Tag: password

Cambiate la password di Linkedin. ADESSO.

Benché il sito non abbia ancora diramato una nota formale, pare che LinkedIn sia stato vittima di un furto di oltre sei milioni di password.

Come atto precauzionale è altamente consigliabile modificare immediatamente la propria password di LinkedIn.

Avrei dovuto avere dei dubbi quando ieri mi è arrivato l’invito di connessione al network di contatti da parte di una farmacia.

Le password rubate sarebbero 6.458.020 hash SHA-1 senza salt.

Con ogni probabilità i dati rubati sono limitati alle password e non alle email associate alle medesime. (via Naked Security)

Aggiornamento 7/6/2012 – Linkedin ha finalmente confermato il furto di password. Le password degli account interessati sono state resettate e i titolari hanno ricevuto una mail in cui viene spiegato cosa sia successo e vengono invitati a modificare la password.

06/06/2012
La falsa sicurezza dei default

Una delle iniziative intraprese da Microsoft negli anni scorsi per “aumentare la sicurezza” è stata quella di cambiare le impostazioni predefinite di un sistema operativo server appena installato.

Così Windows 2008 appena installato ha attive un sacco di impostazioni assolutamente inutili che non servono assolutamente a nulla, se non ad intralciare il lavoro del SysAdmin che sta installando il server.

All’avvio viene chiesto di specificare una password di Administrator, ma è attiva la policy di complessità della password. Il risultato è che se si scrive Password1 il sistema la accetta, mentre qualcosa tipo lasicurezzanonèneidefault viene rifiutato.

02/06/2012
Quanto è sicura una password?

Passfault è un programma open source che verifica la resistenza delle password.

Il programma analizza una password e cerca di stabilire quanto tempo sia necessario per crackarla in base ad alcuni parametri definiti. Ovviamente l’analisi che viene fatta è agnostica rispetto all’utente: per ovvi motivi il programma non prova le password che contengono dati correlati all’utente, che potrebbero, invece, essere ineriti nel dizionario di un programma di attacco che voglia prendere di mira un utente specifico.

È disponibile anche una versione online in https, anche se per verificare le proprie password è bene scaricare e installare i sorgenti Java. (via nakedsecurity)

27/05/2012
La bella idea di appendere le password del WiFi

Le password sono una rottura di balle, specialmente per chi non è sensibile al problema della sicurezza.

Molte realtà hanno una rete wireless, sia essa collegata alla LAN interna oppure direttamente ad Internet per gli ospiti.

In moltissimi di questi casi le password sono scritte in maniera visibile, specialmente quelle degli ospiti perché sembra che la cosa dia un senso di buona ospitalità e non debba costringere l’ospite a chiedere di poter usare la rete.

Bella idea, finché non arriva una troupe televisiva a fare delle riprese in HD:

Photo by Matthew Pascucci

13/05/2012
Analisi di un tentativo di compromissione
Analizzare i tentativi di attacco dei server è sempre un’esperienza istruttiva per il SysAdmin.

Questa notte ho analizzato il tentativo di attacco, abortito per varie ragioni tra cui avere il sistema aggiornato, al server web di un cliente.

L’attaccante ha sfruttato una vulnerabilità di un vecchio script dimenticato per caricare alcuni file, ma poi non è riuscito ad andare molto più in là.

Uno di questi file è uno script shell bash che fa una cosa interessante:
```
count=0
blankLine=" "
find / -name "*conf*.php" >> PATHS 2> /dev/null
TOTAL=`grep -c . PATHS`
for i in `cat PATHS`;
do
grep -i pass $i > tmp
perl -wne'while(/\x27(.+?)\x27/g){print "$1\n"}' tmp >> pass.tmp
perl -wne'while(/\x22(.+?)\x22/g){print "$1\n"}' tmp >> parole.tmp
count=$[count + 1]
echo -n -e " \r$blankLine\r "
echo -n -e " $count - $TOTAL "
done
```
Traducendo in italiano, lo script cerca tutti i file PHP il cui nome contiene conf e poi cerca di estrarre le password registrate in quei file.
28/04/2012
Non lamentatevi se poi vi bucano

La scelta delle password è un bel problema.

Se poi uno si trova davanti ad un messaggio del genere diventa ancora più un problema:

Questo messaggio viene presentato da un sito i cui dettagli non rivelo per motivi professionali, ma in cui la sicurezza non è uno scherzo.

Più di una volta mi sono trovato davanti a situazioni del genere. Siti che non accettavano i caratteri che avevo messo e non era nulla di esotico: parlo di caratteri nel set degli ASCII stampabili presenti su una tastiera USA.

Se le persone mettono pippo123 come password potrebbe non essere tutta colpa loro.

18/10/2011
La giusta scelta della password

La forza di una password è inversamente proporzionale alla facilità con cui un sistema automatico riesce ad indovinarla.

Posto che non vengano utilizzate parole incluse nei dizionari di password (123456, password, password123) e nei dizionari propriamente detti, ad un attaccante restano o un attacco probabilistico o la forza bruta.

Bisogna chiarire subito che i sistemi attuali di attacco non si fanno più fregare dalle permutazioni simil-1337, quindi p@55w0rd ha la stessa forza di password.

L’attacco basato sulla forza bruta deve fare i conti con una progressione geometrica del numero di tentativi. Consideriamo l’insieme delle lettere dell’alfabeto internazionale minuscole e maiuscole (52), le cifre dei numeri arabi (10), e, per puro esercizio, 15 tra segni di interpunzione e simboli matematici: abbiamo un set di 77 caratteri.

Con una password di 8 caratteri (il minimo richiesto dalla legge per i dati personali) le combinazioni son 77^8, ovvero 1.235.736.291.547.681, circa 1,23 * 10^15

Ma se si incrementa del 50% il numero di caratteri e si va a 12, con lo stesso set le combinazioni sono 77^12, ovvero 43.439.888.521.963.583.647.921, circa 4,34 * 10^22, sette ordini di grandezza più del precedente. Con 1.000 tentativi al secondo, un computer impiegherebbe 4,34 * 10^19 secondi per beccare la password, ma se voi la cambiate ogni 6 mesi (pari a 1,57 * 10^7 secondi)…

Quindi una password tipo 87:kH=1a è molto meno sicura di vivvallapapppa ed è molto meno facile da memorizzare, come illustrato anche dalla strip di oggi di xkcd:

10/08/2011
Non solo in Italia le cazzate legislative

Come dice Luigi qui “ogni tanto qualche legislatore ha la bella idea di regolamentare qualche aspetto dell’informatica“.

E’ notizia di circa un mese fa che il governo francese ha deciso di proibire che le password all’interno di un sistema informatico vengano conservate criptate.

Secondo la BBC la legge obbliga i siti di e-commerce, i servizi di video, music ed i provider webmail di mantenere alcuni dati degli utenti. Questi includono il nome completo, indirizzo, numeri di telefono e password. Ovviamente i dati devono essere passati alle autorità su richiesta. Polizia, dogana ed ufficio delle imposte hanno diritto ad accedere a quei dati.

Alcuni big della rete come Google, Ebay si sono attivati al fianco dell’associazione francese per i servizi alla Internet community (ASIC) per una battaglia legale. Alcuni hanno dichiarato che potrebbero anche chiudere completamente i propri servizi agli utenti transalpini.

(via Napolux)

02/05/2011
Cracker probabilistico di password

Ci sono molti algoritmi che deviano leggermente da un attacco a forza bruta per indovinare una password.

Matt Weir propone un approccio probabilistico al problema. La sua soluzione si basa sulla probabilità che un insieme di caratteri faccia parte di una password, al di là dell’analisi di frequenza delle lettere nelle varie lingue

Nel suo esempio Matt sostiene che la password $$password63 possa essere più probabile di !*password12.
(altro…)

16/01/2011
Firefox: esposizione della password nell’URL

In mancanza di altri programmi i browser possono essere utilizzate anche come client FTP.

Per collegarsi, ad esempio, a mail.siamogeek.com con l’utente utente e la password segreta si può digitare questo URL:

ftp://utente:segreta@mail.siamogeek.com

Purtroppo Firefox registra questo URL nella cache, quindi se, dopo essersi collegati la prima volta a questo sito, si digita di nuovo l’inizio (o parte) dell’URL ecco cosa appare:

State, quindi, attenti se utilizzate browser altrui per collegarvi a siti di cui non volete rivelare la password.

Una segnalazione del baco è già presente in Bugzilla.

No, l’utente utilizzato per questa dimostrazione non esiste più, è inutile tentare, tanto non funziona. (via Bugtraq)

08/10/2010
THC-Hydra

Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.

A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.

THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.

A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.

04/10/2010
Blackberry e iOS: password crackata con 200 €

Elcomsoft Phone Password Breaker è un software venuto a 200 € in grado di eseguire un attacco di forza bruta alle password di iOS e del Blackberry.

Il programma è in grado di utilizzare fino a 32 CPU e 8 GPU ATIAMD o nVIDIA per trovare la password. L’uso dei processori grafici per scardinare la sicurezza informatica non è nuovo: nel 2008 un gruppo guidato da Alexander Sotirov ha creato un finto certificato di sicurezza utilizzando i processori grafici di 300 PlayStation.

La nuova versione del software è in grado di operare anche sui backup di iOS e Blackberry, quindi non è necessario l’accesso fisico al dispositivo per considerarsi a rischio. (via Stefano Quintarelli)

02/10/2010