Ne abbiamo parlato giร piรน volte del problema delle password e di come renderle piรน forti ma non abbiamo ancora mai dato un’occhiata a quali sono i modi effettivamente utilizzati dagli hacker/craker per rubarle: conoscerli ci aiuterร anche a capire meglio come evitarli.
Escludiamo, ovviamente, il metodo piรน semplice che รจ quello di indovinare la password: se conosciamo bene qualcuno e questi non รจ troppo preoccupato della propria sicurezza รจ facileย azzeccarla senza troppi sforzi.
Social engineeringย
Questo รจ uno dei metodi piรน utilizzati e semplici da mettere in pratica, in realtร , non richiede alcuna preparazione informatica ma, piuttosto, sociale. Spesso, infatti, utilizzando i nostri dati reperibili oramai, facilmente, via internet ed in specifico attraverso i nostri account sui social network come Facebook, il malintenzionato ci contatta via e-mail o via telefonica inventandosi qualche scusa plausibile per ottenere la nostra password. Spesso potrebbero persino impersonare un rappresentante del dipartimento di IT: sarร cosรฌ semplice ricevere le password date volontariamente da lavoratori disinformati.ย Ci troviamo quindi di fronte ad un gioco linguistico, piรน che informatico, cheย supera le barriere imposte dal linguaggio di programmazione ed approda allโarte dellโinganno: come in un gioco di carte si puรฒ nascondere, o aggirare, un ostacolo con una carta nel polsino cosรฌ lโhacker puรฒ ingannare il suo antagonista โcontrollandone lโelemento umanoโ. Ciรฒ significa che, le regole e la sintassi del gioco di programmazione vengono sostituite, commutate, con quelle del gioco della comunicazione.ย Lโhacker quindi fingerร dโessere unโaltra persona. Kevin D. Mitnick, per esempio, come narra nel suo libro The art of deception,ย si divertiva a chiamare varie compagnie, come banche o dipartimenti della sicurezza, fingendosi un โaiutanteโ e convincendo gli impiegati a consegnargli dati sensibili oppure ad installare programmi cosiddetti trojan nel loro terminale che gli permettevano di inserirsi direttamente nella loro banca dati senza che questi ne avessero il minimo sentore.
Nei casi aziendali, sebbene sappia che sia una perdita di tempo in termini di produttivitร , sarร un bene fare della formazione al personale inerente la sicurezza delle proprie password e dei propri dati.
Shoulder surfing (fare surf sulle spalle di qualcuno)
Questo tipo di estorsione, come la precedente, รจ abbastanza semplice: l’hacker/craker in questo caso si limiterร ad osservare l’altra persona mentre inserisce la password. Questo puรฒ accadere osservando, in particolare, il movimento degli occhi del malcapitato, oppure se cerca di ricordarsi la password guardando altrove (quanti di noi se la sono scritti sul cellulare oppure su un post-it?).
In questo caso basterร essere un po’ svegli e chiedere alla persona alle nostre spalle di allontanarsi (certa gente si appiccica come un chewingum mentreย รจ in fila, per esempio, al supermercato oppure quante volte ci รจ capitato, lavorando sul computer, che qualche “caro” collega ci fiatasse letteralmente sul collo mentre, magari, noi dovevamo inserire una password d’amministrazione?), spostarsi coprendo col proprio corpo il loro punto di vista e magari aiutarsi anche con le mani per coprire i tasti, prima di iniziare ad inserire la password. Eventualmente, vi รจ anche la possibilitร di acquistare un filtro per la privacy dello schermo applicabile normalmente con degli adesivi sulloย schermo e di colore scuro oppure dorato.
Un altro aiuto puรฒ essere quello di utilizzare oggetti attorno o di fronte al nostro computer per aiutarci a ricordare le passoword (sconsiglio personalmente foto di persone care poichรฉ sarebbe semplice notare che stiamo guardando verso queste per riportare alla mente la loro data di nascita).
Un’altra cosa che ho notato negli anni: spesso i numeretti piรน sbiaditi oppure piรน sporchi possono rivelare la password non solo del nostroย computer ma anche del sistema di sicurezza di casa nostra quindi ricordiamoci almeno di dargli una bella pulita di tanto in tanto!
Keylogging
Il keylogger รจ uno strumento in grado di registrare ed archiviare tutte le password che vengono inserite in un dato terminale. Esso puรฒ essere di tipo hardware, e quindi un dispositivo connesso al cavo della tastiera oย nascosto al suo interno (v. immagine qui accanto), oppure software e cioรจ un programma che si รจ scaricato sul computer per vari motivi (uno potrebbe essere a causa di un gioco ben riuscito di social engineering oppure un download fraudolento). Non sempre inoltre l’antivirus riesce a riconoscerli o segnalarli come avviene, spesso, anche per i trojan.
Un esempio di keylogger di tipo software รจ REFOG (scaricabile qui). Questo programma, utilizzabile su Windows e Mac, viene offerto come “spia” da utilizzarsi per controllare i propri figli e componenti della famiglia, registrarne le conversazioni, i siti visitati, i programmi utilizzati, etc.
Un altro esempio a parte i classici malware, di cui avevamo parlato in un altro articolo (qui), puรฒ essere un packet sniffer come Wireshark oppure Snort o Network Miner. Questi programmi sono molto utili per analizzare la rete ma possono anche recuperare le password che vengono inviate in chiaro (ovvero attraverso messaggi): ecco perchรฉ spesso e volentieri veniamo scoraggiati da vari programmi nell’inviare password ad altre persone.
Cosa fare, allora, per proteggersi da questo tipo di attacchi?
- Utilizzare un buon antivirus, spyware od anti-keylogger รจ un buon inizio.
- Utilizzare una chiavetta USB live aggiornata e sicura per accedere al proprio sistema operativo (questo sistema non funziona se il keylogger รจ di tipo hardware e non รจ consigliabile per i principianti).
- L’utilizzo di Keypass o LastPass di cui avevamo giร parlato per esteso in passato.
- Utilizzare password monouso come gli authenticators (questo metodo รจ spesso messo in atto dalle banche).
- Utilizzare delle carte magnetiche o cose simili per l’autenticazione (questo metodo viene spesso messo in atto dalle universitร : i professori dell’Universitร di Bologna, per esempio, ne fanno uso).
- Una tasiera personale alternativa per evitare keylogger di tipo hardware.
- L’uso di una tastiera su schermo.
- Riconoscimenti di tipo vocale, calligrafico, di movimento.
Password deboli
Molti programmi tutt’oggi, soprattutto in Italia, richiedono ancora l’immissione di password deboli ovvero, per esempio, con il soli inserimento di numeri o lettere e non accettano, invece, caratteri speciali, parentesi, ed altro. Questo compromette a monte la nostra password rendendola troppo debole: l’ideale quindi sarebbe evitare questo tipo di siti.
Brute Force
Questo รจ il tipico metodo di forza bruta e richiede del tempo per portarlo a buon fine (ma tanto fa tutto il computer). Per metterlo in atto si utilizza un software come, per esempio,ย John the Ripper oย Ophcrack oppureย siti internet che provvedono ad una lista di password standard e parole che possono essere usate come password: questo รจ anche il motivo per cui non ci si stanca mai di sottolineare l’importanza di avere delle password forti alfanumeriche, con caratteri speciali e prive di parole tratte dal dizionario.
Ci chiederemo, allora, perchรฉ รจ cosรฌ facile trovare questo tipo di programmi on-line? Beh, semplicemente perchรฉ, sebbene possano venire usati per estrarre password da parte di persone malintenzionate, essi possono essere davvero utili per recuperare le nostre password nel caso le avessimo perse (magari perchรจ non abbiamo fatto il backup dei nostri dati).
In un futuro articolo vedremo, quindi, come utilizzare per esempio Ophcrack per recuperare con successo una nostra passoword.
Lascia un commento