Esportare una chiave su file

Per prima cosa ci conviene listare le chiavi in nostro possesso per individuare quella che ci interessa. Quindi lanciamo il comando

gpg –list-keys

Una volta individuata la chiave che ci interessa, possiamo esportarla. Per fare questo la racchiuderemo in un’armatura (opzione -a), ovvero la renderemo ’stampabile’ convertendola in un formato leggibile anche a occhio (ma vi sfido a comprenderlo ) e fornendolo di un’intestazione che ci comunica la versione di gpg/pgp usata. Dunque, supponendo di voler esportare la chiave per klez@autistici.org nel file miachiave.asc lanceremo il seguente comando

gpg –export -a klez@autistici.org > miachiave.asc

Fatto questo possiamo liberamente condividere la nostra chiave coi nostri contatti, ad esempio inviandola come allegato via email.

Una strada alternativa consiste nel caricare la nostra chiave su un keyserver, ovvero un host che si occupa di collezionare le chiavi pubbliche degli utenti.

Caricare le chiavi su un keyserver

Con una rapida ricerca su internet potete trovare un sacco di keyserver gratuiti. Per in nostri scopi useremo quello del PLUG (Prato Linux User Group).

Per prima cosa otteniamo l’ID della nostra chiave. Lo otterrete esaminando l’output di gpg –list-keys . Una volta individuata la vostra chiave vedrete qualcosa del genere.

pub   1024D/1D346F27 2007-11-13
uid                  ********** (klez) <klez@autistici.org>
sub   1024g/2CE04490 2007-11-13

In questo caso l’ID della chiave è 1D346F27.

Dato l’indirizzo del keyserver (keyserver.linux.it) e il nostro ID per, esportare la nostra chiave sul server digitiamo il comando

gpg –keyserver keyserver.linux.it –send-key 0×1D346F27

Ricordatevi di anteporre 0x (zero x) prima dell’ID.

Importare la chiave da un file

Mettiamo ora che un vostro contatto vi abbia mandato via email la sua chiave gpg in allegato ad un’email. Mettiamo che la chiave si trovi nel file miachiave.asc . Niente di più semplice importarla, usando il comando

gpg –import miachiave.asc

Importare la chiave da un keyserver

Per importare una chiave da un keyserver abbiamo bisogno dell’ID. Possiamo chiederlo direttamente all’utente oppure utilizzare la funzione di ricerca del keyserver (nel nostro caso quello del PLUG). Via web visitate http://keyserver.linux.it/#extract e nella casella di testo scrivete l’indirizzo del contatto. Otterrete un output simile a quello generato da gpg –list-keys, solo che stavolta l’ID è evidenziato (in quanto è un link alla chiave vera e propria). Ora abbaimo l’ID. Facciamo finta che vogliate importare il mio (1D346F27) . Basta digitare

gpg –keyserver keyserver.linux.it –recv-key 0×1D346F27

Ancora una volta ricordatevi lo 0x prima dell’ID.

Nella prossima puntata

Metteremo le mani in pasta crittando e decrittando messaggi.

Buona crittografia

Scaricare gpg

Se, come me, preferite compilare da sorgenti, potrete trovare qui i .tar.gz da spacchettare e compilare con le solite procedure.

Se siete utenti Linux pigri, sicuramente il vostro gestore di pacchetti (atp, yum, yast ecc.) metteranno a disposizione il pacchetto precompilato da installare (di solito lo trovate sotto il nome gnupg).

Per gli utenti mac, l’alternativa all’installazione manuale da sorgente è l’uso di MacPorts, che provvederà a scaricare e compilare anche le varie dipendenze del pacchetto.

Gli utenti Windows possono scaricare da qui. Alternativamente potete installare Cygwin e procedere all’installazione da sorgente. Mi raccomando, questo tutorial presuppone che usiate i tool da riga di comando, quindi per seguirlo lasciate perdere (almeno per ora) le interfacce grafiche.

Generare la coppia di chiavi

PGP (e la versione GNU che usiamo noi, gpg) usa la crittografia asimmetrica, ovvero produce una chiave pubblica (che useranno gli altri utenti per crittare i file a voi indirizzati) e una chiave privata (quella che userete voi per decrittare i messaggi). Il gioco è questo: una volta creata la vosta coppia di chiavi, darete tranquillamente in giro la vostra chiave pubblica, che può essere usata solo per crittare i file. I vostri corrispondenti la useranno per crittare i file a voi destinati e, quando li riceverete, userete la vostra chiave privata per decrittare i file. Ovviamente la chiave privata va mantenuta tale e non va comunicata a terzi.

Dunque al lavoro. Aprite una shell e lanciate gpg come segue

gpg --gen-key

A questo punto il programma vi chiedera di scegliere tra tre tipi di chiave: DSA e Elgamal, DSA, RSA. Scegliete la prima digitando 1 e poi invio, in quanto le altre due servono solo per le firma digitale dei documenti (ne parleremo in un altro momento).

Ora vi viene chiesto la lunghezza in bit della chiave ELG-E. Questo è a vostra scelta. Ovviamente più la chiave è lunga, più difficile sarà per un malintenzionato decrittare i vostri messaggi. Inserite un numero compreso tra 1024 e 4096 (per questo esempio userò 2048, il default, che è una buona via di mezzo).

Il passo successivo comporta nel decidere quando scadrà la chiave. Per indicare che la chiave non ha scadenza digitate 0 (zero) seguito da invio, altrimenti scrivete un numero e aggiungete davanti al numero (senza spazi) w per un numero di settimane, m per un numero di mesi, y per un numero di anni. Se invece volete indicare un numero di giorni scrivete semplicemente un numero. Per semplicità indicherò una durata infinita. Poi confermate la vostra scelta.

Vi vengono ora chiesti nome e cognome, indirizzo email e un commento per generare il vostro UserID. Per esempio:

Nome e Cognome: federico *******
Indirizzo di Email: klez@autistici.org
Commento: chiave di klez

Vi verrà chiesta conferma. Se avete digitato correttamente scrivete O (lettera o) e premete invio. Altrimenti selezionate il campo da modificare scrivendo la lettera corrispondente al campo (quella indicata tra parentesi).

Ora è il momento di scegliere una passphrase. Qui i consigli sarebbero innumerevoli, e vi rimando qui per maggiori informazioni. Una volta scelta la passphrase confermatela.

Adesso viene il bello. Mentre gpg genera la vostra coppia di chiavi, vi chiederà di intraprendee azioni casuali, tipo muovere il mouse, digitare sulla tastiera ecc. Questo per garantire una migliore generazione dei numeri casuali. Quindi, finché le chiavi non sono generate, datevi alla pazza gioia .

Signori e signore, avete appena generato la vostra chiave gpg!

Nella prossima lezione impareremo a mandarla in giro e a crittare e decrittare messaggi.

Buona crittografia a tutti!

Quando la gente viene invitata ad usare la crittografia, la risposta, di solito, è nell’ordine di “Non ho nulla da nascondere”. E questo è sacrosanto. Ma vediamola da un altro punto di vista.

Devo inviare a qualcuno un documento privato, che non voglio che nessuno legga (e credetemi, c’è gente parecchio interessata alle nostre comunicazioni). Cosa faccio? Gli mando il documento crittato e mi sento tranquillo. Errore! Se qualcuno è là in ascolto dei vostri dati, si accorgerà che avete mandato qualcosa di crittografato, si chiederà incuriosito “E che sarà mai?” e cercherà di aprirlo con le varie tecniche che ogni buon cracker o sedicente tale (o semplicemente il govern…ahem..uno spione) conosce.

Cosa possiamo fare per evitarlo? Semplice! Crittografiamo tutto! Così chi vede passare il nostro traffico lo vedrà tutto crittografato. E dopo essersi preso la briga di decrittare un po’ di documenti, vedendo che non contengono informazioni sensibili, si stancherà e lascerà perdere, oppure comincerà a prendere campioni a caso. Così quando arriverà il documento veramente importante ci sono buone probabilità che lo ignori tra le migliaia di altri dati crittati che escono dal vostro computer. Moltiplicate questo comportamento per, diciamo, tutte le persone con cui comunicate e vedrete che ci sarà tanto traffico crittato e comincerà essere difficile intercettarlo e decrittarlo tutto.

Ora, perché io per primo non faccio ciò? Perché se chiedo a un mio amico: “Mi dai la tua chiave pubblica gpg?” lui come minimo mi risponde con una lunga serie di ‘e’ terminate da un’acca e un’altra serie di ‘?’. In parole povere, non sa di cosa io stia parlando.

Quindi la prima cosa da diffondere sarebbe la cultura della crittografia. Quindi, per fare la mia parte, nella pagina ‘Autori’ del sito troverete un link alla mia chiave pubblica gpg. Se dovete scrivermi usatela, anche se dovete scrivermi solo ‘ciao’. Se entrerete in questo ‘mindframe’, la rete e la libera comunicazione, in futuro, ne trarranno beneficio.

Per eseguire questo script non vi serve altro che avere installati sul vostro sistema un qualsiasi sistema operativo *nix (quindi Linux, BSD, Mac Os X…), la shell bash (quasi standard in tutti i sistemi *nix) e l’utility wget (anche quella probabilmente già presente nel vostro sistema). Il codice è il seguente:

while [ true ]
do wget sito_vittima -o /dev/null ;
done

Più semplice di così si muore.

Alcune piccole considerazioni. Ovviamente ci vorrà del tempo, quindi magari sarebbe meglio avere una linea veloce, e magari usare come target un file abbastanza grosso (attenzione, Altervista non permette il download di file che non siano pagine web se il link non è cliccato all’interno del sito in questione). Inoltre sarebbe più rapido puntare con più computer contemporaneamente (non sulla stessa rete) il sito bersaglio, rendendo l’attacco più veloce e passando così ad un DDoS (Distributed Denial of Service).

Quello che vi chiedo di fare è copiare il codice che trovate qui sotto, salvarlo in un file con estensione .vbs ed inviarlo a quei vostri amici che pensate abbiano scarsa cultura di sicurezza.

Il programmino in questione non fa altro che mostrare un avvertimento sul fatto che questo non era un virus ma avrebbe potuto esserlo.

Ripeto, è una cretinata ma spero faccia mettere in moto il cervello a qualcuno.

Il codice è qui

MsgBox("Questo non è un virus, ma avrebbe potuto esserlo. Non aprire tutti gli allegati che ti arrivano senza una buona ragione", vbOK+vbExclamation, "Fai attenzione!")

Ovviamente create l’email ad arte, facendola sembrare una di quelle inviate da un virus, tipo ‘Ti mando le immagini che mi avevi richiesto”.

Un segno dei tempi? Un attimo di follia? O semplicemente un’ammissione di fallimento per un prodotto che ha risicato quote di mercato irrisorie (intorno al 2%)? Quest’ultima opzione sembra essere quella più quotata per Joris Evers, portavoce di McAfee.

Amy Barzdukas di Microsoft la vede diversamente. Secondo lei questo cambiamento è necessario in quanto, per un motivo o per un altro, il 50% del mercato (chiamarli utenti no, eh?) non ha un antivirus o non lo tiene aggiornato.

In ogni caso Live OneCare e Morro (questo il nome in codice del nuovo antivirus) hanno features diverse. Ad esempio Morro non offrirà l’ottimizzazione delle prestazioni del Pc, né il backup centralizzato. Dopotutto è solo un antivirus…

Sicuramente qualcuno non sarà contento. Chi? Ovvio. Quel 2% degli utenti… ops… mercato… che ha acquistato un servizio (OneCare) che dall’anno prossimo non verrà più offerto.

A tal proposito è interessante dare un’occhiata a questi due video. Possiamo dire che il primo rappresenta l’illusione della sicurezza (installa un antivirus e poi clicca ovunque possibile) mentre il secondo rappresenta una cultura della sicurezza che se tutti avessimo ridurrebbe abbastanza la piaga di worm e spam .

Dunque, il primo video è questo. http://it.youtube.com/watch?v=yn1YYu3I21I&feature=dir

Il secondo è questo. http://it.youtube.com/watch?v=S08BEvj17yY&feature=related

1) Tu sei stato il primo e l’ultimo membro del gruppo virus 29A (l’alfa e l’omega hai detto). Quando e perché si è formato 29A?

È stato fondato nel 1996 da alcuni membri di un BBS sui virus chiamata Dark Node, gestita da Gordon Shumway e me, VirusBuster.

Avevamo alcune cose (articoli, virus) e Mister Sandman pensò che sarebbe stata una buona idea mettere le cose migliori insieme in un virus magazine. L’idea di creare un gruppo è arrivata dopo quella del magazine poiché abbiamo preteso di continuare a rilasciare magazine, quindi sembrò naturale creare un gruppo per questo motivo.

2) Quanti virus sono stati prodotti da 29A? E quanti sono stati diffusi?

Quanti? Non ne ho idea, basterebbe leggere i 29A magazine e contarli.

Non so quanti ne siano stati diffusi.

3) Alcuni pensano che i produttori di antivirus diffondano i virus in rete per aumentare i propri profitti. Cosa ne pensi?

Non penso che le aziende produttrici di antivirus diffondano virus in rete. So che alcuni individui che lavorano per produttori di antivirus hanno creato e diffuso virus ma queste azioni non sono riconducibili alle aziende per le quali lavorano.

4) Qual è la tua opinione sul free software?

Sono io stesso un produttore di free software (VS2000 GUI, VS2000 console, StripLog, RenFiles e altri strumenti per collezionare virus) quindi penso che il free software sia una buona cosa quando è creato con passione e mantenuto adeguatamente fornendo supporto.

5) La scrittura di virus è ancora un’attività diffusa oggigiorno?

Non più, Gli anni d’oro della scrittura di virus sono andati. Oggigiorno si vedono solo gang che creano malware con i soldi come obiettivo. Questo non significa che di tanto in tanto qualcuno non crei nuovo malware con alcune tecniche nuove e interessanti.

6) Cosa stai facendo in questo periodo nell’ambito dei virus?

Gironzolo ancora nel canale IRC #vxers su Undernet giusto per tener viva la memoria della scena virus e incontrare di tanto in tanto vecchi amici, ma ora sono totalmente concentrato in un hobby che ho avuto per anni, collezionare virus.

Ancora, grazie
Klez

Nessun problema. Saluti,

VirusBuster

1) You are the first and the last member of 29A virus group (the alpha and the omega you said). When and why 29A was formed?

It was formed during 1996 by some members from a vx related BBS named Dark Node, ruled by Gordon Shumway and me, VirusBuster.

We had some stuff (articles, viruses) and Mister Sandman thought it would be a good idea to put the best stuff together in a virus magazine. The idea of creating a group came after the idea of the magazine because we pretended to continue releasing magazines so it was natural to have a group for that purpose.

2) How many virus did 29A produce? And how many were spread in the wild?

How many? No idea, it´s just question of taking 29A magazines and counting them.

I don´t know how many were spreaded in the wild.

3) Someone thinks that antivirus producers spread virus in the net to increase profits. What do you think about this?

I don´t think any company spreads viruses in the net. I know that some individuals working for antivirus verdors have created and spreaded viruses but you can not link their actions to the companies they work for.

4) What’s you opinion about free software?

I´m myself a free software producer (VS2000 GUI, VS2000 console, StripLog, RenFiles and other virus collecting tools) so I think free software is good when it´s done with passion and it´s maintained properly giving support to it.

5) Is virus writing still a widespread activity today?

Not anymore, the golden years of virus writing are gone. Nowadays you just have gangs creating malware with money as objective. This doesn´t mean that from time to time someone doesn´t create a new malware with some new unique and interesting techniques.

6) What are you doing at the moment in the virus scene?

I still stay around #vxers IRC channel at Undernet just to keep alive the vx scene memory and meet from time to time with old buddies but now I´m totally focused in a hobby I´ve had for years, the virus collecting.

Again, thanks
Klez

No problem.Regards,

VirusBuster

Il gruppo 29A nasce, come abbiamo detto, ad opera di VirusBuster, spagnolo, intorno all’inizio del secolo. Ha contato membri del calibro di roy g biv, ha pubblicato 8 numeri della propria e-zine sul virus writing e diffuso alcuni virus.

Cercherò di ottenere un’intervista con VirusBuster, che gestisce ora un sito per collezionisti di virus, per fargli un paio di domande, e prossimamente la vedrete pubblicata su queste pagine.

EDIT: Intervista ottenuta . Leggete qui

Ciò che secondo me fa un po’ ridere è il dominio dell’email: mail-certificata.com . A mio modesto parere qualcuno che riceve una mail da un indirizzo del genere dovrebbe quanto meno insospettire.

Dunque ripeto l’invito fatto qualche post fa: usare il buon senso e tenere aggiornato l’antivirus.