Una delle caratteristiche di Ubuntu 8.10 "Intrepid" è quella di avere una cartella nella propria Home chiamata "Private" dove stipare tutti i nostri dati sensibili. La cartella, oltre a non essere leggibile agli altri utenti (come del resto dovrebbero essere altre cartelle come .ssh .gnupg e .mozilla), è criptata con ecryptfs, una utility che sfrutta l'estensioni crittografiche integrate nel kernel Linux per avere il tutto trasparente all'utente.

Prepariamo il tutto ed iniziamo con l'installare il pacchetto ecryptfs-utils

sudo apt-get install ecryptfs-utils

Dopodiché dalla nostra cara console creiamo la directory criptata con

ecryptfs-setup-private

E inseriamo, quando richiesto, la nostra password di utente e la passfrase per criptare il contenuto della cartella. La passfrase per la cifratura della directory privata non verrà più richiesta ma è necessario segnarsela da qualche parte in caso si debba reinstallare il sistema e quindi leggere i dati crittografati.

Continua a leggere »

E' stata scovata proprio ieri una vulnerabilità nel motore di generazione casuale usato da OpenSSL. Il modulo di generazione chiavi è il solito usato da OpenSSH, OpenVPN e per la generazione di certificati SSL. In pratica un certo Luciano Bello ha scoperto che le chiavi vengono generate in maniera non troppo casuale, ovvero potrebbero essere forzate con molta facilità. Questo fatto è dovuto da una modifica da parte di Debian al pacchetto ufficiale. I sistemi Linux vulnerabili sono quindi Debian, Ubuntu e tutte le derivate da Debian, nulla esclude che chiunque usi quel pacchetto possa essere affetto dal solito bug.

Qui c'è il ticket (DSA-1571) per Debian mentre gli annunci di vulnerabilità per Ubuntu sono qui (usn-612-1) e qui (usn-612-2).

Consiglio vivamente di aggiornare la propria distribuzione e di generare nuovamente le chiavi SSH e i certificati SSL.

Il pacchetto aggiornato per Ubuntu di OpenSSL è il seguente:

openssl-0.9.8g-4ubuntu3.1