Marco Calamari

Lampi di Cassandra/ Fango contro Tails

di M. Calamari - Una PSYOPS contro Tails. Ovvero come si può lavorare contro l'anonimato, ribaltando i termini delle Public Disclosure

Lampi di Cassandra/ Fango contro TailsRoma - Sulla quotata rivista di business Forbes è apparso un articolo molto ben scritto, che sostiene l'esistenza di vulnerabilità zero-day in Tails, e ne scoraggia, anzi ne sconsiglia in pratica l'uso.

Probabilmente esistono; i bug esistono in tutti i software, e non si vede perché software come Tor, I2P o distribuzioni GNU/Linux come Tails dovrebbero esserne esenti. Pare appunto, come sostengono varie fonti che trovate in questo post, che sia I2P il componente di Tails (oltretutto poco usato) che è bacato. Ma le conclusioni che si devono trarre da questa notizia sono totalmente contrarie a quelle istintive.

Usate Tails se non la usate, continuate ad usarla se la state usando, perché malgrado tutto attualmente non c'è niente di meglio per gli utenti normali della Rete. L'intera operazione magari non sarà una PSYOPS contro Tails, ma è indistinguibile da una PSYOPS: ecco perché.
Normalmente cosa succede quando qualcuno onesto individua una vulnerabilità in un software molto diffuso? Succede che viene fatta una "responsible disclosure". Chi ha trovato il bug avverte non pubblicamente gli sviluppatori per dar loro il tempo di correggerlo. Se gli sviluppatori dopo un tempo ragionevole non lo fanno, rende pubblico il bug in modo da massimizzare le probabilità che venga corretto.

Qui succede esattamente il contrario.

Qualcuno che lavora per un cliente particolare trova un bug, ed invece di avvertire gli sviluppatori perché lo correggano, comunica pubblicamente l'esistenza del bug, e non il bug stesso. Il pubblico viene scoraggiato ad usare il software e gli sviluppatori non sono in grado di correggerlo. Nel frattempo, chi ha individuato il bug può utilizzarlo a piacere, e può farlo utilizzare da un ipotetico cliente che ipoteticamente gli avesse commissionato la ricerca.

L'articlo di Forbes afferma appunto che Exodus Intelligence, che ha trovato il bug e ne ha comunicato l'esistenza al mondo, non lo ha reso pubblico perché il suo cliente lo possa sfruttare.

C'è altro da aggiungere? No.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero
35 Commenti alla Notizia Lampi di Cassandra/ Fango contro Tails
Ordina
  • Come ho già scritto nella discussione sulla taglia messa in Russia contro Tor, stiamo assistendo ad una PSYOP non solo contro Tails (e quindi Tor), ma in generale contro quasi tutti i pilastri della privacy e dell'anonimato, tutto negli stessi mesi: Tor, TrueCrypt, LiveCD/LiveUSB, piccoli supporti rimovibili (schede SD e chiavette USB, adesso ci dicono che "sono fiutabili dai cani"!).
    Tutto per scoraggiare la gente ad usarli "perchè tanto non proteggono realmente".
    Mi aspetto che fra poco si sparga ancora più FUD (di quanto non sia già stato fatto) sulla virtualizzazione e poi tutti gli elementi tecnologici che proteggono il cittadino dal Grande Fratello saranno sotto attacco.

    E, come ho già scritto, attendo poi l'ultimo attacco, quello finale: il cercare di VIETARE PER LEGGE Tor e la crittografia forte.
    Il tutto, ovviamente, con la solita scusa dei "pedoterrosatanisti" (e pure dei "diffamatori" e "insultatori", che tanto angosciano la Boldrini e non solo).
    Aspettiamocelo, anche e forse soprattutto in Italia dove già si comincia a parlare di "normare Internet".
    non+autenticato
  • Ti ho già quotato nell'altro post, e qui aggiungo che le più grandi pervesioni si trovano proprio dovve c'è potere e ci sono soldi.
    La tentazione è troppo forte, e il delirio di onnipotenza di cui soffre quella gente li esalta nel fare quello che proibiscono al popolo, facendoli sentire ancora più potenti.
    E inoltre la ricerca di potere è già una perversione di per sè, quando raggiunge i livelli che vediamo nei dirigenti di alto livello e nei politici in generale.
    E se pensiamo che il popolo invidia questi personaggi, capiamo perché accadono le cose che accadono...
    non+autenticato
  • Pare che i dev di tails abbiano preso sul serio la faccenda: https://tails.boum.org/security/Security_hole_in_I...
    non+autenticato
  • - Scritto da: 0x0f
    > Pare che i dev di tails abbiano preso sul serio
    > la faccenda:
    > https://tails.boum.org/security/Security_hole_in_I

    ... ed e' I2P il colpevole ...

    ... mi sono sempre chiesto perche' I2P in Tails
    sia giudicato meritevole, ed invece Truecrypt
    una spece di nemesi accettata malvolentieri.

    E' un colabrodo, poco usato e poco testato.

    Forse l'autore e' un main contributor nostalgico?

    Ma ognuno ha ovviamente diritto alle sue opinioni
    ed alle libere scelte tecniche del lavoro che regala
    alla comunita'.....
    non+autenticato
  • Uhm... dicono anche di disabilitare quella chiavica di javascript con noscript. Ma non dovrebbe essere disabilitato di default?
    non+autenticato
  • - Scritto da: infornare x resistere
    > Uhm... dicono anche di disabilitare quella
    > chiavica di javascript con noscript. Ma non
    > dovrebbe essere disabilitato di
    > default?

    Infatti, dovrebbe esserlo (ma non lo è).
    E il fatto che non lo sia suscita pensieri cupi sul buon senso degli sviluppatori di Tor.
    non+autenticato
  • Quindi il problema è sempre l'onnipresente javascript? Magari I2P avrà ancora falle gravi (è poco utilizzato e scritto in Java, ma so che stanno scrivendo un port in C++), ma questo bug sembra essere in parte anche colpa di js... oppure ho capito male io?
    non+autenticato
  • - Scritto da: thinshadow
    > - Scritto da: infornare x resistere
    > > Uhm... dicono anche di disabilitare quella
    > > chiavica di javascript con noscript. Ma non
    > > dovrebbe essere disabilitato di default?
    >
    > Infatti, dovrebbe esserlo (ma non lo è).
    > E il fatto che non lo sia suscita pensieri cupi
    > sul buon senso degli sviluppatori di Tor.

    No, suscita solo certezze sulla tua argomentazione
    non corretta.

    Tor lavora a livello network; il browser non lo
    vede nemmeno perche' e' ad un livello ISO/OSI piu' basso,
    come potrebbe inibire Javascript?

    Torbrowser invece, che e' un'altra cosa, ha una attenta
    gestione di questi problemi, anche facilmente configurabile
    per i gusti personali diversi dai default scelti.
    non+autenticato
  • Una XSS a livello della console del router già parzialmente risolta, dice il dev.
    Raccomanda di disabilitare javascript(come già detto nei post precedenti) per eliminare temporaneamente i rischi dovuti al bug.
    non+autenticato
  • - Scritto da: Nome e cognome
    > - Scritto da: thinshadow
    > > - Scritto da: infornare x resistere
    > > > Uhm... dicono anche di disabilitare
    > quella
    > > > chiavica di javascript con noscript. Ma
    > non
    > > > dovrebbe essere disabilitato di default?
    > >
    > > Infatti, dovrebbe esserlo (ma non lo è).
    > > E il fatto che non lo sia suscita pensieri
    > cupi
    > > sul buon senso degli sviluppatori di Tor.
    >
    > No, suscita solo certezze sulla tua argomentazione
    > non corretta.
    >
    > Tor lavora a livello network; il browser non lo
    > vede nemmeno perche' e' ad un livello ISO/OSI
    > piu'
    > basso,
    > come potrebbe inibire Javascript?
    >
    > Torbrowser invece, che e' un'altra cosa, ha una
    > attenta
    > gestione di questi problemi, anche facilmente
    > configurabile
    > per i gusti personali diversi dai default scelti.


    No, la questione è molto semplice: gli sviluppatori di Tor continuano, pur dopo i noti fatti (exploit su JS che ha portato ad alcune deanonimizzazioni di utenti Tor, in certe situazioni), a lasciare JS attivato di default sul browser Tor.
    Che per l'utente medio E' Tor! (che c'entra il livello di rete a cui lavora Tor? potrebbero disabilitare JS per default sul Tor Browser)

    Tipico caso di cocciutaggine e dell'incapacità degli sviluppatori Tor di ammettere di avere sbagliato.
    Tutto con la giustificazione che tenere JS attivato combatte la "profilazione" (perchè si suppone, secondo me erroneamente, che la maggior parte degli utenti Tor voglia tenere JS abilitato): per "combattere la profilazione" si apre potenzialmente (e pure concretamente, come si è visto) la strada alla deanonimizzazione!

    Ciò non è un problema per chi Tor lo sa usare bene e, come prima cosa, disabilita del tutto JS (che nelle ultime versioni di Firefox è un pò meno immediato disabilitare), riabilitandolo se e solo quando ritiene che sia accettabile farlo.
    Può essere un problema invece per chi è meno scafato, che normalmente lascerà JS abilitato e se ci fossero ulteriori exploit potrebbe essere oggetto di de-anonimizzazioni.

    E se c'è una cosa di cui oggi c'è bisogno, di fronte allo spionaggio statale DI MASSA, è avere soluzioni di difesa facilmente utilizzabili a livello DI MASSA.
    La difesa DI MASSA è l'unico modo per stoppare certe campagne di spionaggio/repressione, che continueranno fino a quando avranno successo, ovvero fino a quando continueranno a spiare con successo a livello massivo.
    Pensare a livello di "elite" ("io sono figo, mi proteggo, uso Linux/Tails/Tor/TrueCrypt/LUKS ..., che me ne importa a me degli altri ...") sarebbe demenzialmente illusorio.
    non+autenticato
  • - Scritto da: thinshadow
    > - Scritto da: Nome e cognome
    > > - Scritto da: thinshadow

    ... quota un po' meglio, per favore

    > > Torbrowser invece, che e' un'altra cosa, ha una
    > > attenta
    > > gestione di questi problemi, anche facilmente
    > > configurabile
    > > per i gusti personali diversi dai default
    > scelti.
    >
    > No, la questione è molto semplice: gli
    > sviluppatori di Tor continuano, pur dopo i noti
    > fatti (exploit su JS che ha portato ad alcune
    > deanonimizzazioni di utenti Tor, in certe
    > situazioni), a lasciare JS attivato di default
    > sul browser Tor.
    > Che per l'utente medio E' Tor! (che c'entra il
    > livello di rete a cui lavora Tor? potrebbero
    > disabilitare JS per default sul Tor Browser)
    >
    > Tipico caso di cocciutaggine e dell'incapacità
    > degli sviluppatori Tor di ammettere di avere
    > sbagliato.

    Mi sambra che tu ancora non abbia capito; sul merito
    tecnico di avere o no JS abilitato nel browser
    non ho espresso nessuna opinione.

    Ti sto dicendo che non puoi confondere Tor con
    TorBrowser, perche' gli sviluppatori sono diversi,
    ed il problema, se pur di problema si tratta,
    NON E' DI TOR, ma di Torbrowser.

    Ti e' chiaro adesso?

    Non fare disinformazione anche tu, ce
    ne sono gia' tanti a farla ....
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Nome e cognome
    >
    > > Ti sto dicendo che non puoi confondere Tor
    > con
    > > TorBrowser, perche' gli sviluppatori sono
    > > diversi,
    > > ed il problema, se pur di problema si
    > tratta,
    > > NON E' DI TOR, ma di Torbrowser.
    >
    > Allora non hai capito nulla del suo discorso.
    > La configurazione di default dell'unico programma
    > che la massa è in grado di usare è a rischio.
    > Non c'è altro da aggiungere.

    No, non hai capito tu nulla del mio.

    Il suo discorso su js tecnicamente e' chiarissimo,
    anche se io la penso in maniera diametralmente
    opposta.

    Scrivere commettendo errori marchiani, anche se
    collaterali al discorso, confondendo tutti e' sempre
    MALE, anzi no, quando trovi anche "associati" che ti
    difendono e' peggio.
    non+autenticato
  • Da un lato questa scoperta potrebbe essere un colossale fake (leggi PSYOPS) in quanto il millantato bug potrebbe non esistere.

    Dall'altro se veramente fosse stato trovato e non si fosse a conoscenza della sua natura, kudos ai giornalisti che hanno pubblicato la notizia per destare quantomeno l'attenzione.

    C'è da dire che usare un Tails bacato non è meno sicuro di utilizzare un comune Linux, tanto vale continuare a usarlo
  • personalmente uso arch con root in un file squashfs e overlay in ram

    tutto quello che può andare storto non si può propagare alle sessioni future, per cui è abbastanza sicuro
    non+autenticato
  • La stessa arch che ha aggiunto i pacchetti signed solo 2 anni fà?
    non+autenticato
  • - Scritto da: asdf
    > La stessa arch che ha aggiunto i pacchetti signed
    > solo 2 anni
    > fà?

    si, ma io l'ho installa due mesi faA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > personalmente uso arch con root in un file
    > squashfs e overlay in ram

    interessante, non è che puoi dare qualche dettaglio in più?
    grazie ciao
    non+autenticato
  • - Scritto da: king volution

    > interessante, non è che puoi dare qualche
    > dettaglio in
    > più?
    > grazie ciao

    certo, mica è un segreto

    ho un ssd con una partizione ext4 usata per il bootstrap...in questa partizione ci sono i file:

    extlinux.conf --> uso syslinux/extlinux per come bootloader
    initramfs e kernel
    isomounts --> contiene questo "root.sqfs x86_64 / squashfs"...ho usato l'hook archiso del livecd ufficiale, il quale legge isomounts per sapere quale file contiene il volume squash ( root.sqfs in questo caso )
    root.sqfs --> è un volume squashfs contenente la root directory....praticamente c'è dentro tutto quello che compone una normale installazione archlinux


    per creare il volume squash uso il comando

    "mksquashfs / /bootmnt/root.sqfs -ef /etc/mksquashfs.excludes"

    la prima volta lo eseguo a partire da una normale installazione di archlinux, fatta su un disco di comodo, poi non servirà più

    /etc/mksquashfs.excludes contiene alcune directory che è bene non includere nel volume ( /media /mnt /dev /proc /run /sys /tmp /bootmnt )

    /bootmnt è il mount point per la partizione del ssd contenente kernel, initramfs e root.sqfs

    in /lib/initcpio/hooks/ c'è l'hook archiso copiato dal livecd
    in /lib/initcpio/install c'è il relativo file d'installazione per l'hook, che poi contiene questo

    # vim: set ft=sh:

    build ()
    {
        add_module "aufs"
        add_module "ext4"
        add_module "squashfs"
        add_module "loop"
        add_module "fuse"
        add_binary "sh"    
        add_runscript
    }

    help ()
    {
    cat<<HELPEOF
    This hook allows for a squashfs based system.
    HELPEOF
    }

    come vedi serve solo a dire a mkinitcpio quali moduli includere nell'initramfs

    infine ho aggiunto l'hook archiso alla variabile HOOKS nel file /etc/mkinitcpio.conf...ricreando l'initramfs si ottiene un sistema in contenente l'hook archiso necessario per montare il volume squash a boot time

    l'ultimo pezzo è un kernel che supporti aufs ( io uso questo unioning file system, ma si potrebbe usare anche overlayfs )

    i kernel che lo supportano sono il pf e l'aufs_friendly presenti in AUR


    extlinux.conf contiene questo

    prompt 0
    timeout 100
    default archlinux

    label archlinux
        kernel vmlinuz30
        append initrd=initramfs.img archisolabel=linRoot ro splash quiet


    l'unica variabile particolare è archisolabel per dire all'hook archiso dove andare a pescare il file del volume
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: king volution
    >
    > > interessante, non è che puoi dare qualche
    > > dettaglio in
    > > più?
    > > grazie ciao
    >
    > certo, mica è un segreto
    >
    > [...]

    grazie
    ciao
    non+autenticato
  • - Scritto da: djechelon

    ...

    > Dall'altro se veramente fosse stato trovato e non
    > si fosse a conoscenza della sua natura, kudos ai
    > giornalisti che hanno pubblicato la notizia per
    > destare quantomeno l'attenzione.

    L'articolo e' piuttosto chiaro sul fatto che e' in
    atto una diffamazione contro Tails, o piu'
    precisamente un atto di guerra piscologica contro
    chi tiene alla sua privacy.

    Secondo te un giornalista che riferisce una diffamazione
    senza preoccuparsi di verificare se e' vera, senza
    chiedersene il significato e senza sentire l'altra
    campana e riferirne e' meritevole?

    A me sembra piuttosto il contrario.

    > C'è da dire che usare un Tails bacato non è meno
    > sicuro di utilizzare un comune Linux, tanto vale
    > continuare a usarlo

    Ed anche questo lo dice l'articolo ...
    non+autenticato
  • - Scritto da: Nome e cognome
    > - Scritto da: djechelon
    >
    > ...
    >
    > > Dall'altro se veramente fosse stato trovato e
    > non
    > > si fosse a conoscenza della sua natura, kudos ai
    > > giornalisti che hanno pubblicato la notizia per
    > > destare quantomeno l'attenzione.
    >
    > L'articolo e' piuttosto chiaro sul fatto che e' in
    > atto una diffamazione contro Tails, o piu'
    > precisamente un atto di guerra piscologica contro
    > chi tiene alla sua privacy.
    >
    > Secondo te un giornalista che riferisce una
    > diffamazione
    > senza preoccuparsi di verificare se e' vera,
    > senza
    > chiedersene il significato e senza sentire
    > l'altra
    > campana e riferirne e' meritevole?
    >
    Se era itaGliano faceva subito carriera
    non+autenticato
  • bei tempi, quelli nei quali un VUPEN (e affini) sarebbe stato considerato un gruppo eversivo.....
    non+autenticato
  • - Scritto da: bubba
    > bei tempi, quelli nei quali un VUPEN (e affini)
    > sarebbe stato considerato un gruppo
    > eversivo.....

    se è russo è eversivo, se è mmurrican, tettesco o franzè, allora è un gruppo di paladini della giustizia
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: bubba
    > > bei tempi, quelli nei quali un VUPEN (e affini)
    > > sarebbe stato considerato un gruppo
    > > eversivo.....
    >
    > se è russo è eversivo, se è mmurrican, tettesco o
    > franzè, allora è un gruppo di paladini della
    > giustizia
    LOL. Cmq ora come ora non me ne sovviene nessuno russo. Chi c'e' su piazza che fa questo 'giochino'? (beh c'e' il buon kaspersky, ma e' altra roba).
    non+autenticato
  • in Russia queste attività sono strettamente regolamentate

    sicuramente ci sono diversi dell'armata rossa che se ne occupano, ma non credo permetterebbero ad un privato ( senza legami con Cremlino ) di farlo

    purtroppo la cultura americana ci ha abituati ai venditori di "fucili ed acqua di fuoco" senza freni ( vendevano armi agli indiani, i quali le avrebbero ovviamente usate contro la cavalleria )

    beh, in fondo permettono alla Blackwater di fungere da esercito privato e fare il bello e cattivo tempo, per cui non mi meraviglio più di niente
    non+autenticato