Alfonso Maruccia

Lavabit, tra insicurezza e crowdfunding

Il servizio di email cifrate caduto vittima del Datagate č ancora al centro della scena, tra chi solleva pių di un dubbio sulla presunta sicurezza del servizio e una campagna di finanziamento pubblico per creare un servizio davvero inattaccabile

Roma - Ladar Levison ha sempre rassicurato gli utenti sul livello di sicurezza offerto da Lavabit, al punto di scegliere di chiudere il servizio di mail protetta piuttosto che consegnare le "chiavi" (figurate e sostanziali) della privacy degli utenti all'intelligence statunitense al centro dello scandalo Datagate. Ma ora c'è chi quella sicurezza la mette in discussione e accusa: Lavabit è sempre stato molto meno sicuro di quanto sostenuto dal suo fondatore.

A sollevare la polemica è Moxie Marlinspike, esperto di sicurezza e crittografia - nonché ospite fisso della conferenza Black Hat - che ha pubblicato un post tutto incentrato su Lavabit: Levison merita il supporto di tutti nel suo tentativo di contrastare gli abusi di NSA e agenzie sodali in tribunale, sostiene Marlinspike, ma non per questo Lavabit è esente da rilievi critici di un peso certamente non trascurabile.

Il nocciolo della questione esposta dall'hacker è che, diversamente da quanto dichiarato, Lavabit non è mai stato un servizio di posta elettronica particolarmente sicuro: i dati più importanti per la gestione delle email - testo cifrato, chiave privata e password - sono sempre stati archiviati sui server dalla società, quindi alla mercé di eventuali tentativi di abuso da parte di malintenzionati, impiegati con secondi fini e agenti segreti USA.
Marlinspike chiude il suo post con la constatazione di un fatto noto da tempo, e cioè che al momento non esiste alcun modo di avere comunicazioni cifrate end-to-end con i protocolli in uso: l'hacker consiglia un paio di progetti (Mailpile e Leap Encrypted Access Project) per chi necessita di privacy e comunicazioni protette, in alternativa al rilascio e al supporto del codice open source di Lavabit già annunciato da Levison.

Dark Mail Alliance - fondata da Levison assieme al team di Silent Circle - ha in realtà obiettivi ben più ambiziosi, incluso lo sviluppo di nuovi protocolli per comunicazioni elettroniche realmente sicure, e per facilitare il raggiungimento di tali obiettivi (oltre al rilascio del codice di Lavabit sotto licenza FOSS) è stata avviata una campagna di crowdfunding sulla piattaforma Kickstarter.

Il target indicato da Levison è di circa 196mila dollari, mentre il termine per la campagna è fissato per il prossimo 27 novembre. Non ha invece ancora scadenza il processo di revisione appena avviato dal National Institute of Standards and Technology (NIST) statunitense, ennesima vittima - o forse complice - dello scandalo Datagate, che ora intende fugare ogni dubbio sull'effettiva sicurezza e affidabilità degli standard crittografici approvati per l'uso pubblico.

Alfonso Maruccia
Notizie collegate
  • AttualitàDatagate, la guerra degli standardIl governo statunitense risponde alle accuse di sabotaggio degli standard di sicurezza, mentre nuovi documenti confermano: gli standard crackati ci sono eccome, cosė come le prove dell'abuso di potere da parte della NSA
  • AttualitàNSA e la faccia nascosta del tecnocontrolloLe operazioni di PRISM sono condotte alla luce del Sole, la sorveglianza di MUSCULAR č sotterranea. NSA e GCHQ intercettano il traffico scambiato nelle reti private dei giganti del Web
6 Commenti alla Notizia Lavabit, tra insicurezza e crowdfunding
Ordina
  • Leggendo l'articolo originale si deduce infatti che a differenza di quanto riportato su P.I.

    Non si parla di "mail in generale" ne (addirittura) di "comunicazioni cifrate end-to-end" in modo generico (che sarebbe ovviamente una panzana grossa come una casa) ma solo e (sottolineo solo) di "WEBMAIL" (cioè qualcosa che in pratica non ha niente a che vedere per definizione col protocollo di e-mail ma solo con la interfaccia web.

    Un minimo di accuratezza in più su quello che si scrive e si traduce farebbe bene sopratutto a quegli utenti che non ne sanno molto di mail e protocolli end-to-end come GPG e S/MIME non solo esistenti da molti anni ma a disposizione praticamente di tutti.

    Sarei curioso di sapere a chi giova e perchè dare l'impressione sbagliata.
    non+autenticato
  • "e cioè che al momento non esiste alcun modo di avere comunicazioni cifrate end-to-end con i protocolli in uso"
    Cooosaaaa!
    Ma questo da dove è uscito?
    Ma secondo lui PGP/GPG e S-MIME che cosa sarebbero? protocolli mediati client server oppure end-to-end?
    E si definiscono pure HACKER?
    Ma per favore!
    non+autenticato
  • - Scritto da: tucumcari
    > "e cioè che al momento non esiste alcun modo di
    > avere comunicazioni cifrate end-to-end con i
    > protocolli in
    > uso"
    > Cooosaaaa!
    > Ma questo da dove è uscito?
    > Ma secondo lui PGP/GPG e S-MIME che cosa
    > sarebbero? protocolli mediati client server
    > oppure
    > end-to-end?
    > E si definiscono pure HACKER?
    > Ma per favore!
    Ci sono impostori anche fra gli hacker, non solo fra gli utenti di PI. Soggetti che dicono di essere una cosa ma sono un'altra.
    non+autenticato
  • - Scritto da: tucumcari
    > "e cioè che al momento non esiste alcun modo di
    > avere comunicazioni cifrate end-to-end con i
    > protocolli in
    > uso"
    > Cooosaaaa!
    > Ma questo da dove è uscito?
    ok che dopo sei andato a leggere l'art originale... pero' dovresti conoscere il nome "moxie"... e' l'omino di sslstrip, sslsniff. E' quello di redphone su android ecc. Non e' un cazzaro.
    non+autenticato
  • Vero, ma il trucco sta in quel "con i protocolli in uso"

    Moxie è stato molto bravo nel trovare il modo per raggiungere i sistemi crittografici asimmetrici. Ovviamente il suo lavoro dimostra che non è possibile scambiarsi le chiavi crittografiche in assoluta sicurezza.

    Tuttavia è possibile non usare internet per scambiarsele, rendendo la crittografia end-to-end sicura ed utilizzabile in pratica. Chiaramente Mario Rossi e Giuseppe Verdi non possono mandarsi le chiavi per posta o piccione, ma i terroristi possono eccome.

    Chiaramente, quest'ultimo scenario, dimostra che lo scopo di NSA e soci non è fermare i terroristi ma controllare i peones. Se poi davvero credono di poter intercettare i terroristi, con metodi così banali, allora sono assolutamente ingenui.
    non+autenticato
  • - Scritto da: collione
    > Vero, ma il trucco sta in quel "con i protocolli
    > in
    > uso"
    >
    > Moxie è stato molto bravo nel trovare il modo per
    > raggiungere i sistemi crittografici asimmetrici.
    > Ovviamente il suo lavoro dimostra che non è
    > possibile scambiarsi le chiavi crittografiche in
    > assoluta
    > sicurezza.
    non giudicavo i lavori che sta facendo ... perche sono bestie complesse che non ho guardato ...


    > Chiaramente, quest'ultimo scenario, dimostra che
    > lo scopo di NSA e soci non è fermare i terroristi
    > ma controllare i peones. Se poi davvero credono
    > di poter intercettare i terroristi, con metodi
    > così banali, allora sono assolutamente
    > ingenui.
    terroristi?Occhiolino mh in occam's razor style io penso volessero fare semplicemente quello che avevano detto (beh un pezzo NON l'hanno dettoCon la lingua fuori )... pipparsi le mail di snowden (quello che non hanno detto e' che ,probabilmente, via PRISM&co avevano gia mail vecchie in archivio, ed erano quelle che volevano leggere. oltre quelle eventualmente in transito. Cosa che ora hanno potuto fare... se cio che sappiamo e' vero)
    non+autenticato