Nuovo aggiornamento
di post_aXion MUTANTE
(frammenti e trame
di autonomia digitale)
Ho approfittato di questo noiosissimo fine agosto per aggiornare ulteriormente
Nuovo aggiornamento di post_aXion MUTANTE http://strano.net/mutante
(frammenti e trame di
autonomia digitale) di cui riporto - ad esempio e sperando che sia cosa
gradita - alcune sezioni fra le piu' significativamente aggiornate...
(...)
Una delle prime cose da imparare in Internet è riconoscere gli indirizzi
che sono perlopiu' indirizzi web o di posta elettronica, questi ultimi
riconoscibili per la presenza delsimbolo @. Di seguito
alcuni esempi
strano.network@vttv.dada.it
sTRANOnETWORK
http://strano.net
inr@ecn.org
ISOLE NELLA RETE
www.ecn.org
kyuzz@kyuzz.org
KYUZZ
www.kyuzz.org
tmcrew@mail.nexus.it
Tactical Media Crew
www.tmcrew.org
repubblicawww@repubblica.it
Repubblica
www.repubblica.it
ayuda@nodo50.org
Nodo 50
www.nodo50.org
cudigest@sun.soci.niu.edu
Cu DIGEST
http://sun.soci.niu.edu/~cudigest
comments@disinfo.com
disinformation
www.disinfo.com
(...)
Alcune istituzioni pubbliche e private per generosita', pubblicita', spamming
ecc. forniscono
caselle postali gratuite (www.emailaddresses.com)
(...)
Bachi
Per chi volesse curiosare nei sempre più numerosi errori dei vari sistemi
operativi e programmi:
www.rootshell.com
www.bugnet.com
http://l0pht.com
www.cert.org
http://ciac.llnl.gov
it.comp.sicurezza.varie
Java & ActiveX
Java utilizza alcuni modelli di sicurezza (http://java.sun.com/sfaq/)
per impedire alle sue applicazioni di eseguire operazioni illecite a bordo
dei computer su cui vengono scaricate. ActiveX lascia ai controlli la
massima libertà operativa (www.heise.de/ix/artikel/E/1997/03/090/) ma
prevede un meccanismo di autenticazione basato sui certificati che ne
attestano la provenienza.
Essendo i computer sempre più dotati di attrezzature audio-video (micorofoni,
telecamere ecc.) i
vari applets e controlli possono non solo attivare procedure di danneggiamento
delle stazioni
locali ma acquisire informazioni custodite nella macchina locale o dall'ambiente
circostante.
Come difendersi? Disabilitare java ed activeX oppure, per chi non resiste
alla tentazione di usufruire dei vari applet utili e/o divertenti, dotarsi
di programmi che monitorano l'azione degli applet sulla macchina locale:
www.finjan.com
www.intermute.com
www.acrmain.com
In casi particolari, anche script ed url apparentemente innocue possono
invece rappresentare
delle minacce alla SICUREZZA LATO CLIENT
(www.w3.org/Security/Faq/wwwsf7.html) tanto che
sarebbe appropriato analizzare un'URL prima di attivarla per verificare
chenon possa attaccare
risorse locali.
(...)
Sistemi di crittazione a chiave pubblica
Pretty Good Privacy (PGP) e' il software di crittografia a chiave pubblica
piu' popolare. la versione 2.6.3i la piu' consigliabile...
Un sistema a chiave pubblica consiste in un sistema che prevede due tipi
di chiavi: una privata
(secring.pgp) che serve a decodificare i msg in arrivo ed una pubblica
(pubring.pgp) che
consente a chiunque di scrivere msg criptati che potranno essere letti
solo dalla persona che ha
la chiave privata abilitata a leggere i msg prodotti dalla corrispondente
chiave pubblica. Un
sistema a chiave pubblica permette percio' di potersi scambiare msg anche
attraverso sistemi di
comunicazioni di tipo pubblico senza aver paura che siano letti in chiaro.
Per esempio se qualcuno volesse comunicare con "Ferry Byte"
ferry.byte@ecn.org
in maniera riservata puo', utilizzando il pgp, fare riferimento alla
seguente chiave
pubblica
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6
mQCNAzLKsWQAAAEEAMErb4IviHHjJVlKI+QjAJSMRC/gMXOdZvYwmxAI5243LwoO y+isHBLKq0VktETgWR8VZmCJ/KUrqLNUZt9m7h71k6ZCUZK30orvQGf2h8Zi9XoG
xJkJouXJIfwT4R9AVY9CzVFPWqJJK9NKjJW5Akfh3ADDz3Me5xTrsYhbiG/hAAUR
tB9GZXJyeSBCeXRlIDxmZXJyeS5ieXRlQGVjbi5vcmc+iQCVAwUQMsqzFBTrsYhb
iG/hAQEwqQP/Sdxnckg5KTKObk7SwZoJiPEdC834I8CNqJ7L8U2+8VaxvkWeiNuC
vSOmFxmYyr+SSy0jzT8IXxbws5mQyds2bHiw+ijmt3I2u28KAtMZvIqKzv4pPeql
ObXL3CL3xiTWRwaXDwoI+DMFi1zN7kwiJmcQvpDRQgYxmaR0Po3U18g=
=JYNk
-----END PGP PUBLIC KEY BLOCK-----
e spedire messaggi riservati con la certezza che siano letti in chiaro
solo dal destinatario della relativa chiave pubblica, anche se detti msg
sono veicolati da estranei o su canali di comunicazione di tipo pubblico.
Per pubblicizzare la propria chiave pubblica è possibile avvalersi dei
keyserver. I keyserver (www.ch.pgp.net/pgpnet/wwwkeys.html) sono particolari
server dedicati al deposito e al prelievo delle chiavi pubbliche. Sono
in rete tra loro, per cui ogni chiave immessa in un server viene diffusa
anche sugli altri. Per ricevere o immettere chiavi bisogna inviare un'email
all'indirizzo del keyserver. In Italia e' solitamente utilizzato: pgp-public-keys@dsi.unimi.it
. I comandi al keyserver vanno scritti nel subject dell'e-mail. Per ricevere
una chiave pubblica basta inviare al keyserver una email, contenente nel
subject il comando GET seguito dall'user-id o email della chiave richiesta.
Per
depositare la propria chiave occorre spedire un'email al keyserver, con
il comando ADD nel subject e con nel corpo del msg la propia chiave in
formato ascii. Il PGP permette anche di infilare una
"firma" esclusiva nei tuoi messaggi, che può essere prodotta
solo dalla tua chiave segreta
consentendoti di provare agli altri (possessori del pgp e della tua chiave
pubblica) che sei o non sei
stato tu a mandare un certo messaggio.
Alcuni comandi PGP:
pgp -?
help
pgp -sta percorso\file
firmare in chiaro il msg senza codificarlo
pgp percorso\file
decodificare un msg e controllarne la firma
pgp -esta percorso\file "utente destinatario"
codificare e firmare
pgp -kxa
estrarre la chiave pubblica
x + info:
it.comp.sicurezza.pgp
www.pgpi.com
www.serve.com/nimrod/pgp.html
La versione 2.6.3i di pgp (la quale e' ricca di svariate altre funzioni
come la cancellazione sicura di
files con l'opzione -w) così come altri programmi molto utili (per comunicazioni
vocali, steganografia, di gestione ecc.) sono reperibili su:
www.ecn.org/crypto/soft
www.cs.hut.fi/crypto/software.html
ftp.rivertown.net/pub/win/privacy/
Alcuni programmi utilizzano sistemi di crittografia a chiave pubblica
anche per sessioni telnet e
ftp. Browser evoluti utilizzano sistemi di crittografia a chiave pubblica
SSL (www.netscape.com/eng/ssl3/) per la visione di pagine web. Se si vuole
usare strumenti di
crittografia e' consigliabile non solo aggiornarsi sulla legislazione
italiana (www.ecn.org/crypto/law) ma anche su quella internazionale (http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm).
(...)
post_aXion MUTANTE e' un lavoro di ricerca facente parte della sezione
Criptoribelli e autodifesa digitale (http://www.ecn.org/crypto) del server
Isole nella Rete (http://www.ecn.org)
Ferry di SN
Key fingerprint = A5 F9 A5 D3 35 70 BF 25 25 90 C1 18 ED B8 AC 64
,::. post_aXion MUTANTE
n-:;:;.'
/_\ `;:.' frammenti e trame di
|~~~| ``' autonomia digitale
|~~~|
|___| http://strano.net/mutante
|