Re: [Hackmeeting] opinioni su crypto.cat, kyloggers e chiavi…

Delete this message

Reply to this message
Author: GiPOCO
Date:  
To: hackmeeting
Old-Topics: Re: [Hackmeeting] opinioni su crypto.cat?
Subject: Re: [Hackmeeting] opinioni su crypto.cat, kyloggers e chiavi segrete
Ciao.

Il 2015-09-05 13:49 brno ha scritto:
> se ti ritrovi un
> keylogger installato, non sara' certo quello il principale problema.

Senza polemica, lo specifico visto che mi sembra che ci sia un abiente
1 po'
ostile in lista, forse ancora uno strascico della recente tempesta
relativa
al'HackedTeam... o forse no, bah... (in ogni caso non per colpa tua,
brno),
cque ti chiedo di argomentare, tanto per essere sicuro di aver capito.
Ti chiarisco il mio scenario (palesemente off-topic, confesso, da cui
il
cambio di topic): partizione montabile con cryptmount senza l'uso della
tastiera, la password non è piu' una "costante", ma un insieme di
coordinate
roto-traslate e deformate che vengono decodificate, quindi verificate e
se
tutto quadra viene estratta la key, montato il loopdevice e pulita la
memoria
prima della free. Il contetto è usare chiavi diverse ogni volta senza
doverle
memorizzare, spero di essermi spiegato meglio.

> la modifica al layout della tastiera non ti protegge contro i
> keylogger..
> se proprio non vuoi usare la tastiera usa qualcosa tipo le yubikey

Vabbè, a quello c'ero arrivato due anni fa e mi permetto di dire che -
per
l'uso che serve a me - ho già in mano qualcosa di meglio (lo dico
umilmente
e non vedo l'ora di sottoporvi la cosa de viso al prossimo hackit :)

> cryptocat non e' altro che un client xmpp con il supporto OTR single
> e multichat, il suo successo e' dato dal fatto che gira nel browser
> ed
> e' quindi facilmente utilizzabile (?), il suo problema e' che e'
> scritto con un linguaggio che non aiuta con vulnerabilita', per
> esempio, dovute al typing (viva Rust!)

Quoto al 100% il tuo "riassunto", aggiungo che se ci sono chiavi
segrete in
gioco e l'abiente in cui si trovano non è trusted, non conta molto il
codice
o la qualità dei numeri casuali. Se fai chirurgia robotica in una fogna
è 1
pò uno spreco LOL (ammetto di non considerare il browser un campo da
gioco
minimamente sicuro).

> http://tobtu.com/decryptocat.php

AZZ! ...non lo sapevo, tnx x il link.
Personalmente non uso crypto.cat ma fa lo stesso MOLTO effetto leggere
ciò.
Tralaltro il periodo coinvolto è dell'ordine di grandezza degli anni.

> altro problema e' la "pacchettizazione" come diceva boyska.

Vero, la parte che mi spaventerebbe di più sarebbe l'installazione (e
gli
aggiornamenti ancora di più: l'installazione avviene idealmente una
volta e
si presta attenzione, gli aggiornamente avvengono più volte non sempre
vi
si presta la dovuta attenzione, soprattutto per l'utente standard).


Bye, Gpk.