Hacker Password
22 Febbraio Feb 2017 1600 22 febbraio 2017

Password in Rete, così gli hacker le scovano in quattro mosse

Utilizzo di vecchi leak. Identificazione numerica dell'utente. Stringa di caratteri. Accesso ai servizi online. Un video mostra come in 15 secondi i cyber criminali possano rubare le nostre credenziali.

  • ...

A chi non è mai capitato di ricevere dei messaggi via Skype da contatti di cui non si hanno ormai più notizie? Non è nostalgia, come si può evincere dal contenuto delle chat, cioè dei link senza molto altro, ma solo un tentativo di indirizzare gli utenti bersaglio su siti malevoli. Il mantra in questi casi è non cliccare sugli indirizzi inviati da quegli utenti quasi dimenticati. A preoccupare però è la quantità di account che sono stati violati. Dietro non c'è però una misteriosa spektre, ma soprattutto mail e password che gli utenti tendono a mantenere uguali su tutte le piattaforme a cui si iscrivono.

DA LINKEDIN A YAHOO! Così capita che leak recuperati in tempi più o meno recenti diano ai cyber criminali chiavi in mano tutta la vita digitale degli utenti. Insomma, i pirati informatici che hanno recuperato le credenziali di accesso degli utenti tra provider e siti di varia risma, da Yahoo! a Linkedin passando per Badoo fino famoso sito di dating Ashley Madison (leggi i sei attacchi hacker più grandi del 2016), sono in possesso di una miniera d'oro. Condivisa con tutto il mondo.

La regola d'oro è sempre la stessa: diversificare le password.

I leak infatti sono pubblici «e averli completamente a disposizione non è così complicato», spiega Pawel Zorzan Urban, Security manager di Segment, che questi file li ha analizzati a fondo, «e gli algoritmi di sicurezza generati dai sistemi per schermare le password sono facilmente aggirabili. Senza contare che la maggior parte degli utenti utilizza mail e password identiche per i più svariati servizi. Ottenuta una chiave si entra dappertutto».

POCHI E SEMPLICI PASSAGGI. Come dimostra il video sotto, in pochi passaggi un cyber criminale può arrivare ad avere in mano la password del nostro profilo Linkedin andando a scovarla nel leak che ha colpito il social network del lavoro cinque anni prima. Pochi e semplici i meccanismi per chi mastica righe di codice e comandi. In questo caso abbiamo voluto simulare il recupero delle credenziali Linkedin di Andrea Zapparoli Manzoni, membro del consiglio direttivo dell'Associazione italiana per la sicurezza informatica (Clusit) che si è offerto “volontario”.

  • Così un hacker può rubare la nostra password.

Siamo dunque all'interno del leak di Linkedin del 2012 e partendo dalla mail di Manzoni andiamo in cerca della sua password. Sapendo che la mail è “azmanzoni” cerchiamo lo stesso testo nel leak. Troviamo quindi la mail intera “azmanzoni@jargon.it”. A questo punto sappiamo l'identificazione dell'utente su Linkedin (2024644 nel file1.txt) e diamo il comando per accedere alla password che si trova nel file 2.txt dove ci sono le password degli utenti abbinati alla loro identificazione numerica.

RISPOSTA IN 15 SECONDI. Da qui i due passaggi fondamentali che mostrano quanto sia facile appropriarsi di una password non complessa (meno di 12 caratteri e senza quelli "speciali"): scovata la posizione viene restituita una stringa di testo alfanumerica di 40 caratteri. Sono la risposta dell'algoritmo di sicurezza (che ai tempi non era tra i più solidi). Il comando successivo “find_hash.sh”, creato dal nostro hacker in diretta, permette in sostanza di cercare online tutte le password che sono già state violate da altri partendo proprio dallo stesso leak. Servono meno di una quindicina di secondi per avere risposta: la password di Andrea Zapparoli Manzoni su Linkedin nel 2012 era “JOY666”.

Il solo leak di Linkedin ha portato al furto di 117 milioni di combinazioni di username e password.

L'attacco al sito di incontri Ashley Madison ha colpito gli account di oltre 37 milioni di iscritti dove le password più comuni erano “123456” e “password”

Fatta fuori la prima vulnerabilità arriva la seconda: gli utenti che utilizzano la stessa password, per di più poco complessa, per tutti i servizi in Rete. La facilità di cui sopra, sottolinea lo stesso Manzoni «dimostra quanto sia importante utilizzare password differenti per i nostri diversi account». Poi ci sono i numeri: il solo leak di Linkedin ha portato alla sottrazione di 117 milioni di combinazioni di username e password di altrettanti utenti. Sono 6,5 milioni gli account risultati con password decriptata.

GUAI ANCHE PER LE AZIENDE. Allo stesso modo un attacco come quello al sito di incontri Ashley Madison ha esposto gli account di oltre 37 milioni di iscritti dove le password più comuni risultavano essere “123456” e “password”. Una stima del sito specializzato Ars Technica quantifica in circa 11 milioni le chiavi di accesso individuate. Molte delle quali registrate da mail aziendali. Il che apre le porte delle imprese alle scorribande dei cyber criminali. Un tema che è stato al centro anche della presentazione del rapporto Clusit da cui è emerso un 2016 da «allarme rosso» riguardo le cifre sul cybercrime che ha visto la crescita maggiore in settori come la sanità, la grande distribuzione organizzata e in ambito bancario e finanziario.

© RIPRODUZIONE RISERVATA

Correlati