>
MENU
symantec_logo-705671.jpg

Una nuova falla Openoffice.org affligge Windows, Linux e Mac

logoebay_x45.gif

Il fishing su eBay riesce meglio con Linux

9 ottobre 2007 Visualizzazioni: 501 NetSec

Funzionalità non documentate in PGP Whole Disk Encryption

Il popolare software PGP Whole Disk Encryption include, come è stato recentemente segnalato, una funzionalità sinora non documentata, che permette di bypassare l’inserimento della passphrase durante il processo di avvio, qualora tale comportamento venga richiesto mediante opportuni switch e venga fornita la passphrase originale.

pgp.gif

Non si tratta però di una vulnerabilità o di una backdoor, come ha tenuto a precisare Jon Callas, CTO e CSO della PGP Corporation. A ragion di logica infatti lo switch -add-bypass, che permette di disabilitare la richiesta della passphrase al successivo reboot (da sottolineare: soltanto al successivo), non è né un difetto implementativo, né un comportamento riproducibile senza l’azione dell’utente, il quale potrebbe anche essere fuorviato.

PGP Corporation ha comunque la pecca di non aver pubblicizzato questa funzionalità, che seppur richiesta da un certo numero di clienti è di una certa pericolosità e non è possibile disabilitarla. Gli scenari immaginabili sono numerosi, e anche se aumentano di poco le possibilità di veder compromessi i dati crittografati, la sicurezza complessiva è minore.

Ovviamente questo pone per l’ennesima volta l’attenzione degli utilizzatori di software crittografici closed-source su considerazioni essenziali in merito alla loro stessa sicurezza. In altre parole, si può essere veramente sicuri della robustezza di un software crittografico, anche escludendo la deliberata malizia da parte degli sviluppatori, se non è possibile verificarne direttamente il funzionamento?

Ad ogni modo, la falsa sensazione di sicurezza sussiste con tutte le sue potenziali conseguenze, a prescindere che essa sia alimentata insieme dalla cifratura del disco, dall’inefficienza del software che la gestisce e dalla mancanza di possibilità di verifica.

di Francesco di Salvo - Programmazione.it

twittergoogle_pluslinkedinmail