--
Andrea Zwirner
email: [email protected]
mobile: +39 366 1872016
Linkspirit Sicurezza Informatica
Via Luigi Moretti 2 - 33100 Udine UD
tel: +39 0432 1845030 - fax: +39 0432 309903
web: www.linkspirit.it - email: [email protected]
> Il giorno 21 mag 2016, alle ore 20:51, Samuele <[email protected]> ha
> scritto:
>
> Il 10/05/2016 16:38, Piermaria Maraziti ha scritto:
>>
>> Il *tuo* server per la *tua* posta non puoi dire "ho perso la chiave" - o
>> meglio, puoi, ma ti si inc**ano: quelli di protonmail *possono*
>> legittimamente
>> dire che non sono in possesso della chiave.
>
> Non so quali siano le procedure in questi casi, ma leggendovi mi è venuto
> questo dubbio. Mettiamo di avere il server in casa, con disco crittografato e
> password richiesta dal sistema operativo al boot e console su seriale.
> Poniamo che sia io in grado di farmi una schedina hardware da mettere dentro
> al case (ma se sono bravo, potrei anche farla stare dentro ad una chiavetta
> usb modificata), che comunica via seriale con il server (dall'esterno non si
> vede nulla), e che fornisce la password per sbloccare il disco. Poniamo che
> questa scheda abbia dei pin sui quali si possono infilare dei jumper (o altro
> sistema). Se quando la scheda viene alimentata, ha il jumper inserito,
> fornisce la password e si comporta come previsto, se il jumper è rimosso,
> cancella la memoria interna dove è memorizzata la password.
> Quindi, metto il jumper, avvio il server poi tolgo il jumper.
> Volendo la scheda dentro al server la si può condire con microswitch per
> rilevare l'apertura del case (o fotoresistenza), sensore "tilt" per capire se
> il server viene mosso ecc. per rendere il sistema più resistente.
>
> Di fronte ad una situazione del genere, posso dire "l'unica chiave era sulla
> schedina e si è cancellata quando avete spostato il server?"
L'idea mi sembra interessante, per sostenerla la condirei con comportamenti
ossessivo compulsivi ed altri elementi comportamentali che facciano emergere
l'assoluta paranoia, in modo da mitigare quanto più possibile il rischio di far
emergere il dubbio che stai mentendo o, ancor peggio, che li stai prendendo in
giro.
Credo tutto sommato sia opportuno essere prudenti, dal momento che se
effettivamente la chiave cel'hai esistono strumenti[1] molto poco
crittoanalitici per ottenerla.
Stavo pensando invece che potrebbe essere credibile la simulazione di un
criptoloker, usandone uno opportunamente modificato per usare una chiave di cui
si possiede la privata e che cifri per primi i file di nostro interesse. La
polizia sequestra e trova tutto cifrato e la richiesta di un riscatto corposo
(su nostro wallet) ed ovviamente, se pagano, nulla viene decifrato (e noi
abbiamo un indennizzo per il fastidio).
A questo punto interessante sarebbe usare uno strumento come quelle descritto
da Piermaria per attivare la protezione.
Malefico, eh? ;-)
Saluti,
Andrea Zwirner
https://it.m.wikipedia.org/wiki/Metodo_del_tubo_di_gomma
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
