Ne abbiamo parlato già più volte del problema delle password e di come renderle più forti ma non abbiamo ancora mai dato un’occhiata a quali sono i modi effettivamente utilizzati dagli hacker/craker per rubarle: conoscerli ci aiuterà anche a capire meglio come evitarli.
Escludiamo, ovviamente, il metodo più semplice che è quello di indovinare la password: se conosciamo bene qualcuno e questi non è troppo preoccupato della propria sicurezza è facile azzeccarla senza troppi sforzi.
Social engineering
Questo è uno dei metodi più utilizzati e semplici da mettere in pratica, in realtà, non richiede alcuna preparazione informatica ma, piuttosto, sociale. Spesso, infatti, utilizzando i nostri dati reperibili oramai, facilmente, via internet ed in specifico attraverso i nostri account sui social network come Facebook, il malintenzionato ci contatta via e-mail o via telefonica inventandosi qualche scusa plausibile per ottenere la nostra password. Spesso potrebbero persino impersonare un rappresentante del dipartimento di IT: sarà così semplice ricevere le password date volontariamente da lavoratori disinformati. Ci troviamo quindi di fronte ad un gioco linguistico, più che informatico, che supera le barriere imposte dal linguaggio di programmazione ed approda all’arte dell’inganno: come in un gioco di carte si può nascondere, o aggirare, un ostacolo con una carta nel polsino così l’hacker può ingannare il suo antagonista “controllandone l’elemento umano”. Ciò significa che, le regole e la sintassi del gioco di programmazione vengono sostituite, commutate, con quelle del gioco della comunicazione. L’hacker quindi fingerà d’essere un’altra persona. Kevin D. Mitnick, per esempio, come narra nel suo libro The art of deception, si divertiva a chiamare varie compagnie, come banche o dipartimenti della sicurezza, fingendosi un “aiutante” e convincendo gli impiegati a consegnargli dati sensibili oppure ad installare programmi cosiddetti trojan nel loro terminale che gli permettevano di inserirsi direttamente nella loro banca dati senza che questi ne avessero il minimo sentore.
Nei casi aziendali, sebbene sappia che sia una perdita di tempo in termini di produttività, sarà un bene fare della formazione al personale inerente la sicurezza delle proprie password e dei propri dati.
Shoulder surfing (fare surf sulle spalle di qualcuno)
Questo tipo di estorsione, come la precedente, è abbastanza semplice: l’hacker/craker in questo caso si limiterà ad osservare l’altra persona mentre inserisce la password. Questo può accadere osservando, in particolare, il movimento degli occhi del malcapitato, oppure se cerca di ricordarsi la password guardando altrove (quanti di noi se la sono scritti sul cellulare oppure su un post-it?).
In questo caso basterà essere un po’ svegli e chiedere alla persona alle nostre spalle di allontanarsi (certa gente si appiccica come un chewingum mentre è in fila, per esempio, al supermercato oppure quante volte ci è capitato, lavorando sul computer, che qualche “caro” collega ci fiatasse letteralmente sul collo mentre, magari, noi dovevamo inserire una password d’amministrazione?), spostarsi coprendo col proprio corpo il loro punto di vista e magari aiutarsi anche con le mani per coprire i tasti, prima di iniziare ad inserire la password. Eventualmente, vi è anche la possibilità di acquistare un filtro per la privacy dello schermo applicabile normalmente con degli adesivi sullo schermo e di colore scuro oppure dorato.
Un altro aiuto può essere quello di utilizzare oggetti attorno o di fronte al nostro computer per aiutarci a ricordare le passoword (sconsiglio personalmente foto di persone care poiché sarebbe semplice notare che stiamo guardando verso queste per riportare alla mente la loro data di nascita).
Un’altra cosa che ho notato negli anni: spesso i numeretti più sbiaditi oppure più sporchi possono rivelare la password non solo del nostro computer ma anche del sistema di sicurezza di casa nostra quindi ricordiamoci almeno di dargli una bella pulita di tanto in tanto!
Keylogging
Il keylogger è uno strumento in grado di registrare ed archiviare tutte le password che vengono inserite in un dato terminale. Esso può essere di tipo hardware, e quindi un dispositivo connesso al cavo della tastiera o nascosto al suo interno (v. immagine qui accanto), oppure software e cioè un programma che si è scaricato sul computer per vari motivi (uno potrebbe essere a causa di un gioco ben riuscito di social engineering oppure un download fraudolento). Non sempre inoltre l’antivirus riesce a riconoscerli o segnalarli come avviene, spesso, anche per i trojan.
Un esempio di keylogger di tipo software è REFOG (scaricabile qui). Questo programma, utilizzabile su Windows e Mac, viene offerto come “spia” da utilizzarsi per controllare i propri figli e componenti della famiglia, registrarne le conversazioni, i siti visitati, i programmi utilizzati, etc.
Un altro esempio a parte i classici malware, di cui avevamo parlato in un altro articolo (qui), può essere un packet sniffer come Wireshark oppure Snort o Network Miner. Questi programmi sono molto utili per analizzare la rete ma possono anche recuperare le password che vengono inviate in chiaro (ovvero attraverso messaggi): ecco perché spesso e volentieri veniamo scoraggiati da vari programmi nell’inviare password ad altre persone.
Cosa fare, allora, per proteggersi da questo tipo di attacchi?
- Utilizzare un buon antivirus, spyware od anti-keylogger è un buon inizio.
- Utilizzare una chiavetta USB live aggiornata e sicura per accedere al proprio sistema operativo (questo sistema non funziona se il keylogger è di tipo hardware e non è consigliabile per i principianti).
- L’utilizzo di Keypass o LastPass di cui avevamo già parlato per esteso in passato.
- Utilizzare password monouso come gli authenticators (questo metodo è spesso messo in atto dalle banche).
- Utilizzare delle carte magnetiche o cose simili per l’autenticazione (questo metodo viene spesso messo in atto dalle università: i professori dell’Università di Bologna, per esempio, ne fanno uso).
- Una tasiera personale alternativa per evitare keylogger di tipo hardware.
- L’uso di una tastiera su schermo.
- Riconoscimenti di tipo vocale, calligrafico, di movimento.
Password deboli
Molti programmi tutt’oggi, soprattutto in Italia, richiedono ancora l’immissione di password deboli ovvero, per esempio, con il soli inserimento di numeri o lettere e non accettano, invece, caratteri speciali, parentesi, ed altro. Questo compromette a monte la nostra password rendendola troppo debole: l’ideale quindi sarebbe evitare questo tipo di siti.
Brute Force
Questo è il tipico metodo di forza bruta e richiede del tempo per portarlo a buon fine (ma tanto fa tutto il computer). Per metterlo in atto si utilizza un software come, per esempio, John the Ripper o Ophcrack oppure siti internet che provvedono ad una lista di password standard e parole che possono essere usate come password: questo è anche il motivo per cui non ci si stanca mai di sottolineare l’importanza di avere delle password forti alfanumeriche, con caratteri speciali e prive di parole tratte dal dizionario.
Ci chiederemo, allora, perché è così facile trovare questo tipo di programmi on-line? Beh, semplicemente perché, sebbene possano venire usati per estrarre password da parte di persone malintenzionate, essi possono essere davvero utili per recuperare le nostre password nel caso le avessimo perse (magari perchè non abbiamo fatto il backup dei nostri dati).
In un futuro articolo vedremo, quindi, come utilizzare per esempio Ophcrack per recuperare con successo una nostra passoword.