TORINOINFO


Vai ai contenuti

SERVIZI

QUOTIDIANI


TORINOINFO
Rispondendo alle vostre domande
Uno dei metodi che mi accingo a spiegare, ti permetterà di conoscere (in gergo informatico "sniffare") non solo la password di Facebook, ma anche quella di Yahoo, Gmail, Libero, Skype, Hotmail e tutti gli account più appetibili che ti passano per la testa in questo istante. Ti piacerebbe spiare il tuo partner e sapere cosa scrive e con chi chatta in tua assenza? Per scoprirlo non ti resta che proseguire la lettura, ma sappi che arrivato alla fine del post, le tue abitudini informatiche potrebbero subire un lieve cambiamento: la prossima volta che farai uso di un personal computer, che sia quello di un Internet Point, di un collega, di un amico o un parente, potresti avvertire la percezione di sentirti spiato e la sensazione di essere monitorato. =)
E' utile sapere che le passwords di un sito web vengono immagazzinate in un database in formato cifrato e in taluni casi è possibile compromettere la loro sicurezza ottenendo gli hash attraverso un attacco SQL-Injection. Quanto detto è maggiormente valido se le password in questione subiscono il processo di cifratura attraverso una comune funzione MD5/SHA1. Il processo di hashing è irreversibile e dalla stringa ottenuta non si può risalire al dato originale, anche se il cracking odierno può avvalersi dell'ausilio delle rainbow-tables (il sito linkato contiene circa 400 miliardi di termini), ovvero mastodontiche raccolte di hash precalcolati disponibili online. Per evitare questo tipo di attacco è stato introdotto l'utilizzo del "salt", un dato pseudo-casuale utilizzato dal server prima della cifratura. Con questo espediente la password cifrata dà valori ogni volta differenti pur partendo dallo stesso termine. Ricapitolando questo algoritmo legge la parola chiave scelta dall'utente, aggiunge un valore pseudo-random (il salt) e cifra la password in maniera irreversibile; Così facendo l'attacco Rainbow-tables diviene infruttuoso ed è necessario ricorrere al brute force o all'attacco a dizionario. Puoi sperimentare quanto detto cliccando qua. Similmente a Facebook, anche questo blog implementa tale algoritmo. Per esempio la parola "Torinoinfo.altervista.org" inserita per 3 volte ha dato i risultati che seguono:
" $P$9NHc0iw8.jtLIlEl0x3r.XW8kR2N8Q/
" $P$9JWc/BAqbBtMjpo8WWb/0WoDc1DlNa/
" $P$9n4PhY64hohfQVrHnoAnRbE5QpypVL.
Puoi approfondire questo interessante argomento leggendo l'articolo intitolato "Attacco hash delle password".
Per quanto possa sembrare strano, il cracking delle password, o meglio l’hash cracking, viene effettuato dall’attacker dopo aver ottenuto l’accesso al sistema, non prima. Semmai, come tentativo d’accesso si può utilizzare un login cracking, tecnica simile a quelle descritte in questo articolo ma che fa riferimento ad un contesto diverso.

L’hash cracking viene effettuato soprattutto come tecnica di privilege escalation, per mantenere l’accesso dopo un attacco, ma anche per il riutilizzo delle password in altri contesti (account cracking).

In questo articolo parlerò delle principali tecniche di password cracking, anzi, per la precisione di hash cracking. Questa operazione entra di solito in scena nella fase di post-exploitation, ovvero quando l’attacker è riuscito in qualche modo e penetrare un sistema e ad esfiltrare informazioni, come appunto il fie delle password, per esempio il SAM database in Windows, il file shadow nei sistemi Linux, il database di una web application dove le password vengono memorizzate in MD5.

Per approfondire come prelevare le password di Windows da remoto, può dare uno sguardo a questo vecchio post.

Teoria dell’Hash Cracking

Le password non dovrebbero mai essere memorizzate in chiaro, ma cifrate. Questo è quello che fanno i sistemi operativi e le principali web application in giro per Internet. Inoltre, non dovrebbero essere codificate tramite algoritmi reversibili, ma tramite algoritmi “a senso unico”, ovvero algoritmi di hashing.

Da un codice hash non si può risalire alla password che lo ha generato; l’unica cosa che si può fare è confrontarlo con il risultato di un’operazione di hashing effettuata partendo da un valore noto. Questo è proprio quello che fa un programma per garantire al legittimo utente l’accesso al sistema: l’utente digita la password, quest’ultima viene codificata con l’algoritmo di hashing e il risultato viene confrontato con l’hash memorizzato. Se i due valori corrispondono, la password immessa è valida, altrimenti no.

Ovviamente l’attacker non conosce la password, quindi per “craccarla” deve generare una quantità di candidati, dove per candidato intendo una parola in chiaro codificata con l’algoritmo utilizzato per generare la password ignota, da confrontare con l’hash; quando il candidato corrisponde, la password è stata trovata.

Un esempio concreto. Se prendiamo la parola ‘pippo’ e la codifichiamo tramite MD5, otteniamo:
pippo -> MD5 -> 0c88028bf3aa6a6a143ed846f2be1ea4
ma se prendiamo il codice hash 0c88028bf3aa6a6a143ed846f2be1ea4, non siamo un grado di risalire al messaggio originale:
0c88028bf3aa6a6a143ed846f2be1ea4 -> ???
L’unica cosa da fare è prendere delle parole, codificarle e confrontare il risultato con l’hash ignoto:
pluto -> MD5 -> c6009f08fc5fc6385f1ea1f5840e179f = 0c88028bf3aa6a6a143ed846f2be1ea4? NO
paperino -> MD5 -> b54b45b19ca1f1ddc424e6b878a53f2d = 0c88028bf3aa6a6a143ed846f2be1ea4? NO
pippo -> MD5 -> 0c88028bf3aa6a6a143ed846f2be1ea4 = 0c88028bf3aa6a6a143ed846f2be1ea4 SI!!!
La password è pippo!
Per fare questo esistono diverse strategie, fondamentalmente tre: l’attacco a dizionario, dove vengono utilizzate corpose raccolte di parole utilizzatre come candidati; quando dico “corpose raccolte”, intendo dire alcuni miliardi; l’attacco brute-force, ovvero forza bruta, dove viene specificato un charset, ovvero una serie di caratteri (per esempio, tutti i caratteri alfabetici minuscoli), la lunghezza minima e quella massima, e vengono quindi generati i candidati in tempo reale, testando tutte le combinazioni possibili del charset specificato; inutile dire che questo attacco può durare anche molto a lungo. la terza strategia è quella dell’attacco ibrido, dove viene utilizzato un dizionario come base portante dell’attacco, e per ogni parola del dizionario vengono effettuate permutazioni, trasformazioni o manipolazioni, come l’aggiunta all’inizio e/o alla fine di numeri.

Negli esempi che porto in questo articolo, utilizzo Hashcat, potente e veloce hashcracker, strumento assai diffuso nel mondo ethical e non ethical hacking:
per calcolare quanto tempo impiegherebbe un pirata informatico, sfruttando l'attacco a forza bruta, a violare il tuo account Facebook, ipotizzando per assurdo che abbia ottenuto accesso al database, che abbia in mano il salted hash della tua password (il dato criptato) e che possa tentare due miliardi (2.000.000.000) di combinazioni al secondo. Una delle password più banali e più utilizzate al mondo nel 2013 è stata la parola "password1" e per infrangerla nello scenario supposto, servirebbero comunque 13 ore e 54 minuti. Ovviamente la mia è un'ipotesi surreale e la realtà è ben altra; Tieni presente che ad oggi per provare 10 password consecutive sui server di facebook, occorrono circa 10 secondi (usando uno script in Python), dopodiché scattano le misure di sicurezza che bloccano ogni tentativo di accesso al sistema per alcuni minuti e per proseguire è necessario immettere un codice captcha. Se sull'account da forzare è attiva l'impostazione "Approvazione degli accessi", anche se si riuscisse a risalire alla password, tutto il lavoro sarebbe vano, poiché verrebbe richiesto un codice di sicurezza temporaneo a 6 cifre per l'accesso all'account da un browser sconosciuto e verrebbe inviato sul telefono cellulare della vittima. Alla luce di tale considerazione ritengo tu possa dormire sonni tranquilli. Se sei scettico o curioso puoi verificare la "resistenza" della tua password, senza perdere di vista lo scenario
Mi sono avvalso del precedente test per spingerti e spronarti a non cercare inutilmente siti, manuali o applicazioni che sostengono di farti conoscere la password di qualunque account Facebook e in pochi click: sono tutte balle! In rete puoi apprendere metodi alternativi più o meno validi o trovare particolari script e
software che non faranno mai quello che si propongono di realizzare. Ci vogliono una decina di minuti per creare un finto programma con Visual Basic:
La maggior parte di questi tool sono pure fregature e a volte veri e propri virus che simulano strumenti per il cracking della password di facebook e il loro utilizzo comporta quasi sempre seri rischi per il tuo amato computer e la tua privacy (rubano finanche i dati di accesso); Per non parlare delle peripezie e dei pericoli a cui andresti incontro visitando siti di dubbia natura. Questi ridicoli tools sono spesso protetti da password e per riscattare quest'ultima è sempre richiesto un lauto pagamento. Per comprendere l'inutilità di tali software ti basta sapere che la maggior parte di essi continuano a "lavorare" anche se immetti email o ID utente inesistenti e addirittura se ti disconnetti da internet: sono un'offesa all'intelligenza umana! Il tool proposto nel video che mostra come "Hackerare un profilo Facebook in 90 secondi", è realizzato in linguaggio Visual C#/Basic .NET ed è maledettamente accattivante e avanzato: ne consegue una notevole simulazione che rasenta davvero la realtà. NB: il software oltre ad essere una patacca è privo di virus, ciononostante il tuo antivirus potrebbe comunque segnalarti un falso positivo.
Per Facebook lavorano i migliori esperti in sicurezza informatica al mondo e importanti società come la IID SIRT (IID's Security Incident Response Team), che proteggono aziende e governi da attacchi informatici e sorvegliano e scansionano la rete alla ricerca di crimini informatici, di siti web realizzati allo scopo di phishing e di software malware e illegali che potrebbero minacciare ogni identità; Queste società di intelligence collaborano a loro volta con altri importanti membri e istituti come la APWG (Anti-Phishing Working Group), la FIRST (Forum Incident Response Security Teams) e per citarne un'altra la OTA (Online Trust Alliance), sempre al fine di prevenire e combattere il cybercrime. Facebook possiede inoltre dei sofisticati sistemi di sicurezza basati su potenti algoritmi, in grado di intercettare e individuare eventuali abusi e tentativi di accesso non autorizzati e di prendere precauzioni e decisioni in maniera del tutto autonoma. Provare ripetutamente ad accedere a Facebook con ID altrui, siano essi tentativi riusciti che falliti, potrebbe portare (nel migliore dei casi) a delle restrizioni permanenti sul proprio account, ad esempio l'impossibilità di creare pagine e applicazioni (ecco un avviso reale) e in futuro nessun utente potrebbe mai promuoverti amministratore di una pagina Facebook, poiché tale "privilegio" gli verrebbe immediatamente negato. Se quanto detto non basta per farti desistere dalla voglia di violare un account, ricordati quantomeno di riavviare il router o di camuffare l'indirizzo IP prima e dopo esserti cimentato in questa impresa utilizzando per esempio un programma come Real Hide IP (in rete è possibile reperire diversi crack).
Lascia perdere quegli stupidi e pericolosi hacks e tutti i relativi servizi online (privi persino di qualsiasi informativa) che spopolano ormai ovunque: sono solamente truffe studiate ad arte per estorcere denaro e generare traffico e fare soldi con i programmi di affiliazione (nella migliore delle ipotesi). Le simulazioni che propongo possiedono lo stesso codice script utilizzato dai tanti siti che offrono questi bizzarri (dis)servizi (ho apportato qualche modifica e ho provveduto alla traduzione). Quella dei finti servizi online è un'attività fraudolenta che si basa sull'inesperienza dei navigatori, che spinti da forti motivazioni cliccano ovunque convinti di poter così ricavare una password che in verità non otterranno mai; Infatti cambiando ID i tempi di "recupero" password sono sempre identici (nella prima simulazione li ho volutamente impostati a 10 secondi, mentre nella seconda, molto più sofisticata, variano ogni volta). C'è da dire che la sobrietà grafica, l'effetto barra progressiva e la capacità di visualizzare a video il nome, il cognome e la foto del profilo facebook da attaccare, camuffano la vera natura di questi siti, consentendo ad essi di imbrogliare agevolmente i navigatori meno esperti.

Home Page | FOTO AMICI | PAESAGGI | FOTO ARCHIVIO | CONTATTI | QUOTIDIANI | AREA RISERVATA | Mappa del sito


Menu di sezione:


Torna ai contenuti | Torna al menu