Risorse

Viviamo in un periodo storico in cui la quantità di dati che un'azienda deve conservare cresce ad un ritmo senza precedenti. Di conseguenza, aumenta anche il numero di malintenzionati che provano a rubare i dati che ognuno produce (ti basti pensare al business dei cryptovirus). E come sono protetti questi dati? Con delle semplici password. Sei sicuro che basti?

In questi mesi è in atto una vera truffa per estorcere soldi, tanti soldi, dai conti correnti delle aziende sfruttando delle tecniche avanzate di social engineering e attacchi man in the middle. L'attacco consiste nel carpire password di caselle mail di account di operatori che svolgono funzioni amministrative all'interno delle aziende, in sostanza addetti all'ufficio acquisti, recupero crediti o pagamenti vari tramite bonifici o conti online.

In questi mesi è in atto una vera truffa per estorcere soldi, tanti soldi, dai conti correnti delle aziende sfruttando delle tecniche avanzate di social engineering e attacchi man in the middle. L'attacco consiste nel carpire password di caselle mail di account di operatori che svolgono funzioni amministrative all'interno delle aziende, in sostanza addetti all'ufficio acquisti, recupero crediti o pagamenti vari tramite bonifici o conti online.

In un recente post ho spiegato a grandi linee cosa è MD5, a cosa serve e come si fa a calcolarlo. Cosa c'entrano le password con MD5? Ormai qualsiasi cosa si voglia fare, è necessario registrarsi a un sito: comprare biglietti aerei, andare su Facebook, chattare e postare sui forum... I siti web non memorizzano le password in chiaro all'interno dei propri sistemi, ma il valore hash MD5 delle password. Altrimenti in caso di bug del codice o di attacco hacker, le password finirebbero in mani sbagliate. Un hash è una stringa che identifica univocamente una password. A partire dall'hash però non si può risalire alla password. Per esempio, se ci si registra a un sito usando la password antonio, il sito memorizzerà: 4a181673429f0b6abbfd452f0f3b5950 che è il valore MD5 corrispondente alla parola antonio. Se si cerca su internet come decriptare password in MD5, si trovano parecchi siti gratuiti. Come è possibile allora? C'è il trucco: questi siti dispongono di database di milioni e milioni di parole convertite in MD5, simili a quello esemplificato da questa tabella. Password Hash MD5 antonio 4a181673429f0b6abbfd452f0f3b5950 gatto 427ade9c15ec643751860eba9899355b casa 202447d5d44ce12531f7207cb33b6bf7 ... ...

Continuo a leggere post di blog e articoli sulla sicurezza informatica e sull'importanza di avere una buona password. Spesso nei commenti a questi articoli leggo che sono consigli banali, perchè ormai tutti sono al corrente dell'importanza di avere una buona password. Dovrebbe essere così, ma la prova dei fatti dimostra il contrario Proprio in questi giorni ho ricevuto da Adobe una email che riporto qui sotto: