-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- [ZEUS News] - Notizie dall'Olimpo informatico -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- Anno II - numero 144 - 2 settembre 2000 Web: http://www.zeusnews.com Contatti: mailto:staff@zeusnews.com In questo numero: ** INFOSTRADA: FLAT A 20.000 LIRE AL MESE ** Dal 1° settembre Infostrada permette di collegarsi a Internet su numero verde a un prezzo bassissimo, ma solo nelle ore notturne e nel weekend. ** PGP: GROSSO BUCO NELLA PRIVACY ** Alcuni giorni fa il ricercatore tedesco Ralf Senderek ha reso noto uno studio che evidenzia un pericoloso bug presente in tutte le versioni del PGP rilasciate negli ultimi anni. La privacy di molti potrebbe essere stata violata: scopriamo come in questo approfondimento tecnico e riflettiamo sulle conseguenze politiche. ** MSN EXPLORER: L'EVOLUZIONE DEL PERSONAL WEB ** E' appena arrivato in Italia IE 5.5 e già Microsoft parla di un nuovo browser. ** UNA PERICOLOSA FALLA IN WORD ** Scoperto un baco nelle suite Office. Secondo Microsoft non c'è da preoccuparsi. ** LE VACANZE WAREZ? IN BRASILE ** Basta con la samba! La vera attrattiva del Brasile sono i CD pirata ** COME TI LEGGO IL LINK ** Negli USA sperimentata una nuova tecnologia per trasferire gli indirizzi web da carta a video ZEUS News e' una newsletter gratuita curata da Dario Meoli -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ZEUS News viene inviato gratuitamente a oltre 2200 abbonati. Per inserire la tua pubblicita' contatta zeus@zeusnews.com -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- Vuoi segnalare ZEUS News a un tuo amico? http://www.zeusnews.com/major.html -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- Per inviare comunicati stampa: mailto:zeusnews@libero.it -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** INFOSTRADA: FLAT A 20.000 LIRE AL MESE ** Dal 1° settembre Infostrada permette di collegarsi a Internet su numero verde a un prezzo bassissimo, ma solo nelle ore notturne e nel weekend. [ZEUS News - http://www.zeusnews.com - 2 settembre 2000] Sono attive da ieri alcune novità che Infostrada propone ai suoi clienti. Innanzitutto c'e' una nuova offerta flat dedicata agli utenti internet che navigano solamente nel tempo libero: essa è disponibile al prezzo di 20.000 lire (+ IVA) al mese. Si chiama Libero@Sogno e consente ai clienti di Pronto 1055 di collegarsi, anche con linea ISDN, senza ulteriori addebiti dalle 21.00 alle 8.00 dei giorni feriali e per tutte le 24 ore al sabato, alla domenica e nei giorni festivi. Si tratta di un ottima proposta ad un buon prezzo, in grado di soddisfare chi, impegnato per lavoro o per altri motivi, non trova sufficiente convenienza nel sottoscrivere altri abbonamenti flat presenti sul mercato a prezzi più elevati, attivi anche in orari in cui non verrebbero utilizzati. L'abbonamento è inoltre sottoscrivibile di mese in mese, a differenza di molte altre proposte che obbligano i clienti ad impegnarsi per un anno intero. Altre novità di Infostrada riguardano la diminuzione di alcune tariffe telefoniche: i clienti sottoscrittori di Spazio Zero e Tempo Zero hanno ottenuto una riduzione del costo delle chiamate verso i cellulari. Le nuove tariffe sono: - 495 lire (+ IVA) al minuto, dalle 8 alle 18,30 nei giorni feriali e dalle 8 alle 13 di sabato; - 245 lire (+ IVA) nelle restanti fasce orarie. A queste tariffe va aggiunto uno scatto alla risposta di 200 lire (+ IVA). Un'altra riduzione di prezzo è stata applicata anche al piano Pronto 1055 per le chiamate verso telefoni cellulari, dalle 8.00 alle 18,30 nei giorni feriali e dalle 8 alle 13,00 di sabato: il costo scende da 540 lire (+ IVA) a 520 lire (+ IVA) al minuto a cui, anche in questo caso, vanno sommate 200 lire (+ IVA) di scatto alla risposta. Alessandro Sacco - mailto:alessandro.sacco@zeusnews.com -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** PGP: GROSSO BUCO NELLA PRIVACY ** Alcuni giorni fa il ricercatore tedesco Ralf Senderek ha reso noto uno studio che evidenzia un pericoloso bug presente in tutte le versioni del PGP rilasciate negli ultimi anni. La privacy di molti potrebbe essere stata violata: scopriamo come in questo approfondimento tecnico e riflettiamo sulle conseguenze politiche. [ZEUS News - http://www.zeusnews.com - 2 settembre 2000] Le versioni di PGP colpite sono quelle che vanno dalla 5.5.x alla 6.5.3, in edizione Windows, Macintosh e Linux. Soltanto le vecchie versioni per MSDOS non sono colpite (2.x). Per una panoramica tecnica dello studio consultate il sito http://senderek.de/security/key-experiments.html In pratica il bug riguarda le Additional Decryption Keys (ADK), ossia una funzione introdotta col PGP 5.5.x per permettere, con il consenso dell'interessato, di modificare la chiave pubblica in modo che qualunque messaggio crittato con quella chiave pubblica possa essere crittato anche con una seconda chiave. In tal modo, se l'utente per un qualsiasi motivo non puo' decrittare il file/messaggio con la propria chiave segreta, c'e' qualcuno (ovvero il possessore della ADK) che puo' comunque farlo. Il problema sta nel fatto che questo bug consente di modificare la chiave pubblica di un utente aggiungendoci una ADK *SENZA* che l'utente possa impedirlo e ne venga a conoscenza, e senza modificare il fingerprint della chiave stessa. Questo perche' l'inserimento di questa chiave addizionale puo' avvenire in una parte di chiave che riguarda la self-signature non coperta dall'algoritmo di hashing (mentre le ADK legittime vengono inserite in una parte protetta dall'algoritmo di hashing). Ci sarebbe da chiedersi PERCHE' e' stata lasciata una zona della chiave non protetta da questo algoritmo e quindi modificabile, rendendo difficile l'individuazione di questa modifica. Una chiave modificata puo' essere individuata con PGP 6 se si clicca su una chiave nel PGPKeys e si guardano le proprieta' (oppure si abilita la colonna "ADK"). Se c'e' una ADK viene segnalato. Cio' non toglie che e' impossibile sapere se quella ADK e' stata inserita in modo "legittimo" o meno. Tra l'altro, gli utilizzatori di PGP 5 e 6 per Linux non hanno la possibilita' di fare questo controllo. Quando crittiamo un messaggio per una chiave pubblica che prevede una ADK, il fatto ci viene notificato se l'ADK non e' presente nel nostro pubring. Pare che la notifica NON avvenga (anche con l'opzione apposita di warning attivata, che quindi sembrerebbe non funzionare affatto nel modo in cui dovrebbe) se invece l'ADK e' presente nel pubring: il messaggio viene crittato anche con l'ADK, SENZA che venga stampato un messaggio di avviso. In fase di decrittazione, invece, se la password viene mantenuta in memoria, cosi' come prevede una opzione di PGP, e' difficile capire che ci sono due destinatari per il messaggio. In pratica quindi bisogna fare attenzione a due cose: a) bisogna controllare che i messaggi che scriviamo non vengano crittati con delle ADK (probabilmente molti plugin che automatizzano i vari passaggi di crittazione potrebbero rendere impossibile questa verifica, quindi conviene controllare per bene il public keyring). b) chi ci scrive deve prestare attenzione al fatto che non ci sia l'indicazione di una ADK nella nostra chiave pubblica. Comunque sia, il bug non e' facilmente utilizzabile, e un utente esperto puo' rendersi conto che c'e' qualcosa che non va. Cio' non toglie che Network Associates, l'azienda che produce il PGP, sta buttando un po' troppa acqua sul fuoco. Il bug e' grosso e riguarda una feature di PGP che e' sempre stata guardata con sospetto dagli utilizzatori "storici" di PGP. Gia' nel '98 (l'ADK e' stato introdotto nel '97) e' stato posto il problema riguardante i potenziali rischi di questa funzione (a tal proposito vedi www.cdt.org/crypto/risk98/). Cio' significa che ci sono voluti tre anni per scoprire questo baco, probabilmente anche a causa delle dimensioni raggiunte dal PGP, passato da poche centinaia di Kb delle versioni 2.x ai vari mega delle versioni 5 e 6. In definitiva l'ADK e' una feature utile solo alle aziende, esplicitamente introdotta per garantire una porta di emergenza per il data recovery, utile alle industrie che non possono permettersi che un loro impiegato si dimentichi la password o muoia lasciando del materiale irrecuperabile in ufficio (testuali parole di Phil Zimmermann, l'autore di PGP). L'ADK e' una soluzione che vuole fornire un compromesso tra: - i libertari, che ritengono che la privacy e' un diritto individuale (e quindi non debbano esserci porte aperte per nessun'altro se non l'utente stesso); - le aziende, che spingono per avere la possibilita' di controllare i propri dipendenti, ben sapendo che Zimmermann e' sempre stato conscio del fatto che la spinta fondamentale per la "legittimizzazione" del PGP veniva proprio dalle aziende; - le agenzie di controllo, che preferiscono avere la possibilita' di leggere la posta di chiunque. Pochi giorni dopo la scoperta del bug, Network Associates ha rilasciato una versione di PGP patchata (6.5.8) che in realta' NON risolve fino in fondo il problema. Se e' vero che la patch impedisce di usare queste ADK "illegittime", non ne rivela l'esistenza, anzi le nasconde ancor di piu', rendendo piu' difficile l'individuazione di una chiave "alterata". Si tratta quindi di una patch molto parziale, e cio' ha provocato un coro di critiche da parte di chi si aspettava un approccio piu' radicale al problema. Sul sito www.pgp.com Network Associates mette comunque a disposizione una utility (in versione sia per Windows, sia per Linux) che permette di verificare che in un keyring non siano presenti alterazioni delle chiavi pubbliche. Tra l'altro il CERT (ente finanziato dal governo USA) ha pubblicato un documento (cert advisory CA-2000-18) che R. Senderek ha commentato evidenziandone alcuni gravi errori: secondo Senderek il Cert, una "istituzione" nel campo dei problemi relativi alla sicurezza, avrebbe sottovalutato il problema o l'ha comunque analizzato con molta leggerezza. Soluzione radicale al bug: usare PGP 2.6.3 (o precedente) Queste sono le uniche distribuzioni che non usano la versione 4 della self-signature ma la versione 3, immune al problema. Si potrebbe credere che anche GnuPG sia sicuro; in realta' lo e' solo al 50%, perche' se e' vero che GPG non critta mai per una ADK, cio' non toglie che qualcuno possa scrivermi usando una mia chiave Diffie-Hellman DH/DSS "alterata": quindi ci sarebbe qualcun'altro che puo' leggere questo messaggio. In fase di decrittazione verrebbe segnalato che il messaggio e' stato crittato per qualcun'altro, ma a volte i messaggi si criptano per piu' persone... Comunque sia, si tratta di un brutto colpo per il PGP, e probabilmente GPG guadagnera' consensi. Molti sono gli utenti che non si sono mai fidati della svolta commerciale di questo software, sebbene sia distribuito con i sorgenti: questi utenti adesso staranno sorridendo, pensando che tutto sommato la paranoia non e' una malattia. Marco Stucchi - mailto:putro@bigfoot.com -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** MSN EXPLORER: L'EVOLUZIONE DEL PERSONAL WEB ** E' appena arrivato in Italia IE 5.5 e già Microsoft parla di un nuovo browser. [ZEUS News - http://www.zeusnews.com - 2 settembre 2000] Microsoft ha annunciato in questi giorni di voler lanciare per il prossimo anno un nuovo browser Internet dal nome MSN Explorer la cui versione beta e' gia' disponibile sul sito http://www.msn.com. Particolarita' di questo nuovo programma sara' la totale integrazione con i servizi audio e video del sito MSN.com senza quindi piu' dover installare nel sistema componenti aggiuntivi ingombranti e non sempre pienamente compatibili. Accedendo al sito infatti, sara' il browser stesso a permettere l'ascolto di musica o la visualizzazione di filmati senza dover richiedere l'intervento di nessun programma esterno e senza quindi sottrarre ulteriori risorse al sistema con l'avvio di un'altra applicazione. Microsoft tuttavia fa sapere anche che con il suo nuovo browser sara' possibile personalizzare in modo estremo il sito MSN.com modificando addirittura le immagini grafiche in esso presenti, entro certi limiti. Se per esempio un navigatore non fosse interessato a notizie sullo sport, potra' cambiare l'icona grafica del sito con una inerente magari a notizie di spettacolo. Piu' semplice e immediata dovrebbe essere anche la registrazione di utenti on line. Infine si promette che MSN Explorer sara' in grado di accontentare maggiormente le esigenze di semplicita' di utilizzo richieste dalla gente, disponendo per esempio di una funzione che gli permettera' di riconoscere quando l'utente vuole scrivere un messaggio email. Sara' sufficiente digitare nella riga di comando del browser un indirizzo email e questi provvedera' a lanciare l'applicazione di posta elettronica per la composizione del messaggio. Giovannibattista Pallavicini - mailto:giovannibattista.pallavicini@zeusnews.com -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** UNA PERICOLOSA FALLA IN WORD ** Scoperto un baco nelle suite Office. Secondo Microsoft non c'è da preoccuparsi. [ZEUS News - http://www.zeusnews.com - 2 settembre 2000] Recentemente e' stato scoperto un baco nel pacchetto applicativo Office di casa Microsoft. La falla affliggerebbe tutti i programmi contenuti nella suite piu' diffusa del mondo e permetterebbe di raccogliere informazioni sugli utenti. Niente paura, Microsoft afferma di non usare questo baco per spiarci. Tuttavia altri potrebbero farlo, anche se al momento non si ha la prova di nessun fatto del genere. La situazione si pone in questi termini: è possibile inviare via Internet (come allegato in un messaggio email o via ftp) un file creato con un applicativo di Office 97 o 2000 che contenga un link nascosto all'utente che visualizza il documento stesso. Tale link si attiverebbe all'apertura del documento e raccoglierebbe le informazioni sull'utente presenti sul suo disco fisso: dai suoi dati personali, ai suoi bookmark, al suo indirizzo IP e quant'altro possa interessare. Una volta raccolti i dati provvederebbe a trasmetterli mentre l'utente è connesso alla rete e senza che questo se ne accorga all'autore del file realizzato con la suite di casa Microsoft. Informata del fatto Microsoft ha dichiarato che finche' non vi saranno prove che un tale sistema è stato utilizzato nella pratica, essa non intende adoperarsi in alcun modo per risolvere questo per ora potenziale problema. Giovannibattista Pallavicini - mailto:giovannibattista.pallavicini@zeusnews.com -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** LE VACANZE WAREZ? IN BRASILE ** Basta con la samba! La vera attrattiva del Brasile sono i CD pirata [ZEUS News - http://www.zeusnews.com - 2 settembre 2000] La pirateria in Brasile si è sviluppata vertiginosamente: e' infatti molto facile, per lo meno nelle grandi citta', imbattersi in bancarelle che vendono CD di programmi pirata. A San Paolo, in Rua Santa Ifigênia, e' addirittura possibile ordinare CD su ordinazione, scegliendo tra software non molto diffusi nei normali circuiti di pirateria. Per combattere la pirateria la ABES (Associação Brasileira das Empresas de Software) ha scatenato una campagna repressiva durante il mese di agosto, che ha portato al sequestro di tremila CD illegali. Nonostante queste azioni repressive, attualmente in Brasile il 56% dei programmi utilizzati sono illegali, con un danno per le industrie di software di circa 920 milioni di dollari. Edoardo Dezani - mailto:edoardo.dezani@zeusnews.com -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** COME TI LEGGO IL LINK ** Negli USA sperimentata una nuova tecnologia per trasferire gli indirizzi web da carta a video [ZEUS News - http://www.zeusnews.com - 2 settembre 2000] La rivista Forbes nelle scorse settimane e' uscita in edicola con un gadget grauito per i suoi lettori: un lettore di codici a barre. Si tratta proprio di un piccolo dispositivo che assolve la stessa funzione di quelli che noi siamo abituati a vedere alle casse dei supermercati, pero' in questo caso non si tratta di fare la spesa ma di navigare su Internet. Tramite questo lettore denominato CueCat o più semplicemente Cat si possono accedere con il proprio PC le pagine Web riportate dalla rivista semplicemente passando il lettore ottico sopra il codice a barre posto sulle pagine del magazine. Ad ogni codice a barre corrisponde un determinato link che lo scanner interpretata e passa al computer il quale si collega alla rete e accede al sito in questione. L'interessante dispositivo e' stato realizzato dalla Digital Convergence, una piccola start up americana, e promette di diffondersi a macchia d'olio: numerose altre riviste stanno prendendo accordi per fornirlo ai propri lettori gratuitamente. Ben presto non dovremo stupirci se accanto al "mouse" vedremo un "Cat". Giovannibattista Pallavicini - mailto:giovannibattista.pallavicini@zeusnews.com -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** ZEUS News e' alla continua ricerca di collaboratori! ** ** Se vuoi essere dei nostri, scrivici subito: mailto:staff@zeusnews.com ** -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- Il sito di ZEUS News e' http://www.zeusnews.com Sono disponibili tutti gli arretrati, consultabili liberamente. Si ringrazia per l'hosting: Near (http://www.near.it) di Alessandra Salimbene -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- Se ZEUS News ti piace, segnalalo ai tuoi amici. Passa parola! Per iscriverti (o cancellarti) dalla newsletter: http://www.zeusnews.com/major.html -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- E' vietata la riproduzione dei testi pubblicati sul presente notiziario senza l'espressa autorizzazione di ZEUS News. ZEUS News non si assume alcuna responsabilita' su eventuali errori contenuti nel notiziario. Tutti i marchi e i marchi registrati citati sono di proprieta' delle rispettive societa'. -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-