Alfonso Maruccia

TrueCrypt, i bug passati inosservati

Due vulnerabilitÓ potenzialmente pericolose scovate all'interno del codice di TrueCrypt: il progetto originale, oramai defunto, ha passato il testimone ai successori e gli sviluppatori hanno giÓ corretto i bug

Roma - Il codice di TrueCrypt contiene due bug potenzialmente gravi, dice James Forshaw, membro del Project Zero di Google che ha identificato le vulnerabilità dopo il processo di auditing del software conclusosi con un giudizio sostanzialmente positivo con qualche segnale di attenzione qua e là.

Le due vulnerabilità (critiche) scovate da Forshaw necessitano dell'accesso diretto al PC, e permettono di ottenere privilegi di amministratore sul sistema abusando la gestione delle lettere assegnate alle unità di storage (CVE-2015-7358) o della gestione non corretta degli Impersonation Token (CVE-2015-7359).

I bachi non sono classificabili come backdoor, ha ammesso il ricercatore, ma è altresì chiaro che l'auditing nel codice di TrueCrypt non ha potuto identificarli e deve quindi essere considerato come un processo di verifica imperfetto non privo di rischi sul lungo periodo.


TrueCrypt contiene ancora vulnerabilità pericolose nonostante le rassicurazioni scaturite dall'auditing terminato lo scorso aprile, suggerisce Forshaw, e continuerà a esserlo anche in futuro visto il clamoroso abbandono da parte degli sviluppatori. Fortunatamente per gli utenti con la necessità di criptare i propri dati, però, il fork di TrueCrypt noto come VeraCrypt ha corretto i nuovi bug con la distribuzione della release 1.15.

Alfonso Maruccia
Notizie collegate
  • SicurezzaTrueCrypt, concluso l'auditingRisultati sostanzialmente positivi per la revisione del codice di TrueCrypt, software per la cifratura delle unitÓ di storage la cui scomparsa continua a essere avvolta dal mistero. Per lo meno, le tanto temute backdoor NSA non ci sono
  • SicurezzaTrueCrypt, brace sotto le ceneriIl progetto di verifica del codice del fu software di cifratura non Ŕ stato abbandonato: al via la seconda fase dell'analisi che potrebbe gettare le basi per fork che sappiano metterne a frutto l'ereditÓ
  • SicurezzaCassandra Crossing/ Un tranquillo weekend di TrueCryptdi M. Calamari - La confusione Ŕ calata su TrueCrypt, ma non Ŕ opportuno farsi prendere dal panico. Le alternative esistono, e sono praticabili
109 Commenti alla Notizia TrueCrypt, i bug passati inosservati
Ordina
  • ...Scoppia un casino e vi sbranate!

    Ma che avete mai da nascondere con TrueCript?

    Siete tutti degli 007?

    Rotola dal ridere
    non+autenticato
  • Cito l' articolo:

    "l'auditing nel codice di TrueCrypt non ha potuto identificarli e deve quindi essere considerato come un processo di verifica imperfetto"

    In pratica l' audit ha fatto ca**re. Continua:

    "Le due vulnerabilità (critiche) scovate da Forshaw necessitano dell'accesso diretto al PC, e permettono di ottenere privilegi di amministratore sul sistema abusando la gestione delle lettere assegnate alle unità di storage (CVE-2015-7358) o della gestione non corretta degli Impersonation Token (CVE-2015-7359)."

    Bel lavoro del c***o i signori dell' audit, bravi 'o veramente.
    non+autenticato
  • - Scritto da: tristezza
    > Cito l' articolo:
    >
    > "l'auditing nel codice di TrueCrypt non ha potuto
    > identificarli e deve quindi essere considerato
    > come un processo di verifica
    > imperfetto"
    >
    > In pratica l' audit ha fatto ca**re. Continua:
    >
    > "Le due vulnerabilità (critiche) scovate da
    > Forshaw necessitano dell'accesso diretto al PC, e
    > permettono di ottenere privilegi di
    > amministratore sul sistema abusando la gestione
    > delle lettere assegnate alle unità di storage
    > (CVE-2015-7358) o della gestione non corretta
    > degli Impersonation Token
    > (CVE-2015-7359)."
    >
    > Bel lavoro del c***o i signori dell' audit, bravi
    > 'o
    > veramente.

    Ma hai letto qual'è in realtà la "criticità" delle "nuove vulnerabilità" o non riesci ad andare oltre al sottotitolo?
    non+autenticato
  • E tu riesci a capire che un auditing come quello si è lasciato parecchie vulnerabilità non ancora venute fuori?
    non+autenticato
  • - Scritto da: rosmarino
    > E tu riesci a capire che un auditing come quello
    > si è lasciato parecchie vulnerabilità non ancora
    > venute
    > fuori?

    Intanto dopo l'audit (riuscito) ha passato un altro esame SENZA alcuna vulnerabilità grave trovata (come altri hanno già fatto notare)!
    Per cui, più si va avanti e minore è la probabilità che vi restino bachi gravi.
    Va benissimo così, magari avere tutti gli altri SW altrettanto auditati e testati senza trovare bugs gravi!
    non+autenticato
  • L' importante è che ci sia scritto "True".
    non+autenticato
  • Considerereo' l'audit fallito solo nel momento in cui riusciranno ad estrarre i dati senza bisogno della passphase; il programma con cui ci accedi avendo una passphrase valida e' secondario.
    non+autenticato
  • - Scritto da: vabeh
    > http://www.theregister.co.uk/2013/10/15/truecrypt_

    Alla faccia del necroposting, questo tira fuori un articolo del 2013 (DUEMILATREDICI), ben anteriore all'audit di NCC e che solleva "angosciose" (necro)domande (es.: "hidden backdoors?") alle quali l'audit ha già risposto esaurientemente nel 2014-2015.

    Disinformatori di professione al lavoro, oggi ...
    non+autenticato
  • L' audit di un software morto fatto su un SO morto (XP). Buona fortuna.
    non+autenticato
  • - Scritto da: NSA
    > L' audit di un software morto fatto su un SO
    > morto (XP). Buona
    > fortuna.


    - Scritto da: NSA
    > L' audit di un software morto fatto su un SO
    > morto (XP). Buona
    > fortuna.

    Se l'audit non è riuscito a trovare niente di grave neppure su un colabrodo come XP, mi sento ancora più sicuro quando monto TC sui Windows più recenti!
    E, del resto, il codice esaminato è lo stesso indipendentemente dalla versione di Windows.

    Se TrueCrypt è "morto", ogni altro tool crittografico che c'è in giro merita di essere considerato morto, sepolto e decomposto.
    Lo "zombie" TC resterà in giro ancora a lungo, nonostante i tentativi di segargli le gambe.

    Grazie per gli auguri, anche se non sono io ad averne bisogno.
    non+autenticato
  • Cosa c***o te ne fai della crittografia se hai un SO che invia tutto (cifrato per giunta) al produttore? Ma poi sei ridicolo se pensi che un audit certifichi la totale sicurezza di un software, convinzione puerile è dire poco.
    non+autenticato
  • - Scritto da: truedeath
    > Cosa c***o te ne fai della crittografia se hai un
    > SO che invia tutto (cifrato per giunta) al
    > produttore? Ma poi sei ridicolo se pensi che un
    > audit certifichi la totale sicurezza di un
    > software, convinzione puerile è dire
    > poco.

    Vaneggiamenti o FUD interessato?
    Suppongo la seconda.

    In quanto alla puerilità, se c'è qualcosa di meglio di un audit pubblico indipendente fatto su un open source, dimmi allora cos'è.
    Ti lascio dieci anni per pensarci, ripasso di qui nel 2025, visto che di tempo da perdere con certi ... non he ho.
    non+autenticato
  • - Scritto da: Smasher
    > - Scritto da: truedeath
    > > Cosa c***o te ne fai della crittografia se hai
    > un
    > > SO che invia tutto (cifrato per giunta) al
    > > produttore? Ma poi sei ridicolo se pensi che un
    > > audit certifichi la totale sicurezza di un
    > > software, convinzione puerile è dire
    > > poco.
    >
    > Vaneggiamenti o FUD interessato?

    Di fatto non esistono software 100% sicuri, meno ancora se il progetto è abbandonato. Se a te sta bene per me è ok.

    > Suppongo la seconda.
    >
    > In quanto alla puerilità, se c'è qualcosa di
    > meglio di un audit pubblico indipendente fatto su
    > un open source, dimmi allora
    > cos'è.

    Amico mio sono troppo vecchio per fidarmi di un software sviluppato da gente sconosciuta che si è data misteriosamente alla fuga, auditato quando già abbandonato, prevalentemente progettato per un SO colabrodo per giunta non più supportato, sotto una licenza non libera.

    Anche accettando per buono l' auditing resta pur sempre un software non più supportato.

    > Ti lascio dieci anni per pensarci, ripasso di qui
    > nel 2025, visto che di tempo da perdere con certi
    > ... non he
    > ho.

    Vai a perdere tempo con i cadaveri a quanto pare è la cosa che ti riesce meglio.
    non+autenticato
  • - Scritto da: gravedigger
    > - Scritto da: Smasher
    > > - Scritto da: truedeath
    > > > Cosa c***o te ne fai della crittografia se hai
    > > un
    > > > SO che invia tutto (cifrato per giunta) al
    > > > produttore? Ma poi sei ridicolo se pensi che
    > un
    > > > audit certifichi la totale sicurezza di un
    > > > software, convinzione puerile è dire
    > > > poco.
    > >
    > > Vaneggiamenti o FUD interessato?
    >
    > Di fatto non esistono software 100% sicuri, meno
    > ancora se il progetto è abbandonato. Se a te sta
    > bene per me è
    > ok.
    >
    > > Suppongo la seconda.
    > >
    > > In quanto alla puerilità, se c'è qualcosa di
    > > meglio di un audit pubblico indipendente fatto
    > su
    > > un open source, dimmi allora
    > > cos'è.
    >
    > Amico mio sono troppo vecchio per fidarmi di un
    > software sviluppato da gente sconosciuta che si è
    > data misteriosamente alla fuga, auditato quando
    > già abbandonato, prevalentemente progettato per
    > un SO colabrodo per giunta non più supportato,
    > sotto una licenza non libera.


    fino al giorno prima spalavano merda su bitlocker, il giorno dopo "buongiorno, noi ci ritiriamo e non manterremo piu Truecrypt, consigliamo a tutti di passare a bitlocker, un ottimo strumento di cifratura".
    se no sai leggere tra le righe e' solo un problema tuo.
    personalmente (COMPLOTTO!) interpreto la cosa come segue:
    "ragazzi, i tizi dell'NSA ci hanno minacciato di farci la pelle, e capite da soli che il nostro culo e' piu' importante della vostra privacy, onde per cui leviamo le tende, ma almeno vi mettiamo una pulce nell'orecchio dicendovi di fidarvi di cio' che fino a ieri vi dicevamo essere una schifezza".
    non+autenticato
  • - Scritto da: ...
    > fino al giorno prima spalavano merda su
    > bitlocker, il giorno dopo "buongiorno, noi ci
    > ritiriamo e non manterremo piu Truecrypt,
    > consigliamo a tutti di passare a bitlocker, un
    > ottimo strumento di
    > cifratura".
    > se no sai leggere tra le righe e' solo un
    > problema
    > tuo.
    > personalmente (COMPLOTTO!) interpreto la cosa
    > come
    > segue:
    > "ragazzi, i tizi dell'NSA ci hanno minacciato di
    > farci la pelle, e capite da soli che il nostro
    > culo e' piu' importante della vostra privacy,
    > onde per cui leviamo le tende, ma almeno vi
    > mettiamo una pulce nell'orecchio dicendovi di
    > fidarvi di cio' che fino a ieri vi dicevamo
    > essere una
    > schifezza".

    Esattamente.
    Io non ho la possibilità di saperlo con certezza, ma gente che conosco che è a contatto di ambienti tra l'hacking e le agenzie di spionaggio mi dice che hanno realmente ricevuto minacce fisiche.

    Essendo non solo ottimi sviluppatori software, ma pure gente intelligente, hanno trovato il modo di far capire l'avvenuto in modo indiretto, ovvero "consigliando" il più improponibile dei software, l'esatto opposto del concetto di TrueCrypt, quale "alternativa".
    Cosa che ha fatto si che ogni osservatore che non fosse un beota abbia capito subito che erano stati forzati ad abbandonarlo.
    non+autenticato
  • - Scritto da: prezzemolo
    ...
    >
    > Esattamente.
    > Io non ho la possibilità di saperlo con certezza,
    > ma gente che conosco che è a contatto di ambienti
    > tra l'hacking e le agenzie di spionaggio mi dice
    > che hanno realmente ricevuto minacce
    > fisiche.

    Ecco qua un esempio di winaro fanboy amico di giggi.

    >
    > Essendo non solo ottimi sviluppatori software, ma
    > pure gente intelligente, hanno trovato il modo di
    > far capire l'avvenuto in modo indiretto,

    Science fiction...

    > ovvero
    > "consigliando" il più improponibile dei software,
    > l'esatto opposto del concetto di TrueCrypt, quale
    > "alternativa".

    Una logica che non fa una piega.

    > Cosa che ha fatto si che ogni osservatore che non
    > fosse un beota

    Una causa legale minacciata da un concorrente o la violazione di una licenza, l' intelligentissimo complottista winaro non la enuncia fra le tante possibili ipotesi. Effettivamente è troppo stupido e sensazionalista. Per carità va bene diffidare, però il ventaglio delle ipotesi rimane molto più ampio della solita teoria del complotto.

    > abbia capito subito che erano
    > stati forzati ad
    > abbandonarlo.

    Perspicace come una cozza su uno scoglio.
    non+autenticato
  • - Scritto da: colmar
    > - Scritto da: prezzemolo
    > > Cosa che ha fatto si che ogni osservatore che
    > non
    > > fosse un beota
    >
    > Una causa legale minacciata da un concorrente o
    > la violazione di una licenza, l'
    > intelligentissimo complottista winaro non la
    > enuncia fra le tante possibili ipotesi.
    > Effettivamente è troppo stupido e
    > sensazionalista. Per carità va bene diffidare,
    > però il ventaglio delle ipotesi rimane molto più
    > ampio della solita teoria del
    > complotto.
    >
    > > abbia capito subito che erano
    > > stati forzati ad
    > > abbandonarlo.
    >
    > Perspicace come una cozza su uno scoglio.

    ROTFL!
    Ecco perchè c'è il detto "stupido come un linaro"!A bocca aperta

    Una causa fatta da un concorrente? Sulla base DI CHE? Se fosse una scopiazzatura di codice l'avrebbero fatta già dieci anni fa, visto che è open source. Cervellino ...
    Violazione di una licenza? QUALE, visto che è tutto visibile e verificabile da dieci anni e nessuna violazione è stata denunciata, neppure nessuna denuncia contro ignoti?

    E, guarda caso, tutto ciò avviene proprio pochi mesi dopo che scoppia il Datagate, la gente comincia a cercare tool crittografici e TrueCrypt passa con successo la prima fase dell'audit, candidandosi a diventare IL tool crittografico per uso privato per resistere anche alla NSA.
    E proprio allora, prima della seconda fase dell'audit (che fortunatamente viene poi fatta), gli sviluppatori "spontaneamente" abbandonano. Che coincidenza, eh?

    E abbandonano non dicendo "abbiamo problemi legali, dobbiamo chiudere" (come sarebbe nella pur incredibile ipotesi di Cervellino) ma dicendo "dato che l'abbiamo fatto su XP e che XP sta per essere abbandonato (lasciate pure perdere che TrueCrypt funzioni perfettamente da anni pure su Vista, Seven e Win8 e mai abbiamo detto che era solo per XP) e che dato che POTREBBERO esserci dei bug (non sappiamo se e quali, ma chissà mai che ...), allora abbandoniamo, vi lasciamo una del tutto inutile versione 7.2 (anzi, una che nel frattempo "chiama casa", ma non fateci caso, non preoccupatevi ...) e vi consigliamo ... il fantastico Bitlocker!".

    Ecco perchè c'è il detto "stupido come un linaro": perchè cìè gente che è in grado di credere perfino a questo.
    non+autenticato
  • Vedo con piacere che finora la netta maggioranza dei commentatori (non tutti, ovviamente) sembra avere la testa sulle spalle e riconosce che NON C'E' ALCUN NUOVO BUG CRITICO, dato che una vulnerabilità che per essere sfruttata richiede di avere accesso fisico al PC e che il volume TC sia già stato montato è una "non novità": qualsiasi trojan che si installi sul PC (anche da remoto) e ne consenta la sorveglianza può fare questo ed altro, non solo spiare il contenuto di un volume montato (bella forza ...) ma pure lo sniffare la passphrase digitata dall'utente e rendere inutile ogni crittografia su quell'archivio (e su tutti quelli con la stessa passphrase) anche agendo successivamente sul PC (per esempio dopo un sequestro).

    Interessantissima anche la "rivelazione", che qui qualcuno ha opportunamente evidenziato, sulla ditta per cui lavora l'hacker in questione: "The company he works for provides advice on hacking to Ministry of Defence and other public sector organisations as part of the Government's UK Cyber Security Strategy"! ( http://www.telegraph.co.uk/technology/microsoft/10... )
    In sostanza, adesso sappiamo che James Forshaw non lavora per la NSA ... ma per il GCHQ! Adesso ci sentiamo più sicuri!A bocca aperta

    Bottom line: se questa è la vulnerabilità che i cari Spioni britannici sono riusciti ad evidenziare, dopo il fallimento del tentativo di stoppare TrueCrypt minacciando gli sviluppatori e spargendo valanghe di FUD, allora possiamo dire che TrueCrypt è riuscito a superare pure un SECONDO AUDIT, questa volta probabilmente OSTILE!
    Quindi possiamo essere ANCORA PIU' SICURI nell'usare TrueCrypt, fino a quando verrà fuori qualcosa di altrettanto buono e ALTRETTANTO AUDITATO.

    E qui c'è la questione VeraCrypt: CHI SI FIDA?
    Io prima di un AUDIT INDIPENDENTE (anzi, a questo punto meglio almeno due, visti i chiari di luna!) non do fiducia a nessun altro tool che non sia l'originale TrueCrypt 7.1a (che va benissimo pure su Windows 10, almeno per la crittografia dei singoli volumi; la crittografia dei dischi è insensata comunque, dato che era già meno sicura al tempo di XP, nessun motivo per rischiare ora pure con i BIOS UEFI e simili piacevolezze).
    Meno ancora mi fido di uno strumento, VeraCrypt, che è sviluppato (a tempo perso?) da un'AZIENDA PRIVATA. E visto che le aziende hanno per scopo il PROFITTO, l'ultima cosa di cui mi stupirei è che un qualche Stato Spione li PAGASSE di nascosto per mettere appositamente vulnerabilità nel codice che era di TC 7.1a.
    Molto, molto meglio uno strumento sviluppato veramente da abili appassionati che lo fanno per convinzione ideologica di fare il bene per la privacy degli utenti, come quelli di TrueCrypt che non ci hanno guadagnato un centesimo (e alla fine si è visto che non erano degli oscuri figuri in malafede, come alcuni hanno sostenuto per dieci anni).

    Resta CypherShed: stesse considerazioni, tranne che non sembra essere legato ad aziende commerciali. Ma fino a quando non sarà auditato (se mai lo sarà), sul mio PC non troverà posto.
    E, consiglio personale, sarebbe bene che non lo trovasse neppure sul vostro, così come ogni tool crittografico NON PUBBLICAMENTE AUDITATO (il che ovviamenre esclude subito tutti i closed source, ma pure tutto il resto degli improbabili open source che ci sono in giro).

    Long live TrueCrypt (fino ad un degno successore).
    non+autenticato
  • Che pizza di post... truecrypt è morto, pace all' anima sua.
    non+autenticato
  • - Scritto da: Yawn
    > Che pizza di post... truecrypt è morto, pace all'
    > anima
    > sua.

    Più che altro, pace all'anima tua se usi oggi qualsiasi altro tool ...
    non+autenticato
  • - Scritto da: Smasher

    > Bottom line: se questa è la vulnerabilità che i
    > cari Spioni britannici sono riusciti ad
    > evidenziare, dopo il fallimento del tentativo di
    > stoppare TrueCrypt minacciando gli sviluppatori e
    > spargendo valanghe di FUD, allora possiamo dire
    > che TrueCrypt è riuscito a superare pure un
    > SECONDO AUDIT

    o magari, visto che la fonte (gli spioni) deve far credere per forza di cose il contrario di quello che è...
    quando dice "ci sono solo due bug non gravi", magari significa che...



    > la crittografia dei dischi è
    > insensata comunque

    intendi il disco che occupa con l'OS?
    non+autenticato
  • - Scritto da: hhhh
    > - Scritto da: Smasher
    >
    > > Bottom line: se questa è la vulnerabilità
    > che
    > i
    > > cari Spioni britannici sono riusciti ad
    > > evidenziare, dopo il fallimento del
    > tentativo
    > di
    > > stoppare TrueCrypt minacciando gli
    > sviluppatori
    > e
    > > spargendo valanghe di FUD, allora possiamo
    > dire
    > > che TrueCrypt è riuscito a superare pure un
    > > SECONDO AUDIT
    >
    > o magari, visto che la fonte (gli spioni) deve
    > far credere per forza di cose il contrario di
    > quello che è...
    >
    > quando dice "ci sono solo due bug non gravi",
    > magari significa
    > che...

    Veramente lui DICE che sono due bug gravi ("critici") quando operativamente NON LO SONO AFFATTO.

    Se abbandoni incustodito il tuo PC con montato un volume TC, che è il presupposto per sfruttare le "due vulnerabilità", QUELLA è la cosa grave, altro che preoccuparsi delle "vulnerabilità informatiche": sei tu che hai GIA' aperto come una cozza la tua privacy, perfino tua nonna ottantenne allora riesce a violartela senza essere un hacker!

    Ma usando queste due vulnerabilità spacciate per "critiche" sembra proprio che cerchino di indurre gli utenti a spostarsi da TrueCrypt per andare verso "nuovi" strumenti sui quali ci sono interrogativi grossi come una casa, come VeraCrypt (che ha prontamente detto "ehi, noi quelle due bruttissime vulnerabilità le abbiamo già tappate!").
    Tutto molto, ma molto ma MOLTO SOSPETTO.


    >
    >
    >
    > > la crittografia dei dischi è
    > > insensata comunque
    >
    > intendi il disco che occupa con l'OS?

    Esatto.

    GIà dall'inizio aveva ben poco senso usare con TrueCrypt la crittografia dell'intero disco (FDE) perchè:

    1) è più esposta (rispetto ai singoli volumi criptati) ad attacchi "cold boot", perchè con singoli volumi la password viene esplicitamente cancellata dalla RAM non appena li si smonta ma la cosa non è vera per la FDE.

    2) non è comunque possibile nascondere ad un esame della forensics la presenza di una partizione nascosta sul disco, non più di quanto sia possibile nascondere che un file pseudo-casuale su una partizione visibile può essere un possibile archivio TC. Quindi inutile cercare di far finta di non usare TrueCrypt, praticamente non si riesce a farlo in modo plausibile, neppure con la FDE, e del resto TrueCrypt non è per nulla illegale. La vera difesa è invece la plausible deniability, ovvero usare i file hidden.

    3) adesso inoltre, dopo le pesantissime variazioni fatte ai meccanismi di boot con gli ultimi BIOS UEFI, non c'è da fidarsi di una feature, la FDE di TrueCrypt, creata al tempo dei BIOS "classici". Non c'è da fidarsi per principio, anche se la FDE apparisse ancora funzionante: troppa differenza nella tecnologia tra ante-UEFI e post-UEFI.

    Ma il bello è che non serve affatto usare la FDE, basta usare la CRITTOGRAFIA DEI SINGOLI VOLUMI (che è anche molto meglio gestibile, per backup e spostamento degli archivi). E questa funziona bene anche negli ultimi Windows (in Linux non lo so, dato che Linux ha solitamente e scioccamente snobbato TC non ci metto la mano sul fuoco che funzioni bene anche nelle ultime versioni delle distro).
    non+autenticato
  • - Scritto da: Smasher


    > Veramente lui DICE che sono due bug gravi
    > ("critici") quando operativamente NON LO SONO
    > AFFATTO.

    sì vabbè, lui dice che sono gravi, ma tutti sanno che non sono gravi (anche senza essere esperti lo si evince), quindi potrebbe fare il triplo gioco:
    "dico che sono gravi per fargli rispondere subito che non sono gravi (e farli sentire furbi), così la gente pensa che è sicuro e che stavo cercando di non fare usare il prodotto con le mie affermazioni"

    Stiamo parlando di spioni/bugiardi di professione, quanto ho detto è assolutamente possibile.
    Ad ogni modo finché non mi indicano un bug grave per me è a posto.

    > Se abbandoni incustodito il tuo PC con montato un
    > volume TC, che è il presupposto per sfruttare le
    > "due vulnerabilità", QUELLA è la cosa grave

    beh, se hai un server in una sala macchine gestita da terzi la cosa può diventare rilevante.


    > in Linux non lo
    > so, dato che Linux ha solitamente e scioccamente
    > snobbato TC

    Beh, loro (quelli di TC) non hanno snobbato Linux: funziona egregiamente sia in lettura che in scrittura, sia in versione 32 bit che 64 bit.
    Un mio collega mi ha segnalato un problema nel creare un disco nuovo su una partizione molto grande: rimaneva in hang e non procedeva alla creazione del disco... alla fine ha risolto creandola sotto Windows.
    non+autenticato
  • - Scritto da: hhhh
    > - Scritto da: Smasher
    >
    >
    > > Veramente lui DICE che sono due bug gravi
    > > ("critici") quando operativamente NON LO SONO
    > > AFFATTO.
    >
    > sì vabbè, lui dice che sono gravi, ma tutti sanno
    > che non sono gravi (anche senza essere esperti lo
    > si evince), quindi potrebbe fare il triplo
    > gioco:
    > "dico che sono gravi per fargli rispondere subito
    > che non sono gravi (e farli sentire furbi), così
    > la gente pensa che è sicuro e che stavo cercando
    > di non fare usare il prodotto con le mie
    > affermazioni"
    >
    > Stiamo parlando di spioni/bugiardi di
    > professione, quanto ho detto è assolutamente
    > possibile.

    Certo, potrebbero fare addirittura il quadruplo o quintuplo gioco, però ...
    Nei fatti io avverto una grande voglia di spingere la gente a NON usarlo o a passare a VeraCrypt.
    Cosa che mi fa drizzare le orecchie.


    >
    > Beh, loro (quelli di TC) non hanno snobbato
    > Linux: funziona egregiamente sia in lettura che
    > in scrittura, sia in versione 32 bit che 64
    > bit.
    > Un mio collega mi ha segnalato un problema nel
    > creare un disco nuovo su una partizione molto
    > grande: rimaneva in hang e non procedeva alla
    > creazione del disco... alla fine ha risolto
    > creandola sotto
    > Windows.

    E' ottimo che funzioni bene anche sui Linux recenti (anche se non lo meriterebbero ...).
    non+autenticato
  • 100% sicuro non è mai esistito, detto questo da buon fanboy non hai focalizzato la questione centrale: fosse veramente a prova di spionaggio, quanto tempo durerà prima che microsoft rompa la reteocompatibilità? Dopotutto sono c**o e camicia com NSA, volendo basterebbe la solita telefonatina come è sempre accaduto.

    Per assurdo, fosse veramente a prova di agenzia a tre lettere basterebbe un minuto ai signori di Redmond per farlo fuori... e invece non lo fanno... capisci a me.

    Cioè ti dicono "aggiorna a windoze 10", "compra papple", "truecrypt è sicuro", "linux è un cancro" e cazz*** del genere. Ti fidi? Male.
    non+autenticato
  • - Scritto da: chrono
    > 100% sicuro non è mai esistito, detto questo da
    > buon fanboy non hai focalizzato la questione
    > centrale: fosse veramente a prova di spionaggio,
    > quanto tempo durerà prima che microsoft rompa la
    > reteocompatibilità? Dopotutto sono c**o e camicia
    > com NSA, volendo basterebbe la solita
    > telefonatina come è sempre
    > accaduto.

    Divertente fare morphing, vero?Occhiolino

    >
    > Per assurdo, fosse veramente a prova di agenzia a
    > tre lettere basterebbe un minuto ai signori di
    > Redmond per farlo fuori... e invece non lo
    > fanno... capisci a
    > me.

    Si, perchè MS (soprattutto dopo il flop di Win8) ha interesse a schifare ancor di più gli utenti dimostrandosi prona ad NSA ed allontanandoli da Windows, vero?
    E oltretutto dopo Snowden e lo scandalo NSA, vero?
    Li ripaga la NSA,vero?
    Ah, per inciso: se la MS fosse così pappa e ciccia con la NSA, come mai non ha messo delle backdoor in Windows ma si è limitata a ritardare per qualche settimana alcune patch?
    Ma che testa, e pensare che ci credi veramente alla fuffa che spari ...

    >
    > Cioè ti dicono "aggiorna a windoze 10", "compra
    > papple", "truecrypt è sicuro", "linux è un
    > cancro" e cazz*** del genere. Ti fidi?
    > Male.

    Se non è sicuro TC, l'UNICO OPEN SOURCE AUDITATO, non è sicuro NULLA.
    Genietto ...
    non+autenticato
  • - Scritto da: Smasher
    > - Scritto da: chrono
    > > 100% sicuro non è mai esistito, detto questo da
    > > buon fanboy non hai focalizzato la questione
    > > centrale: fosse veramente a prova di spionaggio,
    > > quanto tempo durerà prima che microsoft rompa la
    > > reteocompatibilità? Dopotutto sono c**o e
    > camicia
    > > com NSA, volendo basterebbe la solita
    > > telefonatina come è sempre
    > > accaduto.
    >
    > Divertente fare morphing, vero?Occhiolino
    >
    > >
    > > Per assurdo, fosse veramente a prova di agenzia
    > a
    > > tre lettere basterebbe un minuto ai signori di
    > > Redmond per farlo fuori... e invece non lo
    > > fanno... capisci a
    > > me.
    >
    > Si, perchè MS (soprattutto dopo il flop di Win8)
    > ha interesse a schifare ancor di più gli utenti
    > dimostrandosi prona ad NSA ed allontanandoli da
    > Windows,
    > vero?

    Ma smettila, quanti winari usano la crittografia dei volumi, ma per piacere. Non sanno nemmeno cos' è un volume. Truecrypt salva microsoft dal fallimento hahahahah.

    > E oltretutto dopo Snowden e lo scandalo NSA, vero?
    > Li ripaga la NSA,vero?
    > Ah, per inciso: se la MS fosse così pappa e
    > ciccia con la NSA, come mai non ha messo delle
    > backdoor in Windows ma si è limitata a ritardare
    > per qualche settimana alcune
    > patch?

    Chi me lo garantisce TU??? HAHAHAHAHA

    > Ma che testa, e pensare che ci credi veramente
    > alla fuffa che spari
    > ...

    La fuffa sta nel tuo SO.

    >
    > >
    > > Cioè ti dicono "aggiorna a windoze 10", "compra
    > > papple", "truecrypt è sicuro", "linux è un
    > > cancro" e cazz*** del genere. Ti fidi?
    > > Male.
    >
    > Se non è sicuro TC, l'UNICO OPEN SOURCE AUDITATO,
    > non è sicuro
    > NULLA.
    > Genietto ...

    Auditato alla razzo di cinofilo.
    non+autenticato
  • - Scritto da: chrono

    > Per assurdo, fosse veramente a prova di agenzia a
    > tre lettere basterebbe un minuto ai signori di
    > Redmond per farlo fuori... e invece non lo
    > fanno... capisci a
    > me.
    >
    > Cioè ti dicono "aggiorna a windoze 10", "compra
    > papple", "truecrypt è sicuro", "linux è un
    > cancro" e cazz*** del genere. Ti fidi?
    > Male.

    Non pensi come una spia Occhiolino
    Per gli spioni, il miglior risultato possibile è far usare al 'nemico' qualcosa di compromesso PUR convincendolo che NON è compromesso, in modo da poterlo spiare quando è convinto di parlare al sicuro, ovvero quando dice/fa le cose più importanti.
    Questo lo si ottiene convincendo in modo diretto (come fa il tizio qui sopra) o indiretto che un determinato tool è sicuro quando invece non lo è.

    Ora, supponiamo che TC sia davvero sicuro.
    Tu dici: "allora gli spioni di stato chiedono a MS di non farlo andare più".
    No, non è logico (non offenderti, sul serio): così facendo si otterrebbe meno di metà del risultato: la gente passerebbe ad altro (non necessariamente sicuro/insicuro) e si sarebbe da capo.
    Per ottenere il miglior risultato possibile andrebbe chiesto a MS di monitorare il processo di TC a basso livello e intercettare il momento in cui le chiavi sono in chiaro (o in cui si digita la password, ma quella l'utente la può cambiare, mentre le chiavi no, gli toccherebbe rifare il disco per intero per come funziona TC).
    Poi con le solite chiamate a casa il dato viene trasmesso ai server di MS che lo gira agli spioni.
    Questa sarebbe la strategia corretta.

    Il problema di questa strategia è che se MS viene scoperta non può dire "era un bug" perché è una procedure ben definita e scritta ad hoc.
    Quindi perderebbe la possibilità di esportare in tutti i paesi che hanno le palle (russia/cina, ...) e a nulla servirebbe dire "ma siamo stati obbligati".
    non+autenticato
  • cosa si e' fumato prova123? ne vorrei un po' anch'ioA bocca aperta
    scrive e si risponde da solo, in un guazzabuglio di verita', FUD, distorsioni e cazzate ... bohSorride magari faro' un post-repulisti...
    non+autenticato
  • prova123 non è tuo cuggino? Siete molto simili voi due.
    non+autenticato
  • - Scritto da: bubba
    > cosa si e' fumato prova123? ne vorrei un po'
    > anch'ioA bocca aperta
    >
    > scrive e si risponde da solo, in un guazzabuglio
    > di verita', FUD, distorsioni e cazzate ... bohSorride
    > magari faro' un
    > post-repulisti...

    vorrei ricordarti che un fanboy dello Spectrum.
    questo dovrebbe spiegare tutto A bocca aperta

    (ora m'azzanna con la litania del processore più veloce In lacrime )
    non+autenticato
  • - Scritto da: hhhh
    > - Scritto da: bubba
    > > cosa si e' fumato prova123? ne vorrei un po'
    > > anch'ioA bocca aperta
    > >
    > > scrive e si risponde da solo, in un
    > guazzabuglio
    > > di verita', FUD, distorsioni e cazzate ...
    > boh
    >Sorride
    > > magari faro' un
    > > post-repulisti...
    >
    > vorrei ricordarti che un fanboy dello Spectrum.
    > questo dovrebbe spiegare tutto A bocca aperta
    :D si spiega non poco in effetti.. ... ma cmq non capisco tutto questo impegno su "Gombloddo dell'ordine Mondiale contro truecrypt" & co... quando la notizia e' altra.. e le cose da raccontare/su cui farsi domande vanno in altre direzioni. Beh, vedremo. Magari stasera quando il provolo si sara' stancatoSorride
    non+autenticato
  • - Scritto da: hhhh

    >
    > (ora m'azzanna con la litania del processore più
    > veloce In lacrime
    > )

    Il processore più veloce è solo la punta dell'iceberg ... A bocca aperta
    non+autenticato
  • - Scritto da: prova123

    > Il processore più veloce è solo la punta
    > dell'iceberg ...
    >A bocca aperta

    La palette di colori e la libertà nell'usarli sullo schermo è il punto di forza!

    p.s.
    non hai nemmeno il cuoricino dedicato al tuo sistema, come puoi competere? Fan Commodore64
    non+autenticato
  • - Scritto da: hhhh

    > La palette di colori e la libertà nell'usarli
    > sullo schermo è il punto di
    > forza!
    >

    Ed era qui che ti aspettavo ... A bocca aperta

    http://www.archeologiainformatica.it/2014/03/06/re.../
    non+autenticato
  • - Scritto da: prova123
    > - Scritto da: hhhh
    >
    > > La palette di colori e la libertà nell'usarli
    > > sullo schermo è il punto di
    > > forza!
    > >
    >
    > Ed era qui che ti aspettavo ... A bocca aperta
    >
    > http://www.archeologiainformatica.it/2014/03/06/re

    DelusoDelusoDeluso
    Come diavolo ha fatto??? Sorpresa
  • è un motore open che gioca con il pennello elettronico e può cambiare gli attributi ogni 2 scanlines. I sorgenti sono in assembler, bisogna solo avere voglia di mettersi lì e studiarsi il codice che non è lunghissimo. Ho dato una occhiata veloce (nirvana.asm) ed ho visto che non fa uso di istruzioni complesse di spostamenti di blocchi di memoria (ldir, lddr & co.). Per comodità si potrebbe eseguire la demo con un emulatore ed analizzare il comportamento con il debugger integrato.

    Una gran furbata tecnica.

    http://www.retrogamesmachine.com/2013/12/06/ciao-c...
    non+autenticato
  • anche col vdc 8563 negli "ultimi" anni ci hanno dato giu'Sorride .... certo un uscita RGBI(praticam CGA) non aiuta (essendo i monitor ormai rarita'.. ma hackando hanno +- sistemato anche quello.. il bit intensity praticamente)...

    hacking sul vdc era gia stato fatto ai bei tempi... ma molto oltre Basic8 (interessantissimo eh) non si era andati...
    non+autenticato
  • Forse non si era andati oltre perchè il chip aveva problemi di timing per cui non potevano scendere oltre quelle tempistiche.Sorride
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)