Printable View
L'ha detto anche l3po a lezione. Direi che ne sa più lui di me e te messi insieme e moltiplicati per 10.Quote:
Originally Posted by Hador
Che poi spesso quel che viene sfruttato sono errori nell'implementazione o cose "di contorno" nel sistema.
Ma pure se non ci sono bug nè un cazzo ed è tutto perfetto, con abbastanza soldi e tempo rompi tutto.
non è vero, altrimenti non ci sarebbero le banche online, che minchia di discorso è.Quote:
Originally Posted by Axet
l3po avrà detto un'altra cosa, sia perchè nella stessa lezione di solito spiega che il sistema perfetto esiste, sia perché un conto è parlare di crittografia, un conto è parlare di sistemi di sicurezza nel complesso.
Cosa vuol dire: vuol dire che se provi a risalire alle chiavi privare del diffie-hellman a brute force non ce la farai mai (o meglio, ti servono abbastanza soldi da trasformare il sistema solare in un centro di calcolo e abbastanza tempo per fare eseguire il tutto), MA se ti inserisci fisicamente sul canale puoi fare qualsiasi cosa. Non bisogna confondere la sicurezza con la crittografia, io posso avere un sistema crittografico debole che magari con 20000 tentativi di brute force viene bucato, MA se l'infrastruttura di sicurezza dopo il terzo tentativo errato costringe a cambiare la password capisci che resta un sistema sicuro. Che poi è la logica che sta alla base di tutti i protocolli di scambio temporali che utilizzano sistemi di crittografia non particolarmente efficaci ma che sopperiscono a questo cambiando le chiavi ogni tot tempo.
La morale del discorso è che se il playstation network fosse un sito con una bella lista di dati criptati scaricabile da chiunque ok, posso accettare il "con abbastanza tempo e soldi prima o poi qualcuno li decripta", dato invece che è una minchia di infrastruttura di rete che deve/dovrebbe avere diversi meccanismi di controllo e di sicurezza (l'ultimo e solo l'ultimo dei quali i dati personali criptati), sto discorso non sta in piedi.
Quote:
Originally Posted by Axet
Se poi la multinazionale in questione usa gli stessi server di 10 anni fa senza firewall... :sneer:
Ma scusate, state dicendo che è ancora down? O__o
Era qualche giorno che non aprivo questo thread ma non avevano detto che riaprivano lo scorso weekend?
Gran Playstation Neturismo? :shocked:
ps: Hador pz CRITTOGRAFIA è__é
eeeeh ogni volta :sneer:
stupido italiano.
Inizialmente dicevano che sarebbe tornato su la settimana scorsa, ma si son resi conto che non c'era verso (anzi, a quanto pare sony a subito un terzo attacco proprio la settimana scorsa e gli hanno fregato altri 2500 account utenti.), quindi hanno posticipato a _si mormora_ non prima del 31 maggio...Quote:
Originally Posted by Tanek
In realtà mi sembrava di aver letto che dopo l'annuncio della settimana scorsa hanno subito un altro attacco, per un totale di 3 da quando è down
Se veramente sarà il 31 Maggio, oltre che una perdina monetaria immane per Sony, si tramuterebbe anche in una incazzatura biblica di tutta l'utenza mondiale.
Già rode a me che non la accendo da 3 mesi, figuriamoci ad un assiduo utente multiplayer intorno al 25 maggio.
pare cmq che alcuni servizi (come il gioco online e la lista amici) tornino molto prima del 31
molto prima del 31 è tipo domani :sneer:
Il PSN è il tipico esempio di cosa sia l'unione di incompetenza e security IT.Quote:
Originally Posted by Hador
Poi ovvio non esistono sistemi sicuri, ma c'è una leggera differenza tra chiudere la propria porta di casa, magari blindata, con tutte le mandate e lasciarla spalancata.
Wrong, ha detto le mie stesse esatte parole. Ovviamente si riferiva al core del sistema crittografico e non a quello che ci sta intorno (che solitamente è la cosa che viene bucata). Diffie-Hellman, così come RSA, reggono perchè si basano sulla PRESUNTA intrattabilità in P (anzi esteso pure alle macchine di turing probabilistiche) del logaritmo discreto. Quando si parla di soldi e tempo non si parla mica di tentare un attacco brute-force con la potenza computazionale dell'universo, bensì di fare ricerca al fine di trovare proprietà matematiche che rompano il sistema.Quote:
Originally Posted by Hador
Chiaro poi se implementi one time pad allora gg, peccato che non sia praticamente attuabile (difatti nessuno lo usa).
Voglio dire, secondo te quelli della NSA non hanno già rotto da mo RSA? Io non ne sarei per niente sicuro :sneer:
Ma senza parlare del "core" crittografico, se investi la stessa quantità di tempo e soldi sul trovare bug in quel che ci sta attorno (WEP anyone?) ci arrivi pure prima. Non esiste un sistema sicuro.
Che poi sta cosa del PSN sia un fail a priori è un altro discorso.
Ma son entrati in quello del FBI, del pentagono e via discorrendo. Se non ricordo male non è manco troppo vecchia la notizia che son stati rubati i progetti di un nuovo jet militare USA..
no bhe il wep ha fallito di suo come protocollo non centra l'infrastruttura, è proprio fatto male.
l'errore in questo tipo di ragionamento è considerare il sistema da attaccare come statico, quando non lo deve essere. Cioè tu parti dal presupposto che solo l'attaccante investe per cercare di attaccare, ma nel mentre il difensore dovrebbe investire per correggere i difetti e potenziare il sistema. Se così non fosse, ripeto, il sistema bancario non sarebbe online, dato che secondo il tuo ragionamento è solo questione di tempo prima che fottano i soldi a mezzo mondo.
Invece è online, proprio perchè investono sulla sicurezza e i sistemi sono continuamente aggiornati per renderli sicuri (o quantomeno dovrebbero esserlo :sneer: ).
E' assolutamente differente parlare di un algoritmo o di un protocollo, che quelli sono e quelli rimangono, rispetto di un sistema informatico che può venire continuamente aggiornato e verificato.
In questo caso pare che qualcuno abbia investito tempo e soldi per attaccare sony ma sicuramente se sony avesse investito qualcosa di più (il minimo per aggiornare apache cristo non per inventare il nuovo algoritmo definitivo) molto probabilmente non si sarebbe arrivati a tanto.
Se trovano un modo per risolvere il logaritmo discreto TUTTO quello che si basa su di esso (diffie-hellman, RSA, DSA, Elgamal) viene preso e buttato nel cesso ISTANT. Non c'è un cazzo che tenga (a meno di avere un canale 100% sicuro, ma allora non sarebbe manco necessaria la crittografia). L'unico modo per pararsi il culo è avere a disposizione un sistema crittografico parimenti sicuro che non si basa su di esso.Quote:
Originally Posted by Hador
Per altro esistono già algoritmi per il calcolo del logaritmo discreto, il problema è che sono pensati per elaboratori quantistici che ancora non esistono :sneer:
edit:
se non si era capito parlo in generale, non del caso specifico di sony che appunto è un fail
Con i Se e con i Ma non si va da nessuna parte Proton.
Non stiam parlando d'investire Milioni di Euro, ci deve essere qualcuno capace di superarlo il logaritmo discreto.
E salvo super computer Quantistici inesistenti, non c'e modo se non spunta fuori qualche genio oltre ogni limite.
Quindi, ha prettamente ragione hador.
"SE", se avevo le ruote ero una carriola.