Menu

Cripto

Miners

Come te scracco la PWD … Hashcat

0

Hashcat è sicuramente tra gli strumenti più veloci per il recupero delle password, tanto che in pochi millesecondi è in grado di rompere codici abbastanza complessi 

Questo è stato maggiormente possibile con l’esplosione delle apparecchiature in uso ai Miners delle cripto valute

Infatti, già in tempi non sospetti, avevo sottolineato il fatto che l’invasione di queste apparecchiature, inizialmente  nate per le schede grafiche (GPU), man mano sono andate a specializzare per l’uso dei miners e quindi rottura codici

Oggi basta mettere su una macchina da 10K$, una diecina di schede GPU, per avere un sistema che rompe pwd alla velocità della luce

 

Qui in video dell’utilizzo di Hashcat da Kali

Quantis-PCIe-New-Generation-1

Dare i numeri … giusti

0

Ci sono momenti in cui è necessario disporre di numeri casuali che siano effettivamente casuali

Per questo ci vengono incontro le schede della  Quantis QRNG PCIe New Generation
che sono delle schede PCIe ad alte performance con a bordo un Quantum Random Number Generator:

  • Based on latest Quantis QRNG technology (IDQ20MC1 chip)
  • 40 Mbps and 240 Mbps entropy source
  • Embedded NIST 800-90 A/B/C compliant DRBG
  • Health monitoring and failure detection mechanism at chip level
  • Easy integration with Quantis Software & compatible with other Quantis PCIe and USB

Ovviamente da utilizzare con la libreria LibSodium

SRA-Series-540x540

Transition SRA

0

Alcuni giorni fa mi sono imbattuto in questo prodotto e la cosa ovviamente mi ha incuriosito

In pratica dovrebbe essere una “primordiale cifrante”, dico primordiale in quanto non sono riuscito a trovare documentazione sul suo sistema vero e proprio di cifratura, ma comunque si basa su OpenVPN quindi devo supporre che sia quello standard delle VPN

Comunque, tale sistema ritorna maledettamente utile per tutti quei vecchi sistemi IP che non hanno nativo la possibilità di utilizzare certificati digitali e quindi comunicazioni cifrate, nonché incapsulare flussi IP in sottolivelli di VPN, cosa consigliata in particolari situazioni

Se funziona e garantisce un livello di cifratura adeguato, la cosa potrebbe essere effettivamente interessante, come anche particolare il fatto che OpenVPN è aggiornabile su tali sistemi, quindi seguirebbe i vari upgrade, cosa da non poco

E tra l’altro non credo che abbia il costo di una cifrante

Questo il sito del prodotto

template_hero

Easy Secure Photos (ESP)

0

Una nuova tecnica di encryption denominata Easy Secure Photos (ESP) per tenere le foto in cloud come quello di Google Photos, Flickr, Imgur, etc. senza nessuna perdita da parte del Columbia Engineering 

Attendiamo che qualcuno applichi tale tecnologia e comunque dateci una occhiata potrebbe avere risvolti inaspettati

front

ABE – Attribute-Based Encryption

0

Era un po di tempo che attendevo questa comunicazione in quanto già da prima del 2015 sostenevo la necessità che le aziende iniziassero a prendere coscienza delle soluzioni crittografiche e quindi di dotarsi di personale in grado di dominare tale scienza

Anche se molti pensano che basti prendere un dato e cifrarlo per aver esaurito il compito, in effetti la cosa non è proprio in questi termini ed ha risvolti avvolte anche molto costosi e pericolosi

Ci sono vari aspetti che vanno considerati, tra cui l’importanza del dato, la quantità dei dati, la qualità/rumore del dato, l’hardware a disposizione, i canali di comunicazione, l’algoritmo di cifratura, la grandezza delle chiavi ed infine il fattore umano (spero di aver almeno elencati i maggiori)

Quindi è chiaro che la cosa non è poi così semplice e servono competenze anche molto trasversali se non si vuole rimanere schiacciati dei sopra citati fattori

Ho sempre sostenuto che è necessario il giusto algoritmo per ogni diversa soluzione, altrimenti si rischierebbe di sparare alla mosca con il cannone o presentarsi con un coltellino svizzero davanti ad uno con una 45 magnum, in entrambi i casi un problema

Come pure la gestione delle chiavi che siano pubbliche o private, prevede anche qui una competenza non semplice da trovare, ma direi di più, trovare la persona giusta, ricordatevi sempre che state dando le chiavi dell’azienda a terzi

Una soluzione per mitigare, o meglio, per limitare rischi e danni, è quello di sezionare il più possibile la “torta” in modo che in caso di perdita di dati, ovvero perdita delle chiavi, il danno si limiti all’esposizione data dalle sole chiavi perse (… qualche briciola di torta forse vi rimane)

Per questo la soluzione delle crittografia ad attributi è la via corretta da intraprendere

   

  

Microsoft Word - yjnca_2068_ABE in Cloud Computing A Survey, Gap

L’ABE fondamentalmente si basa sul concetto degli attributi, cioè viene generata una chiave privata che funziona solo se certi attributi vengo soddisfatti

Tale tecnologia permetterà anche di poter dosare le “forze crittografiche” in base al dato da proteggere e quindi avere un ritorno economico e prestazionale, in poche parole “una risposta adeguata al possibile attacco”

Vi lascio una paio di articoli di approfondimento sulla ABE di leggera lettura che possano quindi introdurvi a queste nuove tecnologie matematiche e di trattamento del dato

A Gentle Introduction to Attribute-Based Encryption di Daniel Kats (Principal Researcher @ Symantec Research Labs.) – Medium

MY TAKE: Agile cryptography is coming, now that ‘attribute-based encryption’ is ready for prime time di Byron V. Acohido

Ma soprattutto il podcast Everything you should know about ‘attribute-based encryption di Dr. Brent Waters, of NTT Research Lab