente destro o sinistro, e infatti si nota.

    > Consumo eccessivo dei tasti CTRL, ALT, TAB =
    > utente
    > avanzato/programmatore

    se c'e' un tasto che uso pochissimo e' proprio il tasto ALT.

    > Consumo sopra la media del tastierino numerico =
    > utente che ha a che fare con finanza ed
    > affini.

    Boh, qui e' fuori dal mio ambito.
  • contenuto non disponibile
  • Salve

    Potreste consigliarmi un software open per criptare un hd esterno?

    Grazie

    Bella li'
    non+autenticato
  • trueCrypt
    non+autenticato
  • - Scritto da: bellali
    > Thanks

    pgp gnupg
  • quando ti tanano lo metti nel uOnde per 20 secondi appena suonano alla porta, e tu prendi tempo dicendogli "mi vesto e vi apro..." vedi che non trovano nulla...
    ghghghghg

    - Scritto da: bellali
    > Salve
    >
    > Potreste consigliarmi un software open per
    > criptare un hd
    > esterno?
    >
    > Grazie
    >
    > Bella li'
    non+autenticato
  • È per caso una citazione ad un noto film?A bocca aperta
    non+autenticato
  • - Scritto da: Formalmente Errato
    > quando ti tanano lo metti nel uOnde per 20
    > secondi appena suonano alla porta, e tu prendi
    > tempo dicendogli "mi vesto e vi apro..." vedi che
    > non trovano
    > nulla...
    > ghghghghg
    >
    > - Scritto da: bellali
    > > Salve
    > >
    > > Potreste consigliarmi un software open per
    > > criptare un hd
    > > esterno?
    > >
    > > Grazie
    > >
    > > Bella li'

    credimi recuperano anche in quei casi.. meglio è avere dischi sicuri con un sistema meccanico che riesca a distruggere il disco all'interno.. ho brevettato un po di anni fa un sistema che inietta acido sulla superfice del disco distruggentolo completamente.. è il sistema piu sicuro
  • Allo stato attuale, salvo smentite serie (e non prese da newsgroups di amanti delle teorie di complotto) algoritmi come l'AES, il Serpent e simili non risultano decifrabili, se non coi cosiddetti attacchi a forza bruta (tentare tutte le chiavi possibili) che coi più potenti supercomputer al mondo richiedono sì e no un decennio. A meno che la password non sia "topolino" o cose simili.

    Software come TrueCrypt, Freeotfe, Luks, ecc... sono lo spauracchio degli investigatori di mezzo mondo, oggi qualunque ragazzino ha gratuitamente a disposizione software di cifratura non molto diversi da quelli usati in ambienti militari. Non solo, sono pure open source, quindi niente backdoors.
    non+autenticato
  • Hai delle prove che non ci siano backdoors negli algoritmi di cifratura?
    non+autenticato
  • - Scritto da: Paolo Nocco
    > Hai delle prove che non ci siano backdoors negli
    > algoritmi di
    > cifratura?

    Agli algoritmi sono dedicati fior di lavori scientifici, quindi una eventuale vulnerabilità la dovrà scoprire un matematico.
    Al limite sono i programmi che possono avere delle backdoor, e fingere di applicare in modo rigoroso gli algoritmi mentre invece non lo fanno. La distribuzione dei sorgenti dovrebbe proprio scongiurare questa eventualità, perché qualsiasi programmatore che ne è capace li può controllare.

    Saluti
    VITRIOL
  • esatto.. da ricordare infatti il problema irrisolto P=NP che sta alla base di molti algoritmi di cifratura
    non+autenticato
  • Che vuol dire?
  • - Scritto da: ggiannico
    > Che vuol dire?

    è un problema matematico che riguarda la fattorizzazione e i polinomi.. (alcuni miei colleghi mi fustigherebbero per aver semplificato cosi il problema.. ti faccio un esempio.. rsa a 2048 è ritenuto sicuro.. ci sono casi in cui è possibile creare un polinomio che riduce i dati di calcolo di ricerca in maniera abbastanza semplice.. logicamente chiave pubblica e chiave privata devono rientrare in certi requisiti.. il bug è questo.. che in teoria si possono abbassare i tempi di calcolo da secoli ad alcune ore..
  • Uao!!! Mi pare di ritornare all'esame di matematica discreta...
    Ai quanti dolori!!
    Mi ricordo ancora che durante l'esame doveva appunto trovare dei polinomi per cercare di "crackare" il sistema RSA di una carta di credito...
    Ovviamente i numeri primi erano molto ma molto bassi...
  • Grazie per la risposta..
    Interessante..
  • - Scritto da: ggiannico
    > Che vuol dire?

    Da questa domanda si capisce che non ha mai visto Numb3rs.Con la lingua fuori
    non+autenticato
  • >esatto.. da ricordare infatti il problema irrisolto P=NP che sta alla base di molti algoritmi di cifratura
    - Scritto da: ggiannico
    > Che vuol dire?

    I problemi P (polinomiali) sono problemi di cui si conosce un algoritmo che ne determina la soluzione in un tempo che è proporzionale ad un polinomio che ha per variabile la quantità di dati in input (N).

    Esempio: se creo un algoritmo di ordinamento di N dati e questo algoritmo ha complessità N^2, allora se per N dati ci metto un tempo pari a N^2 unità di tempo, per un insieme di 2N dati, con lo stesso algoritmo ci metto 4N^2 unità temporali. Ossia al raddoppiare dei dati mi serve il quadruplo del tempo.
    Se invece sono più bravo e creo un algoritmo di complessità NLogN, per un insieme di 2N dati ci metto 2Nlog2N = 2N(1+logN). Ossia ci metto poco più del doppio del tempo per il doppio dei dati.

    NP invece sono i problemi Non Polinomiali: ossia quei problemi per cui non si conosce un algoritmo di complessità polinomiale.
    Senza entrare troppo nel dettaglio ci sono 2 tipologie di NP: NP completi e NP Hard.
    A noi interessano gli NP completi. Questa classe di problemi sono accomunati dal fatto che se si trovasse una soluzione polinomiale per almeno uno di essi, allora, partendo da questa soluzione, avremmo una soluzione polinomiale per tutti.
    Viceversa, se si dimostra per almeno uno che non può esistere una soluzione polinomiale, allora nessuno ha una soluzion e polinomiale.

    Di qui nasce il problema irrisolto: P=NP?

    Perché è cosi importante la distizione tra soluzioni polinomiali e non?
    Volendo semplificare al massimo, diciamo che un algoritmo polinomiale trova la soluzione in un tempo ragionevole, mentre uno non polinomiale no.
    Esempio: ho un algoritmo con complessità 2^N.
    Se per un insieme di 10 dati ci metto 1 secondo per fare il conto, con un insieme di 20 dati ci metto 2^10 = 1024 secondi. E per 30 dati ci metto più di 1 milione di secondi (122 giorni).

    Come mai nella criptazione il problema P=NP è importante?
    Qui perdonatemi sarò po' impreciso. Quasi tutti gli algoritmi di criptazione si basano sul concetto che il tempo di criptazione è polinomiale, mentre quello di decriptazione senza password è NP.
    In pariticolare, se non ricordo male, per criptare si usano dei numeri primi. In questo caso vale il fatto che creare un numero molto grande a partire da numeri primi grandi è semplice, viceversa dato un numero molto grande, la sua scomposizione in fattori primi è un problema NP.

    Per cui se P=NP, allora saremmo in grado di bucare qualunque comunicazione criptata in un tempo polinomiale.

    Concludo dicendo che i computer quantistici possono eseguire problemi NP in tempi polinomiali... ma che per fortuna esiste la criptazione quantistica...
    non+autenticato
  • Molto esaustivo, grazie...
  • Forse cercano di fare bruteforce su un disco criptato e corrotto? AHAHA
    non+autenticato
  • - Scritto da: Diego
    > Forse cercano di fare bruteforce su un disco
    > criptato e corrotto?
    > AHAHA

    No dai, è un attacco con dizionario, che su 5 HDD crittografati di proprietà di un uomo che è accusato di più frodi finanziarie è incredibilmente più stupido di un bruteforce. Ma pensano veramente che non abbia usato password random? Potrebbe essere così solo se non fosse un criminale (o se fosse un criminale da due soldi, il che mi pare improbabile dato che è impunito. Ovviamente c'è la presunzione d'innocenza, tant'è che parlo in condizionale). Quindi l'FBI dovrebbe rivedere pesantemente il suo reparto forense informatico dopo questa stupidaggine colossale.

    Se ha usato algoritmi buoni e password casuali, sempre ipotizzando che sia un criminale, con le capacità attuali dei computer (considerando che non riguarda tanto gli USA quanto il Brasile e che non è una minaccia alla sicurezza nazionale, quindi non vale la pena di spenderci tanti soldi pubblici) ci mette meno tempo il reato ad andare in prescrizione (sempre che il Brasile abbia la prescrizione, naturalmente) che loro ad accedere ai dati. In ogni caso buona fortuna agli investigatoriOcchiolino
    non+autenticato
  • Io, che non ho nulla da nascondere, ma che temo che mi rubino password e simili di solito uso chiavi di 20 caratteri alfanumerici casuali.

    Con questa configurazione esistono 704.423.425.546.998.022.968.330.264.616.370.176 di combinazioni possibili. Usa il più potente computer del mondo, e per trovarla con il bruteforce ci metti comunque diversi anni XD

    Questo qui è un malvivente, che evidentemente conosce come proteggere i suoi dati... secondo loro non opta per una sicurezza ancora maggiore di quella che io, semplice utente, uso??
    non+autenticato
  • Domanda: come fai poi a ricordartela??
  • - Scritto da: valerivs
    > Domanda: come fai poi a ricordartela??

    la cosa piu semplice sarebbe avere un programmino portable che associa ad ogni tasto digitato un carattere diverso e ricordarti ad esempio una poesia o un brano di un libro.. io faccio cosi.. la frase il sole splende puo diventare l2%aV9cD'g6&m4.. questo programma abbinato ad una passfrase lunga e algoritmi forti con almeno 2048 rende le cose decisamente difficoltose anche a teams specializzati.. logicamente i fattori in gioco possono variare e basta che uno è sfigato nella fattorizzazione e comprometti tutto.. bisogna anche saper scegliere i primi per avere un risultato accettabile.. risultato accettabile significa che hanno una bassa percentuale di tentare lo scardinamento.. deve risultare inferiore al 3%
  • Dove lo posso trovare questo programma?
  • contenuto non disponibile
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)