[e-privacy] CS: Server sicuri
Leandro Noferini
lnoferin at cybervalley.org
Wed Jul 13 11:20:48 CEST 2005
Emanuele Olivetti scriveva:
> So che ci sono delle tecniche per rilevare se si e' dentro VMWare o
> in generale in una honeypot, proprio analizzando i valori del bios
> che ti trovi trovi in /dev/mem ecc.. Non conosco l'argomento e non
> so stabilire se la 'honeypot detection' funziona in _ogni_ caso.
> Forse per essere sicuri del proprio bios bisognerebbe aggiungergli
> funzionalita' di autenticazione basate su crittografia (trusted
> computing al contrario? Oddio.. :), ma mi fermo qui nella
> speculazione.
>
> Qualcuno ha commenti sull'argomento?
Mah, forse l'unico che mi viene e' che dipende dalle situazioni: gia',
bella cazzata.
Secondo me ogni situazione deve essere analizzata per determinare
quanto necessario: ad esempio l'idea del cifroserver (che conto di
continuare a sviluppare) veniva non dalla necessita' di _nascondere_
quanto contenuto nel server ma di renderlo disponibile solo sotto la
supervisione di chi ne possiede la chiave. Questo partendo proprio
dalla situazione particolare in cui e' nata l'idea (server casalingo
destinato ad uno scopo preciso senza alcun tipo di dato personale).
Un approccio di questo genere e' invece difficilmente applicabile a
casi molto diversi come ad esempio il server di autistici, tanto per
rimanere in cronaca: li' hai la posta di utenti che hanno poco o nulla
a fare con te, di conseguenza _una_ _sola_ chiave che apra tutte le
porte (o meglio una sola porta da aprire, anche con la chiave piu'
potente che c'e') mette in una pessima situazione chi quella chiave
possiede. Per un caso cosi' complesso non ho al momento idee pronte.
Ancora diversa e' la situazione del server del Flug: questo contiene
un po' di dati personali (posta personale di pochi e pochissimi
utenti) ma ha il suo principale scopo nell'offerta di servizi
(soprattutto liste e un pochino di web); di conseguenza e' necessario
che possa ripartire quanto piu' automaticamente possibile anche
perche' si _deve_ presupporre che i dati personali contenuti (cioe' la
posta dei pochi utenti) sia protetta a prescindere (cioe' cifrata) e
se non lo e', come si dice a casa mia, sculo. In questo c'e' il "buco
nero" delle chiavi del remailer, le quali sono un dato quanto mai
delicato: per queste secondo me la cosa migliore Ú mettere tutto
quanto riguarda il remailer in una partizione cifrata che deve essere
montata esplicitamente dagli amministratori ad ogni riavvio.
Ancora diverso il caso del computer veramente personale ma sto
diventando prolisso.
--
Ciao
leandro
..... e saluti al brigadiere.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20050713/3ac8f15e/attachment.pgp>
More information about the E-privacy
mailing list