[Golem] Vulnerabilità PGP e S/MINE
$pooky Hunter
spookyh@gmail.com
Ven 18 Maggio 2018 09:58:59 CEST
On Tue, 15 May 2018 07:08:50 +0200
Lomantog <lomantog@gmail.com> wrote:
> https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
>
> https://mobile.hdblog.it/2018/05/14/efail-falla-sicurezza-email-pgp-s-mime/
>
> www.tomshw.it/falla-sicurezza-pgp-si-possono-decodificare-email-94054
Ci tengo a scrivere qualcosa a riguardo perché è un argomento che mi
sta particolarmente a cuore.
Approfondendo gli articoli sopra citati vi sarete accorti che la
vulnerabilità non risiede nell'algoritmo di cifratura piuttosto che in
qualche bug dello standard OpenPGP. In questo caso specifico i rischi
sono dovuti alla cattiva gestione della cifratura delle email da
parte di certi plugin.
Solitamente l'anello debole della catena sta all'esterno del programma
(salvo casi particolari, vedi Heartbleed). In questo caso abbiamo
trovato il capro espiatorio del plugin, ma credo che il problema sia
molto più serio. L'utente medio di oggi crede di saper utilizzare il PC
o navigare in sicurezza col suo tablet, ma si collega a reti wifi
sconosciute, installa applicazioni trovate chissà dove, effettua
pagamenti online da computer pubblici dimenticando la sessione aperta,
lascia per ore il PC incustodito in biblioteca, si illude di aver
bloccato il cellulare del figlio...
Un plugin che apre un link in automatico mi sembra una cosa grave, ma
oltre al dito meriterebbe un'occhiata anche la Luna a parer mio.
L'igiene informatica andrebbe insegnata nelle scuole.
--
"Inside my shell, I wait and bleed..."
(Slipknot)
http://spookyh.altervista.org
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome: non disponibile
Tipo: application/pgp-signature
Dimensione: 195 bytes
Descrizione: OpenPGP digital signature
URL: <http://lists.linux.it/pipermail/golem/attachments/20180518/5d8956bf/attachment.sig>
Maggiori informazioni sulla lista
golem