Abbiamo le vostre password, arrendetevi!
Usare la stessa password per più siti è purtroppo un’abitudine dura a morire. Io stesso che mi occupo da anni di sicurezza, non nascondo che spesso, specie nelle registrazioni veloci o “di servizio” uso la stessa password.
Certo una password abbastanza forte, più di 8 caratteri, maiuscolo e minuscolo, numeri e una spruzzata di caratteri speciali. Quanto basta per stare al sicuro da un attacco bruteforce (il tipo di attacco che prova tante password fino a trovare quella giusta). Ma cosa accadrebbe se questa venisse rubata direttamente dai server delle applicazioni dove sono registrato? Immaginate che un black hacker riesca a scaricare interi archivi da Facebook, Apple, Google, Amazon. A quanto poco servirebbe creare password complesse!
Certo sembra impossibile che Google o Apple si facciano bucare, e sinceramente voglio crederci pure io. Ma ciò non basta a farci stare sicuri, perché? Semplicemente perché negli ultimi 10 anni la lista delle piattaforme vittima di furto di password è immensa: va da Badoo a Vodafone, passando per Sony e Adobe, fino al disastro totale del furto a Yahoo!.
Se mai disgraziatamente vi foste registrati a qualsiasi di queste piattaforme, usando la “solita” password, state certi che la vostra password fatta di 100 caratteri con numeri, e parentesi graffe è di dominio pubblico. Per un attaccante sarebbe sufficiente inserire la password rubata da Yahoo! su qualsiasi altra piattaforma e molto probabilmente avrebbe accesso alla vostra identità.
Quali sono le piattaforme colpite? La lista è lunghissima e può essere consultata all’indirizzo https://haveibeenpwned.com/PwnedWebsites, il sito vi dice anche se la vostra mail sia mai stata compromessa, PWNED in gergo.
Per chi si occupa di sicurezza, una volta venuto a sapere del furto di password (cosa non tanto insolita) il problema diventa comprendere quanto facile possa essere accedere a questo archivio.
Cominciamo con un giro di ricognizione su Google, attiviamo per sicurezza la nostra VPN e iniziamo a giocare con gli archivi segreti della grande G, ovviamente Google rileva immediatamente le strane richieste provenienti dal mio browser e tenta di bloccarmi, inizialmente devo verificare solo di non essere un robot, dalla terza richiesta mi informa del mio traffico insolito e blocca la connessione, ma ormai è tardi in poco più di 30 secondi ho a disposizione centinaia di migliaia di account e password.
Spulcio il materiale, alla ricerca di qualcuno che conosco o almeno un nome italico (lo so che è impossibile, ma è un istinto innato), e mentre leggo mi rendo conto che molte combinazioni riguardano NetFlix e Instagram (da cui non risulta nessun furto). Non viene risparmiata nemmeno l’FBI di cui si postano server, porte aperte, e credenziali. Ma potrebbe anche trattarsi di un honeypot o trappole appositamente pubblicate, ad ogni modo vado avanti.
E’ venuto il momento di vedere cosa hanno su di me, prima di testare con la mia mail provo con un nome a caso:
cerco il nome di un pianeta, Giove, e… bingo! E’ una carneficina! Migliaia di indirizzi contenenti la parola Giove, faccio altre prove e ad ogni parola vengono fuori decine di migliaia di risultati.
Inserisco la mia mail attuale e dopo, una vecchia mail creata 20 anni fa e oggi abbandonata! Niente!
Tiro un sospiro di sollievo!
Proprio mentre decido di essermi stancato, atterro su una pagina che fa in un certo senso da indice. Ogni cracker distribuisce ai colleghi di tutto, dalle credenziali per accedere alle pay tv, fino agli account premium su note piattaforme porno. Ci si scambia anche credenziali per Facebook, notizie su account di personaggi di governi, numeri telefonici. E’ la festa dell’antiprivacy.
Effettuo un’altra ricerca, questa volta sull’autore di almeno il 50% di quelle pubblicazioni, è un gruppo che contatto di li a poco. La risposta non tarda a venire. Mi fingo un giornalista italiano, chiunque ci sia dall’altra parte conosce un’altro giornalista italiano “Black Mamba”, e così iniziamo a parlare.
Gli dico che anche io conosco Black e che ho letto anche un libro, entrambi usiamo un inglese semplice ma a quanto pare efficace, visto che dopo qualche battuta sugli “sbirri” e il “governo” (un problema comune al mondo a quanto pare) mi dice di contattarlo su una chat privata.
Non so di cosa parlare ma soprattuto come infilare il discorso delle password, gli dico che sto scrivendo un articolo sugli anonymous.
Lui è israeliano e non sposa la posizione del gruppo Anonymous delle sue parti, non gli piace attaccare la polizia e fare doxing (la pratica di scoprire e rivelare informazioni su qualcuno). Definisce i poliziotti porci, ma dice anche che quello è il loro lavoro e va rispettato e che anzi se attuassero un’altra policy secondo lui, molti poliziotti potrebbero sposare la loro causa. Finisce col parlarmi delle sue ultime imprese in #OPIsrael e non sembra nemmeno tanto giovane. Prima di salutarci accenno al discorso password, e gli faccio i complimenti.
Risponde che quella è la parte più semplice, che spesso sono gli utenti stessi a fare in modo che queste diventino “discoverable”, che la maggior parte sono di ragazzini e aggiunge, prendiamo solo le password che la gente vuole che prendiamo. Poi mi chiede se sono curioso di sapere se la mia mail è compromessa.
Gli dico che ho già controllato su Pwned e nel database dei pastebin di Google e che risulto pulito. Mi scrive: I hope bro! E mi da un link prima di chiudere.
E’ un link della rete TOR. http:// […………..].onion/
Bhe non mi resta che darci un’occhiata, avvio il mio Browser TOR ed inserisco la mia mail attuale, non trovo nulla. Ciò mi conforta!
Ma voglio provare anche con la vecchia mail! Magicamente mi trovo davanti la mia vecchia password e probabilmente la stessa che usavo allora per decine e decine di altre piattaforme.
Provo una combinazione di nome e cognome molto comuni in italia, penso al nome francesco e al cognome russo… vengo inondato da mail e password.
Antonio Log 19/01/2018