sabato 20 febbraio 2010

Usare Google per craccare una password

  Come usare Google per crackare una password

passwordC’era una volta.. un team di esperti di sicurezza informatica della Cambridge University che voleva scoprire la password di un hacker cattivo e così decise di cercarla con Google.. se ci tenete alla vostra incolumità continuate nella lettura
Per molti cracker/hacker (decidete voi il termine che vi sembra più appropriato;) andare a bucare un sito che si occupa di sicurezza dimostra una certa abilità ed è motivo di vanto tra i “colleghi”. È probabilmente questa la ragione che ha spinto un filibustiere, apparentemente Russo, a sfidare e infrangere le barriere del blog Light Blue Touchpaper mantenuto da una squadra di specialisti della sicurezza dell’Università di Cambridge. Il pirata è innanzitutto riuscito ad entrare nel pannello di amministrazione del sito e, in seguito, da semplice utente è stato capace di ottenere i diritti di amministratore del blog sfruttando una vulnerabilità di Wordpress finora sconosciuta.
Ma la parte più interessante della storia ha da venire.
Ad un certo punto i ragazzi del blog hanno cominciato le loro indagini e si sono chiesti la cosa più ovvia: che password ha utilizzato lo sconosciuto per entrare? Le tracce lasciate nel database ovviamente c’erano, ma come molti di voi sapranno sono codificate in MD5 a 128 bit e decriptarle è un lavoro decisamente duro.
Teoricamente, infatti, essendo un processo one way dovrebbe essere impossibile, partendo dall’output (MD5 hash), risalire alla stringa di input, o meglio, avreste bisogno di una potenza di calcolo che solo un migliaio di computer messi assieme e lavorando contemporaneamente potrebbe darvi.
Ma Steve Murdoch, autore della scoperta e admin del blog attaccato, non si è fatto intimorire dalla matematica e dalla logica e ha sfidato l’MD5. Nonostante la solerzia e l’ingegno delle strategie messe in atto tutti i tentativi fallivano clamorosamente l’uno dopo l’altro, finchè Murdoch, preso dallo sconforto e senza alcuna pretesa ha preso l’hash 20f1aeb7819d7858684c898d1e98c1bb dal database e l’ha inserito su Google. Et voilà: ecco venir fuori “Anthony”. Incredibile a dirsi, ma “Anthony” era proprio la password decifrata che Steve stava cercando, il cui hash MD5 era contenuto nientemeno che nell’URL di alcuni dei siti (questo per esempio) trovati con la semplice ricerca su Google (se inserite l’hash ora invece verranno fuori solo articoli che parlano di questa scoperta:)
Qualcuno dirà: e con ciò? Perchè tutto questo “apriti cielo!”? Dunque, una conseguenza logica d questa fortuita scoperta è che anche senza avere grandi conoscenze di hacking un amministratore che ha accesso ad un database (per esempio di un forum che voi frequentate) può ovviamente leggere la vostra email, user ed MD5. Mettiamo ora che l’amministratore non sia proprio una personcina per bene e utilizzi il trucchetto di Google ricavando la vostra password. Sapendo che la maggior parte degli “utonti” usa sempre la medesima password potrebbe cercare il vostro nickname altrove e con buone possibilità entrare lì dove solo voi potreste: praticamente ovunque.
Naturalmente chi si occupa di questo tipo di crimini informatici usa sistemi più sofisticati di Google come ad esempio le Rainbow Tables che coprono un’infinità di hash MD5 e tramite le quali con un programma come ophcrack è possibile scovare una password comune in pochissimi secondi.
Vi ho spaventati abbastanza? Non avete capito un tubo di quello che ho scritto? Qualunque sia la domanda e qualunque sia la risposta ecco un piccolo gioco per passare il tempo:
- andate qui (tranquilli il sito è sicuro;) e calcolate il codice MD5 della password che utilizzate abitualmente per il login sui siti (per il processo inverso e se siete curiosi di sapere se comunque la vostra password è già stata decriptata potete provare questo ;)
- copiate il risultato e incollatelo su Google
Se viene fuori anche un solo risultato e anche se non avete capito nulla di quello che sta succedendo o che avete letto finora, se ci tenete alla vostra privacy, alle vostra identità o al vostro conto in banca, vi consiglio vivamente di cambiare immediatamente la password che vi è tanto cara ;)
PS ho testato la mia password e stranamente sono salvo. A voi com’è andata? :D

Nessun commento:

Posta un commento