I'm going to write things.  I will post a cleartext (not signed) version to this blog, with a title, tags, etc. into the category 'Unsigned'.  This is so anyone can read what I have to write.

For those concerned with information security and integrity, I will also publish a PGP signed version with the category 'Signed' and no other tags/etc.  The title will be along the lines of "Original Title (Signed)".  I encourage everyone to maintain their own copy of the PGP public key and to use the signed versions as opposed to the signed ones.

Remember that PGP keys are still subject to black-bag, rubber hose, and keylogger cryptanalysis.  Nothing is to be trusted absolutely.

Anyone can send me an e-mail at anthonyREMOVETHECAPSWORDSscote@gmail.com.  Please only contact me if you have insightful commentary- I'm not interested in flames.  I assume I have permission to re-print commentary you send me unless you tell me otherwise; if you tell me to publish anything, I will honor your anonymity and exact phrasing, but may reprint the message.  For instance, if you tell me, "Off the record, the sky is turquoise", I may say "One of my readers mentioned that the sky is a bluish color."

I demand that all messages be encrypted with my PGP public signature.  I'm not one to offer a full tutorial in public-key cryptography, but Gpg4win is a great tool for Windows users, and Linux has most of the functionality built-in.  The FireGPG extension for Firefox makes it very easy to encrypt/sign/decrypt/verify/etc.  If you use symmetric encryption, please also send me an ID to grab your PGP block from a keyserv.

In addition, I encourage all readers to contact me on AIM (screenname: anthonyscote) with any immediate concerns.  I use the Pidgin OTR plugin, and will only accept encrypted transmissions; send me your fingerprint and SN in a PGP-signed e-mail first.

Finally- I will try to mention if I'm going to be away for an extended period of time (say, more than a month).  I may make simple keep-alive post, but still- don't trust anything.  If I simply drop out, be wary.

Yay for paranoia!

Incidente mortale sulla strada regionale 10 a Legnago, in provincia di Verona, e scoppia la polemica sui turni di lavoro dei vigilantes.

Infatti a causare lo scontro sarebbe stata la manovra avventata di Salvatore Mercurio, 32 anni, dipendente di una ditta di sorveglianza privata.

La guardia giurata avrebbe eseguito il sorpasso di un mezzo pesante e così facendo si sarebbe trovato al di là della linea di mezzeria. Sulla macchina in senso opposto c'erano Guerrino Ospizio, 62 anni, e la moglie Mirella Carrè, 57, di Legnago. Nell'impatto la donna è morta, mentre il marito è ora ricoverato in gravi condizioni all'ospedale di Legnago.

Vincenzo Del Vicario, segretario nazionale del Savip, ha portato le proprie condoglianze alla famiglia di Mercurio. "Quanto avvenuto - spiega - ripropone la questione delle modalità dei servizi delle guardie giurate. Accanto a norme sciagurate e finalizzate ad eludere ogni limite nel lavoro straordinario, registriamo la predisposizione di servizi che prevedono dodici e più ore continuative di lavoro o l'uso dell'automobile in orario notturno per percorrenze che possono arrivare sino a 250/300 chilometri". Questa situazione "espone le guardie giurate a gravissimi rischi per la loro vita e uno scadimento della qualità del servizio che diventa esiziale anche per i cittadini".

copyright @ 2008 APCOM

23/09/2008 Da: http://economia.alice.it/news/foglia.html?t=2&id=4&codNotizia=16177011

Ob ich diese meine privaten, sensiblen Daten jedoch den von genau jener Bundesregierung verifizierten „privatwirtschaftlichen Dienstleistern“ anvertrauen werde, die alles daran setzt, einen möglichst kompletten Einblick in mein elektronisches Leben haben zu können: I fucking doubt it.

Die gute Nachricht: dank einer weltweit vernetzten IT-Gemeinde sind wir für solche Kleinigkeiten gar nicht auf Vater Staat angewiesen (was ein Grund sein mag, warum er das Internet immer so mißtrauisch anschaut). Beide Wünsche, das Versenden verschlüsselter und unterschriebener E-Mails und das sichere Speichern von vertraulichen Daten, erfüllt uns längst ausgereifte Open-Source-Software. Und quelloffener Software können wir aus Prinzip meist vertrauen, wie auch das Bundesamt für Sicherheit in der Informationstechnik weiß.

Dateien verschlüsselt speichern

Motivation: Die Daten können nur nach Eingabe eines Passwortes entziffert werden. Bei Diebstahl des Computers können sie also nicht missbraucht werden.

Mit TrueCrypt können so genannte "Container" angelegt werden, in denen dann die geheimen Daten gespeichert werden. Mit einem guten Passwort versehen, ist es nur mit unfassbar hohem Rechenaufwand möglich, dem Container die Daten zu entlocken. Die Installation verläuft wie bei Windows-Programmen gewohnt. Die einfachste Anleitung zum Einrichten und Gebrauch liefert - wen wundert's - Computer-Bild..

E-Mails verschlüsseln und unterschreiben

Motivation: Verschlüsselte Mails können nur vom gewünschten Empfänger entziffert werden. Elektronisch signierte Mails garantieren dem Empfänger, dass sie wirklich vom Absender stammen und nicht unterwegs manipuliert wurden.

Ein offener Standard zum Verschlüsseln jeglicher Daten ist GnuPG. Zusammen mit dem Addon Enigmail ergibt sich für Benutzer des Mailprogramms Thunderbird ein einfacher Weg, E-Mails zu verschlüsseln. Eine komplette Erklärung zur Installation und Anwendung liefert Jan Häussler.

Happy Encrypting.

Veri güvenliği, ister bizler gibi güvenlik işiyle uğraşanlar, isterse standart ev kullanıcıları için olsun oldukça kritik bir konu. Veriyi transfer ederken veya saklarken ise mevcut yapının güvenlik standartlarıyla sınırlı kalıyoruz/yetiniyoruz. Bunun sebebi ise çoğunlukla zaman kısıtından veya mevcut sisteme güvenmemizden kaynaklanıyor. Acaba işyerimizdeki mail sunucuya ve/veya üçüncü parti bir mail veya web sunucusuna ne kadar güvenebiliriz ? Bilgiyi hem transfer etmek hem de güvenliğini sağlamak sözkonusu olduğunda ne yapabiliriz ? Eğer "ben işimi sağlama alayım" diyorsanız yazıyı okumaya devam edin.

GPG ile dosyaları şifrelemek ve imzalamak mümkün.

gpg --recipient Mehmet --encrypt my-file.txt

komutunu verdiğinizde my-file.txt dosyası sizin listenizde bulunan (yoksa hata verecektir) Mehmet kullanıcısı'nın sizde bulunan public anahtarı ile şifrelenir. Bu sayede ilgili dosyayı sadece Mehmet kullanıcısı kendi private anahtarı ile açabilir. Mehmet'in tek yapması gereken ise üretilen my-file.txt.gpg dosyasını; gpg my-file.txt.gpg komutuyla açmak.

Ayrıca http://keyserver.veridis.com adresinden public anahtarınızı internet üzerinde paylaşıma da açabilirsiniz.

Teknik detaylar'ı http://www.gnupg.org/howtos/tr/GPGMinikNasil.html adresinde bulabilirsiniz.

$ gpg --gen-key

Then GPG is going to ask Alice some questions, Alice can basically choose the default option. Later, it will ask Alice about your real name, email and comment. Alice can enter them as she likes, say "Alice, alice@there.com". After that, GPG will Alice to enter a passphrase, Alice can enter whatever she like as long as she remembers it since she will need it for decryption later on. Meanwhile she may need to browse the internet or play some games in order for GPG to generate enough random numbers. After this step, Alice can see her key is added to GPG database by entering:

$ gpg --list-keys

Next step is to export the public key to a file and send it to Bob.

$ gpg --armor --output alice_public_key.txt --export alice@there.com

Now, Alice can send the public key file to Bob or put it on her website so that Bob and the whole world can grab it easily. Once Bob gets Alice's public, he can use it to encrypt any files/message he wants to send to Alice securely. But first, Bob needs import Alice's public key in his computer:

$ gpg --import alice_public_key.txt

Bob can enter the following to confirm that the key is imported correctly:

$ gpg --list-keys

Let's say Bob wants to encrypt the document "message.txt", he can enter:

$ gpg --recipient Alice --output encrypted_message.txt --encrypt message.txt

The encrypted file is called "encrypted_message.txt" and he can send this file to Alice via any secure or insecure channels. Since only Alice can decrypt the file (as far as the theory goes), it doesn't matter even if Bob puts it on his website and invites everyone to check it out.

After Alice gets the "encrypted_message.txt" file, she can decrypt it by entering:

$ gpg --recipient Alice --output bs_message.txt --decrypt encrypted_message.txt

In the process, GPG will ask Alice for the passphrase she entered when she generates the key. Now, the decrypted file is saved as "bs_message.txt" and Alice can see what Bob wants to tell her.

This competes our simple tutorial for using GunPG (GPG). You can find more information about GunPG on its official document, The GUN Privacy Handbook. GunPG Mini Howto and A Practical Introduction to GNU Privacy Guard in Windows are also very good read.

La primer captura la hice después de actualizar los primeros paquetes (PackageKit, PackageKit-libs, fedora-releas,  gnome-packagekit, yum-packagekit). Después de actualizar esos paquetes aparecieron las demás actualizaciones

20 días de actualizaciones acumuladas llevaron a descargar unos cuantos Mb.

Momento en el que pide la nueva clave. Si todavía no actualizaron deberían hacerlo

Un dato a tener en cuenta, esta clave gpg solo será valida para fedora 8 y 9, por el momento solo las actualizaciones estan firmadas con esta clave pero en un futuro se van a firmar todos los paquetes de fedora 8 y fedora 9

Etapa 1: en una primera etapa aparecerán una pequeña cantidad de actualizaciones, los paquetes que se actualizaran son: fedora-release, PackageKit, gnome-packagekit, y unique. (para fedora 8 solo se ofrecerá fedora-release). Ustedes deben aplicar estas actualizaciones tan pronto sean posible.

Etapa 2: Una vez que se hayan actualizado las actualizaciones de la primera etapa, las herramientas de actualizaciones (yum, PackageKit, pirut), verán un nuevo repositorio y un conjunto más amplio de
actualizaciones disponibles. Estas actualizaciones son los paquetes firmados con la nueva clave, para importar esta nueva clave solo hace falta aceptarla en el momento de la actualización.

Anuncio oficial a cargo de Jesse Keating [eng]: https://www.redhat.com/archives/fedora-announce-list/2008-September/msg00007.html

Información útil acerca de las claves gpg del proyecto fedora: https://fedoraproject.org/keys

Información extra para habilitar la nueva clave [eng]: https://fedoraproject.org/w/index.php?title=Enabling_new_signing_key

EDIT: Für den Fall das die Seite mal offline geht, hier die wichtigsten Schritte:
1. apt-get install debian-archive-keyring
2. gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys <Key>
3. gpg --armor --export <Key> | apt-key add -
4. apt-get update

Abbiamo visto come installare i programmi su Ubuntu senza usare il terminale. Adesso vediamo come gestire i repository.

Il programma grafico che ci permette di farlo è sorgenti software che troviamo nel menu Sistema/Amministrazione.

Vediamo nella prima tab la possibilità di attivare/disattivare i repository principali di Ubuntu.

Cliccando su "scaricare da", inoltre, possiamo cambiare il set dei server. Nella figura sono attivati quelli italiani, ma possiamo scegliere i server principali (quelli localizzati in Inghilterra) oppure quelli di altri paesi. E' importante sapere che questi server sono dei mirror, quindi tra loro identici. Mettendo i server francesi, per esempio, non ci ritroveremo i programmi nella lingua di Napoleone.

Sempre dallo stesso menu possiamo anche far scegliere automaticamente il server più veloce (quello con tempo di ping minore) dopo un breve test.

Vediamo ora come attivare i repository aggiuntivi di Ubuntu. Clickiamo sulla tab "aggiornamenti" e avremo di fronte questa schermata:

I repository di sicurezza (security) e quelli degli aggiornamenti raccomandati (update) dovrebbero essere sempre attivi, poiché correggono vulnerabilità e bug. Gli aggiornamenti "proposed" e "backports" invece sono riservati ad un'utenza medio-esperta, in grado di risolvere autonomamente eventuali problemi, come ad esempio un aggiornamento del kernel che non supporta i driver della scheda video. In questi repository, infatti, arrivano aggiornamenti che devono essere ancora testati prima di finire nei repository principali.

Vediamo come aggiungere dei repository esterni. Ci serviremo del seguente esempio, per la gioia degli amanti degli effetti grafici:

http://freetimesblog.wordpress.com/2008/06/17/installare-la-versione-di-sviluppo-di-compiz-da-repository/

Per prima cosa clickiamo su "software di terze parti", quindi su "aggiungi" e copiamo esattamente la prima riga dei repository (va bene anche un copia e incolla). La seconda  (deb-src) non è necessaria se non si desidera compilare i sorgenti. Tutto qui.

Una delle operazioni spesso richieste è l'aggiunta della chiave di autenticazione gpg.

Spiegazione: la chiave serve a rassicurare il sistema sull'autenticità del server. Uno dei modi più utilizzati per attentare alla sicurezza, infatti, è crackare i server DNS dei provider o delle aziende e fare in modo che, ad esempio, www.google.it punti ad un sito malevolo. La stessa cosa applicata ad APT permetterebbe di installare programmi malevoli facendo credere all'utente di trovarsi di fronte a semplici aggiornamenti.

Vediamo come operare per aggiungere la chiave.

Supponiamo che la guida per i nuovi repository ci chieda di digitare questo comando da terminale:

wget http://download.tuxfamily.org/3v1deb/DD800CD9.gpg -O- | sudo apt-key add

Per capire come agire cerchiamo di analizzare il comando. Wget è il programma che permette di scaricare dal web qualsiasi file. nel nostro caso il file è la chiave di autenticazione del repository. Essa è contenuta nel file http://download.tuxfamily.org/3v1deb/DD800CD9.gpg.

La parte successiva del comando reindirizza tale file al comando apt-key che serve ad aggiungere una chiave nell'archivio di APT.

Ciò che serve a noi è solo il file http://download.tuxfamily.org/3v1deb/DD800CD9.gpg. Quindi prendiamo l'indirizzo e lo scriviamo nella barra di Firefox. Il browser ci chiederà di salvarlo. Mettiamolo dove ci pare, ad esempio sulle nostra home, poi da sorgenti software clickiamo sulla tab "autenticazione" e quindi "importa file chiave". Indichiamogli dove abbiamo salvato il file (ad esempio /home/nomeutente).

Attenzione ad un particolare: poiché sorgenti software agisce sotto utente root, quando cercheremo il file della chiave assicuriamoci di stare navigando in /home/nomenostroutente e non nella home dell'utente root (che è /root) altrimenti non troveremo nulla.

Alla chiusura del programma ci verrà richiesto di aggiornare i repository, diciamo di sì e il gioco è fatto.

• Crear llaves públicas y privadas
• Administrar las llaves públicas
• Codificar datos usando las llaves públicas
• Decodificar datos usando las llaves privadas

El GnuPG es muy potente, hasta el punto que es prohibido su uso en algunos lugares del mundo debido a la dificultad que representa romperle la seguridad.  Fue creado como un reemplazo completo del PGP (propietario), sin usar algoritmos de encriptamiento propietarios.

Se puede usar los algoritmos de encriptamiento:

• ElGamal
• DSA
• RSA
• AES
• 3DES
• Blowfish
• Twofish
• CAST5
• MD5
• SHA-1
• RIPE-MD-160
• TIGER

Es calificado como un software para el uso en producción y es comúnmente incluido en los sistemas operativos como FreeBSD, OpenBSD, NetBSD y últimamente con todas las distribuciones GNU/Linux. Aunque básicamente el programa tiene una interfaz textual actualmente hay varias aplicaciones gráficas que utilizan recursos de GPG, por ejemplo ha sido integrado dentro del Kmail y Evolution, también hay un plugin llamado Enigmail que se integra con Mozilla y Thunderbird.

Para demostrar un poco, pensemos en esto:  Un archivo con un número de cuenta (ficticio por ahora, por supuesto), el usuario y la contraseña para entrar al sistema en línea:

951-159753852-11
Usuario: Juan Perez
Contraseña: MiSuperP4ssword

Al viajar esto en texto plano, es posible ver los datos tanto en tránsito como en el servidor de correos.  Piensen que un hacker logró entrar al servidor de correos y tiene acceso a todos los casilleros.

Ahora, si yo codifico este mismo texto usando GnuPG, obtengo:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.7 (MingW32)
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==
=9b8R
-----END PGP MESSAGE-----

Simplemente, ilegible! Y esto es lo que vería un hacker en la red o en el casillero de correo.

(Nota, el ejemplo fue hecho con la opción --armor para obtener una salida en ASCII, de lo contrario se obtiene un archivo en binario encriptado, que no es posible publicar en esta página y por tanto no nos sirve para el ejemplo).

Bueno ahora vamos a dejar al un lado las presentaciones y vamos a ponernos con el encriptado y desencriptado de archivos.

Generando Claves

Una vez instalado el binario del GnuPG (incluido en la mayoría de distribuciones de GNU/Linux), hay que generar las llaves privada y pública así:

gpg --gen-key

Nos pregunta qué tipo de llave vamos a usar

   (1) DSA and ElGamal (default)
   (2) DSA (sign only)
   (4) ElGamal (sign and encrypt)

Luego los bits de codificación que vamos a usar.  Mientras más bits, más difícil romper la seguridad, y es más lento el proceso de codificación/decodificación.

              minimum keysize is  768 bits
              default keysize is 1024 bits
    highest suggested keysize is 2048 bits

Las llaves pueden tener una fecha de expiración, así que ahora la definimos:

         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years

Ahora hay que relacionar la llave con un usuario, por lo que hay que ingresar el nombre del propietario de las llaves, su correo electrónico y cualquier otra información adicional:

You need a User-ID to identify your key; the software constructs the user id
from Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

Real name: Noel Vargas

Posteriormente pedirá la dirección de correo electrónico e info adicional.

Ahora ingresamos la contraseña.  Es recomendable usar contraseñas lo más seguras posibles, es decir, al menos 8 caracteres alfanuméricos y algunos símbolos de puntuación, y que además sea fácil de recordar (Ej. M1.m4ma_m3.m!ma). También podemos utilizar una frase ya que soporta los espacios y demás caracteres.  Sin esta contraseña, no es posible decodificar los datos encriptados, así que hay que asegurarse de no olvidarla y NO ESCRIBIRLA EN UN PAPELITO.

You need a Passphrase to protect your private key.
Enter passphrase:

Procede entonces a crear las llaves usando datos aleatorios.

Encriptar y Desencriptar

Una vez terminado esto, podemos entonces redistribuir nuestra llave pública para que nos envíen datos encriptados, o bien podemos encriptar documentos en nuestro sistema de esta manera:

gpg --output documento_secreto.gpg --encrypt --recipient juanperez@dominio.com.ni documento_secreto.txt

Si vamos a encriptar un documento para nuestro uso personal, hay que poner en la opción --recipient la dirección de correo electrónico que usamos para la creación de las llaves.

Para desencriptar un documento usamos

gpg --output documento_secreto.txt --decrypt documento_secreto.gpg

Servidores Gráficos

Para aquellos que no acaben de trabajar cómodamente a través de la consola, también podemos encontrar interfaces gráficas para el cifrado de archivos.

Para KDE encontramos KGPG:

Y para Gnome tenemos GPA:

Fuente: Seguridad y Software Libre de Nicaragua

$ sudo apt-get update
...
W: A error occurred during the signature verification. The repository is not updated and the previous index files will be used.GPG error: http://security.ubuntu.com hardy-security Release: The following signatures were invalid: BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key
W: Failed to fetch http://security.ubuntu.com/ubuntu/dists/hardy-security/Release
W: Some index files failed to download, they have been ignored, or old ones used instead.
W: You may want to run apt-get update to correct these problems

This ubuntu bugs page suggests this:

$ sudo apt-get update -o Acquire::http::No-Cache=true

but the problem persists.

Solved it! By deleting the incorrectly signed Release and Release.gpg files that were downloaded in the last try:

$ sudo rm -f /var/lib/apt/lists/partial/security.ubuntu.com_ubuntu_dists_hardy-security_Release*

Now apt-get is successful.

I got the idea above from the instructions in comment 20 to the bug

........zzzzzzzzzzzzz.......

whoops!! it is 11 AM

trying to restore apache2 when it was corrupted after a system update last evening

grrrrrrrrrrr - what the hell!! - mod-php5 is not working at all!

grrrrrrrrrrrrrrrrr

...zzzzzzzzzzzzzzz....

...whoops its 5PM

raju came with his new laptop, failed to setup his EST-610U EDGE card on Ubuntu, Modprobe was not working with even a vendor and a product id

its 6PM - went to north tower and had some mango juice

around 6:30 PM, ahsan and anupom came and gave me a copy of their new book, CakePHP

7:30 manzil, junal, ahsan and anupom came and we enjoyed the movie "Death Sentence" together

10 PM, I went to Omi Azad's apartment with Ayesha and Afif - had two scoops of icecream.... yummy!!

11PM - came to home and start setting up xampp - found that xampp is set to use it's own mysql socket instead of the system default. so edited the bundled php.ini and set the following line to use my previous mysql installation properly
mysql.default_socket = /var/run/mysqld/mysqld.sock

sometime later 11PM, xampp is now working, setup postgreSQL addon and mod_python. the python addon was not working becoz of the version conflict of mod_python.so. So I've installed "libapache2-mod-python" and copied the /usr/lib/apache2/modules/mod_python.so to /opt/lampp/modules/ folder - python is now working

around 12, Ayesha and I had our dinner.

1AM to 3AM, playing with GPG and setup a new key pair. My new public key is 2FD0F9E9

3:08AM - wrote this blog post and preparing to sleep. must be a busy day tomorrow!

whoops!!

• Get yourself a LaunchPad account.

• Here's a neat and clear doc about setting up your 'Keys' : https://help.ubuntu.com/community/GnuPrivacyGuardHowto ( The doc was so clear that I didnt want to recreate it here. )
  

• Once you finish setting up your signs, Upload the keys to Ubuntu Keyserver and Launchpad.

• Go to https://launchpad.net/codeofconduct and complete the steps to become a Ubuntero !

Instructions of how to digital sign your documents, encrypt/decrypt messages is found in the first link. And if you are using FireFox, dont forget to install FireGPG extension.

My Public Key is :

Click to Import the file

Or Find Me on Ubuntu Keyserver

Crypto is fun :) !

Ricordo la definizione di virus: un programma che si attacca ad un altro programma per riprodursi. Si può fare qualcosa del genere su GNU/Linux o in generale su un sistema di tipo Unix. Sì, certo. Il problema è che muore lì. Senza permessi il virus non va da nessuna parte e rimane confinato. Fine della riproduzione.

Però non ci sono solo i virus...

Vero. Ad esempio ci sono anche i trojan. I trojan sono programmi che fanno finta di essere utili ma in realtà sono malevoli. Contro i trojan c'è poco da fare, anche se qualcosa si può fare: ad esempio i meccanismi di rafforzamento dei permessi che abbiamo già visto possono limitare l'azione di molti tipi di malware. Ma la vera difesa contro di essi, almeno nell'ambito desktop, non è un antivirus, né SELinux o Apparmor. La vera difesa è l'intelligenza dell'utente.

Proviamo a vedere cosa possiamo fare per eliminare pressoché ogni tipo di problema, prendendo alcune semplici precauzioni.

La gran parte di esse consiste semplicemente nell'usare il sistema operativo come dovrebbe essere usato. Niente di più. Nessuno sforzo particolare, nessun programma che ruba cicli di clock preziosi per poter finire prima il ripping del DVD che stiamo trasferendo sul pc, nessun "terrore" ogni volta che succede qualcosa di strano.

Ecco una lista di buoni comportamenti:

• Non installate programmi né date permessi di esecuzione ad un file né eseguitelo tramite il comando sh se non siete è certi della sua provenienza e affidabilità
  Un giorno potrebbe capitarci un bel file .deb da installare, allegato ad una e-mail. Agli utenti Windows capita spesso, molti famosi malware erano dei file .exe che promettevano chissà cosa. La gente ha incominciato piano piano a capire che non è bene fidarsi. Noi utenti GNU/Linux ancora non abbiamo queste "fortune" ma pensateci: l'eeepc usa XandrOS, una distribuzione derivata da Debian. I .deb di XandrOS di solito funzionano anche su Debian, Ubuntu e altre distro simili. Un click e qualcuno può fregarci.  - "Oddio, vado a prendere ClamAV!" - Fermo lì. Basta non clickare sulla prima cosa che capita, no? E' più facile.
  

• Preferite i repository che possiedono una chiave di autenticazione GPG
  Avete presente quando aggiungete un repository e poi compare un errore tipo:
  

  W: Errore GPG: http://packages.medibuntu.org hardy Release:
  Le seguenti  firme non sono state verificate perché la chiave pubblica non è disponibile

  Ecco, questo accade perché medibuntu è autenticato da una chiave GPG (GNU Privacy Guard) che assicura all'utente che non ci stiamo sbagliando e che non siamo vittime di qualche scherzo dei server DNS del nostro provider. Il repository è autentico. Dobbiamo però aggiungere la chiave al sistema per permettere la verifica e così l'errore sparisce. Una piccola seccatura, certo, ma un bel vantaggio in termini di sicurezza.

• Se disponibile, controllate che l'md5sum corrisponda a quello dichiarato sul sito del programma o file che avete scaricato
  Molte volte sul sito da cui scarichiamo programmi o immagini ISO vediamo un codice indicato con MD5. Si tratta di un numero che identifica il file senza possibilità di errore (o meglio con una possibilità di errore così bassa da essere insignificante). Per sapere l'MD5 del file, una volta scaricato, basta dare il comando:

  md5sum nome_del_file

  Confrontiamolo con quello sul sito e così saremo sicuri al 100% che si tratta dell'originale.

• Navigate preferibilmente con un browser open source aggiornato all'ultima versione disponibile, usate preferibilmente programmi open source e nativi per il sistema (per non dover usare Wine), anch'essi aggiornati
  E qui qualcuno storcerà il naso: "Ma io uso Opera". E' un ottimo browser, seppure non migliore di Firefox (farò un confronto oggettivo fra i due appena posso). Ma è proprietario. E' difficile sapere cosa effettivamente fa Opera. Certo ci sono metodi per scoprire se manda dei dati a qualcuno che non dovrebbe conoscerli, ma qui il problema è un altro: la sicurezza. Firefox è uno dei browser più usati al mondo, ha alle spalle una grande fondazione finanziata da Google, e soprattutto il suo codice può essere letto da chiunque. Questo significa che è facile scoprire un problema di sicurezza e difatti accade relativamente spesso. Ma tra la scoperta e la correzione passa pochissimo tempo perché essendo Open Source chiunque può apportare la correzione. Se quelli della Mozilla Foundation dormono (ma non succede) possono pensarci i programmatori della distribuzione GNU/Linux che usiamo. E spesso accade davvero così per programmi meno famosi di Firefox. Ecco quindi che un browser Open è più sicuro di uno proprietario e in generale qualsiasi programma Open Source è più sicuro che uno proprietario. Un buon motivo per usare OpenOffice al posto di MS Office anche su Windows.

• Usate formati di dati sicuri
  Evitate il più possibile i .doc e similari. Meglio .odt o al massimo .rtf, se dovete mantenere la compatibilità con MS Office.
  

• Evitate di usare Internet Explorer con Wine tramite Ie4Linux a meno che non sia assolutamente necessario per verificare il funzionamento di vostre pagine web; in tal caso comunque preferite la visualizzazione di pagine locali, oppure usate il servizio IE NetRender
  Navigare con Internet Explorer è come mandare un messaggio al mondo con su scritto:
  "Ehi ragazzi, sono qui, prendetemi!"
  Non fatelo. Se quella c*** di pagina non vi viene visualizzata bene con Firefox, beh, non apritela e basta. Chi non sa fare siti web a norma non merita che voi gli facciate aumentare il contatore delle visite. Anzi mandategli una e-mail:
  "Ehi ciccio, il tuo sito non funziona con Firefox!
  Lo sai che è un programma che è stato scaricato da 8 milioni di persone in un solo giorno?
  Che aspetti ad aggiornarti?"
  E se per caso parliamo della vostra banca, il mio consiglio è uno solo: cambiate banca. C'è poco da fidarsi. Se non hanno saputo fare bene l'impaginazione, figuratevi il resto.
  

• Non eseguite mai Wine come utente root: in tal caso lascereste all'eventuale malware accesso alle directory di sistema
  Dal punto di vista della sicurezza, Wine equivale a mettere Erode Antipa a guardia di un asilo nido. No, dai, sto esagerando. Ma è meglio tenerlo confinato al suo posto. L'ideale sarebbe usarlo con un utente secondario invece che con il nostro account principale.

• Eseguite sempre gli aggiornamenti di sicurezza del sistema operativo: in Ubuntu è possibile accettarli in maniera predefinita tramite il gestore aggiornamenti; questa è la principale precauzione che mette al riparo dai malware: Ubuntu e Debian hanno infatti una gestione molto efficiente dei problemi di sicurezza
  Un click e dormiamo sonni tranquilli.

• Non usare distribuzioni per le quali sia scaduto il supporto di sicurezza
  E' giunta l'ora di mandare in pensione la nostra amata Debian Potato ;)

• Usate cautela quando si è in possesso dei permessi di amministratore (tramite sudo, su, gksudo o kdesu), evitando di eseguire programmi di cui non si conosce l'affidabilità
  

• Non entrate nel sistema come root
  E possibilmente non attivate affatto l'utente root; nel caso sia necessario, evitate comunque di navigare sul web, di scaricare posta e di usare programmi che interagiscono con la rete. Anche se è comunque difficile essere colpiti da malware in queste circostanze, se tutti non applicassero tale precauzione si renderebbe più facile il compito ai cracker aprendo loro le difese del sistema

• Non siate paranoici
  Chi viene da sistemi Windows è abituato a blindare tutto e avere paura; è portato ad attribuire qualsiasi malfunzionamento a qualche ignoto virus; ma GNU/Linux non è Windows: take it easy.

ATTENZIONE! Questi  consigli  vanno presi come tali. Non è necessario affrettarsi a installare l'ultima versione disponibile di Firefox dal sito di Mozilla: se contiene correzioni di sicurezza significative, verrà segnalata tra gli aggiornamenti della distribuzione in breve tempo. Ripeto: take it easy :)

Alla prossima.

]]> http://whiter4bbit.wordpress.com/?p=92 Tue, 15 Jul 2008 10:11:06 +0000 whiter4bbit http://whiter4bbit.it.wordpress.com/2008/07/15/how-to-secure-your-data-with-pgp/ its a 2 videos about gnupg and pgp principles

Då jag varit ganska vag kring var jag står i frågan tänkte jag ta tillfället i akt att utveckla mig något. Signalspaning, elektronisk krigföring och en strävan efter ett informationsövertag är jag fullständigt övertygad om att  Sverige måste ägna sig åt.  I synnerhet när vi avvecklar allt vad försvarsmakt heter. Jag tror inte att FRA på långa vägar skulle ha spelat ut sin roll och även om FRA har många år på nacken är det inte en dinosaurie. Dessvärre kan jag tyvärr inte se det i FRA-lagen. Lagen är vagt formulerad och ger upphov till fler frågor än den besvarar. Ska man bedömma avvägningen mellan lagens nytta och biverkningar är jag obehörig att känna till argumenten i den ena vågskålen och därför väger det ur mitt perspektiv väldigt kraftigt över mot lagen. I korthet är jag för FRA, mot FRA-lagen, starkt för integritet och vill gärna se att fler krypterar sin trafik.

I någon jämförelse liknade någon av lagens förespråkare FRA vid en fiskare som medelst catch and release enbart behöll fula fiskar. Oavsett vad man tycker om den liknelsen finns det fula fiskar där ute och betydligt mer relevanta skäl än FRA-lagen till att kryptera sina meddelanden. Då det uppdagades att MSNP censurerar på serversidan var jag på väg att överge protokollet men förespråkar en annan lösning idag. Kryptera trafiken så slipper du att meddelanden innehållandes exempelsvis download.php försvinner.

Det var då som Phil Zimmermann skapade programvaran PGP för att möjliggöra för privatpersoner att enkelt kryptera kommunikationen med varandra. Precis de argument som lyfts fram varför FRA-lagen är så förkastlig i ett öppet och demokratiskt samhälle, baserade Zimmermann sitt ställningstagande bakom utvecklandet av PGP:

Until recently, if the government wanted to violate the privacy of ordinary citizens, they had to expend a certain amount of expense and labor to intercept and steam open and read paper mail. [...] This is like catching one fish at a time, with a hook and line. Today, email can be routinely and automatically scanned for interesting keywords, on a vast scale, without detection. This is like driftnet fishing. And exponential growth in computer power is making the same thing possible with voice traffic.

Perhaps you think your email is legitimate enough that encryption is unwarranted. If you really are a law-abiding citizen with nothing to hide, then why don't you always send your paper mail on postcards? Why not submit to drug testing on demand? Why require a warrant for police searches of your house? Are you trying to hide something? If you hide your mail inside envelopes, does that mean you must be a subversive or a drug dealer, or maybe a paranoid nut? Do law-abiding citizens have any need to encrypt their email?

[...]

PGP empowers people to take their privacy into their own hands. There has been a growing social need for it. That's why I wrote it.

I helgens sändning av Medierna i P1, så intervjuades Ingvar Åkesson om den senaste tidens debatt och om FRA:s verksamhet lite allmänt. En frågeväxling som väckte mitt intresse var:

Reporter: [...] med tanke på att man krypterar, mejl till exempel, som man vill vara helt säker på ingen annan ska läsa... Pretty Good Privacy, PGP, till exempel. Men det knäcker den här superdatorn?
Åkesson: Ja, det är inte datorn som knäcker utan det är våra kryptologer.

Det var ju en romantisk syn på hur kryptologer arbetar - det kanske förklarar en del av den "information" från officiellt håll vi serverats de senaste dagarna.

För övrigt är Blogge återigen läsvärd, tillsammans med opassande och Svensson.

Det är värt att påpeka det återigen, att säkerhet kontra integritet inte är ett nollsummespel som företrädare ur säkerhets- och underrättelsetjänst vill få oss att tro (många politiker har de ju redan övertygat). Det handlar om frihet kontra kontroll. Om jag som medborgare känner ett behov att kryptera min e-post för att inte storebror staten ska kunna läsa den, så måste man väl fråga sig om det är rimligt med denna massavlyssning. Jag vet ju inte hur informationen kan komma att användas mot mig, eftersom mitt rena samvete kanske inte uppfattas så av övervakaren.

This post is part of my Musical Encryption Series.

Melodic Rhythm

We can use the rhythm of a Morse code message as the rhythm for a melodic or inner part in a score.

Step One

Code the message into Morse Code. You can use an online translating program for this or do it the hard way with a translation table. The message I coded came out like this: .... .. ... / .. ... / ... --- -- . / -- --- .-. ... . / -.-. --- -.. .

Conventionally, you would not include spaces SOTHATTHEMESSAGECOMESOUTLIKETHIS as it simplifies the coding process and does not detracts significantly from its final legibility.

Step Two

Choose a rule (or set of rules) to change the Morse Code into a rhythm. You will need a note value, or set of note values for both dashes and dots as well as for letter spacing.

For simplicity, you might like to have quavers as dots and crotchets as dashes. In most cases, this will make the cyphertext much less musical, however. (Cyphertext is the message after it has been coded, plaintext is the message without any encryption applied.)

For the example, I decided dots would notes shorter than crotchets and dashes would be crotchets or larger. I have used rests or slurs for letter spacing. You might also want to include 'null' characters in the score. For example a dotted note could not count towards the coded message, allowing the coder/composer to make the music more musical by inserting a dotted note wherever they like without worrying about its effect on the plaintext.

It is worth noting that a flexible rule like the one I am using has several translations into rhythm. As any frequency-analysis aware cryptographer would tell you, this is a very good thing indeed.

Step Three

We then add pitch to the notes to make the melody as realistic (ie musical) as possible - this is the tricky bit! As a general rule, I found shorter notes suited smaller melodic intervals and vice versa. To make the score look more realistic you should include performance directions and generally act like it is a real piece of music.

So the text I turned into Morse Code for Step One turns out like this:

This particular example turned out as a weird cross between Martinu and Debussy but other styles work just as well, although more free styles suit the method better.

You might like to combine steps two and three to help you make the cyphertext as musical as possible. It is much easier to separate the two aspects as I did especially if you are used to free composition.

Harmonic Rhythm

We can also (less obviously) let a Morse Code string dictate the harmonic rather than melodic rhythm of a score. For example a dot could be a minim of a particular chord and a dash a whole bar; or you a dot could indicate a major chord, a dash minor. This makes a much more subtle code, although a regular structure becomes difficult as in real music the harmonic rhythm will typically speed up as it nears the end of a phrase.

It is also much easier to hear the code using the harmonic method. While it is unlikely a listener can distinguish slurs from rests and so on, they will certainly hear major and minor chords - and will have lots of time to work it out. The methods I outline in this series are really for written scores only, but it is worth investigating the aural method also.

Where do we go from this?

There are several limitations to the composing by Morse Code method. It is moderately difficult to compose to a set rhythm to begin with, especially when it's as irregular as those produced by your average plaintext. More flexible rule systems make it much easier to compose a realistically musical melody, although care must be taken to use a system simple enough to remember, as written keys significantly slow the encryption process and have a risk of being intercepted.

A bigger problem is that Morse Code is very well known: it is quite easy for someone to guess how your message is coded and then they will be able to read it without difficulty. Again, more complex coding systems stop this; or an alternative Morse Code could be developed using its own combinations of dots and dashes for each letter known only to the sender and receiver of the message.

But the biggest problem of all is that you have to let the other person know your rule system! This is where most codes fall down as at some point the key has to be passed uncoded to those who need to decrypt the message. The safest way to do this is in person, or using an uncracked system like GPG.

Look out for the next post in my Musical Codes series, the Pitching Cipher.

Further Reading

• The development of musical encryption through history.
• Samuel Morse on Wikipedia.
• A short article about uses of Morse Code in art and popular music.

All das stimmt, heute morgen konnte ich die Probleme (wohl auch dank der Tatsache dass ich etwas ausgeschlafener war) mit ca. 3 Klicks lösen. Die entsprechende Einstellung in Seahorse war ziemlich offensichtlich und ich hab keine Ahnung wie ich das mehrmals übersehen konnte, aber das ist ja im Endeffekt auch egal, hauptsache es tut wieder.

Interessant fand ich dass bei den Leuten von Gajim jeder verärgert war weil ich geschrieben habe dass Gajim nervt und kein einziger gelesen hat das ich Gajim so rein grundsätzlich für einen der besten Clients halte. (Ansonsten würde ich ihn ja auch nicht nutzen oder?)

Auch die ewiglangen Diskussionen darüber dass ich doch inhaltlichen Blödsinn erzählen würde (danke, das hat mir an der Stelle wirklich geholfen) und dass es die schlechteste Variante überhaupt wäre das Passwort während der Sitzung auf Festplatte zu speichern da die Daten nur sehr schwer wieder vollständig zu löschen sind (Man muss Dateien übrigens nicht unbedingt löschen, man könnte sie auch überschreiben... nur so als Nebenbemerkung.) fand ich mehr als interessant. Ja die Passwörter auf die Festplatte schreiben IST eine bescheuerte Idee. Ich wollte nur mit diesem Vergleich andeuten dass mir dies immer noch als eine bessere Idee erscheint als den Nutzer bei jedem Statuswechsel nach dem Passwort zu fragen.
An meine Festplatte kommt kaum jemand ran, auf meinem Bildschirm mitlesen darf nahezu jeder. Auch ist die Technik schon lange nichtmehr Sicherheitsproblem Nr. 1 sondern ganz eindeutig der Nutzer (Irgendwann muss ich mal nen längeren Beitrag alleine dazu schreiben), es bringt nichts das perfekte, sichere Passwort zu haben, wenn man es irgendwann schon aus Gewohnheit überall eintippt und irgendwann halt doch mal ins falsche Feld. (Selbst ich, der es eigentlich besser wissen müsste, war schon in Versuchung das Passwort in die Zwischenablage zu nehmen um es nicht ständig eintippen zu müssen... jemand anderes hätte das evtl. wirklich gemacht.)
Auch der Hinweis dass das Problem entgegen meines Updates nicht in Seahorse liegt sondern in meinem GPG-Agenten, war wahnsinnig sinnvoll. Klar liegt das Problem beim GPG-Agenten, blöd nur dass das in dem Fall Seahorse bei mir macht.

Um jedenfalls wieder zurück zum Thema zu kommen.. Gajim ist ein netter Client und liegt bei meinen Lieblings-Jabber-Clients mit ganz weit vorn (noch ein Beitrag den ich mal schreiben müsste), ja er hat einige Macken (so werden unbestätigte Kontakte z.B. bei mir Permanent in der Liste angezeigt, wäre schön wenn man das ausblenden könnte, auch wäre es schön in den Eigenschafften eines Kontaktes lesen zu können, zu welchem Konto der Eintrag gehört)  aber jeder andere von mir getestete Client hat die ebenfalls.

Es gibt allerdings einen Grund aus dem ich niemals Gajim als einzigen Client verwenden werde (nein, nichtmal wenn er Jingle-Audio, OTR und eine Möglichkeit Irssi in einem Tab einzubinden unterstützt): Es ist ein grafisches Programm und läuft aus irgend einem Grund nicht in einer Screen-Session. ;-)

Daher: Die unendliche Geschichte, der Suche nach einem idealem Jabber-Client geht weiter.

Vissa addons som jag har haft installerade en längre tid har jag lärt mig mer om. Jag syftar på Off-the-Record och kan även nämna pidgin-encryption. Nya erfarenheter har jag fått både genom att hjälpa andra men fram för allt genom att fler i kontaktlistan börjar ha stöd för olika typer av kryptering och man fått en nystart i att leka och testa.

Eftersom att jag ägnar den här posten åt att namndroppa olika tjänster som underlättar att en privat konversation hålls icke-publik nämner jag även några tjänster som jag personligen inte fattat tycke för. Jag har inga nya erfarenheter eller färska minnen av SecureIM då jag inte använder Trillian längre. Hoppade över att testa Flexcrypt då gratisversionen bara tillåter kryptering mot tre adresser. Jag ser inga fördelar med Flexcrypt jämfört med GPG så valet är enkelt.

Ett program som visserligen inte är någon favorit men som åtminstone verkar intressant nog att klara sig från avinstallation är Simp. En uppenbar nackdel med Simp är att det bara är light-versionen som är kostnadsfri. Man bör ifrågasätta tillförlitligheten på att köra crackad propreitär kod, när det finns alternativ. Om du anser den tillförlitlig, go ahead, bara du ställer dig den frågan innan du bestämmer dig. Personligen föredrar jag programvara som finns fritt tillgängligt för signerad nedladdning och vars kod har granskats av oberoende och utomstående. Så till fördelarna med Simp: det är inte en plugin eller addon utan ett program som man skickar sin vanliga chat-trafik genom. Dina kompisar som av någon oförklarlig anledning biter sig fast vid MSN Live och vägrar gå över till Pidgin/Miranda/Trillian kanske föredrar en sådan lösning. Personligen använder jag Pidgin för att slippa ha flera klienter igång så att använda Simp vore ett steg tillbaka för min del.

Att jag inte ägnade fler ord åt de program som faller mig på läppen i den här posten är för att jag planerar att göra en genomgång av dem inom kort. Då kommer jag kort att förklara varför just de programmen rockar och sedan ägna tid åt vilka plugins/addons som gör mitt liv lättare.

Det blev en liten utvikning om vad jag har provat på och mina intryck av olika program. För att återknyta till där jag började - mina funderingar kring det här med privatliv. För egentligen, är det verkligen någon som bryr sig om vad lilla jag skriver? Å ena sidan, vet jag inte så därför borde man ta det säkra före det osäkra. Å andra sidan kräver det mer ansträngning än att inte bry sig. När jag var mitt upp i att installera ytterligare någon krypteringsprogramvara stannade jag upp och reflekterade över vad jag egentligen höll på med. Att kryptera trafiken och sedan inte utbyta några hemlisar, påminner inte det som när man inom datasäkerhet i princip visar på en svaghet hos ett system men inte utnyttjar svagheten? Därav rubriken. Som jag var inne på i föregående post så är det en god idé att testa att man klarar av att installera nödvändig programvara och sätta upp en privat förbindelse innan den dagen kommer då man har en hemlis att utbyta. På samma sätt som en backup måste vara tagen innan systemet börjar krångla.

På tal om något helt annat så sneglade jag på bloggens statistik och upptäckte en glädjande nyhet. Följande länk - http://www.cypherpunks.ca/otr/#downloads - toppar numera listan över mest klickade. Utifrån det och vetskapen om hur många i min kontaktlista som har OTR vågar jag dra slutsatsen att det är betydligt fler än mina närmaste som läser den här bloggen. Den slutsatsen hade man i och för sig kunnat dra redan efter att ha tittat på totalt antal besökare på inlägget. Jag brukar inte ha speciellt bra koll på statistiken och blev hur som helst flerfaldigt glatt överraskad av att titta på siffrorna.

Fler som tittat på privat kommunikation men som inte blivit länkade i ovanstående text: SommarKatten föredrar Miranda och skriver om hur sin laptop är konfigurerad. Väl skrivet och flera bra länkar. Även hos Dumheter hittar man en genomgång av vad man kan göra för att skydda sig. Stillbildsfotografen har en guide specifikt för dem som sitter med hotmail, inklusive hur man via addons kommer åt eposten utan POP/IMAP. Mest för de fina bildernas skull så blir det en länk till atte.