Le nostre password ”valgono” meno di un caffè
Per vedere la password LinkedIn usata da (praticamente) chiunque nel 2012 non bisogna essere degli hacker. Basta andare su uno dei servizi a pagamento che si trovano in Rete, inserire l’indirizzo email che interessa, cliccare su un link e con meno di un euro eccola spiattellata. Con qualche euro in più si può setacciare tutto l’archivio utenti del 2012, che come avevamo raccontato qui era stato hackerato quattro anni fa, ma i cui dati sono pubblicamente emersi nella loro interezza (167 milioni di profili di iscritti) solo lo scorso maggio.
Certo, i dati sono del 2012. Certo, LinkedIn ha obbligato gli utenti a cambiare le password dell’epoca. Ma resta un’informazione da non sottovalutare. Perché le persone riusano le password su altri siti e servizi. A volte la stessa per qualsiasi cosa cui si iscrivano. Oppure introducono elementari variazioni. Pippo2012 allora, che oggi sarà Pippo2016. O ancora, vanno sul sicuro: il nome del servizio in cui si registrano. Del resto qual era la seconda password più usata su Linkedin nel 2012? Per l’appunto, linkedin. La terza più usata su Last.fm, secondo i 43 milioni di profili emersi pochi giorni fa dalla Rete? Lastfm. La prima più usata era 123456; la seconda password.
“Con pochi euro al mese si può vedere la password di chiunque su Linkedin; e in molti casi, anche su altri siti come Last.fm, Zoosk, Badoo e via dicendo. In uno di questi database ci ho trovato amici, colleghi, clienti. Li ho avvisati di cambiare password su tutto quello che usavano”, mi dice Mattia Epifani, uno dei principali consulenti di informatica forense italiani, mentre davanti al suo pc vediamo scorrere database, email, e una marea di password cifrate che però possono essere facilmente “craccate”, la cui cifratura cioè non regge alcuni semplici attacchi.
Un utente esperto può scaricarsi il database di uno di questi leak – ad esempio Linkedin, 8 GB compressi – e in mezz’ora scassinare la cifratura di una password di 7 caratteri. Oppure, se non ne è capace, può andare su uno dei siti che ammassano questi database e che di fatto hanno già decifrato un tot di password dei profili raccolti e ottenerla da lì per qualche spicciolo. Cosa ne farà dopo non è chiaro. Ma, per dire: la ricerca si può fare anche sulla base di nomi di dominio. Ovvero si inserisce nel motore il sito nomeazienda.com e si vedono apparire tutti i profili di persone che hanno usato una mail di quel dominio (quindi, i dipendenti o dirigenti della stessa) che sono finiti in uno dei tanti leak di database. Perché magari si erano iscritti a Linkedin, Dropbox e via dicendo con la mail di lavoro. Per qualcuno che voglia provare a muovere un attacco informatico a una azienda attraverso i suoi dipendenti, tutto ciò potrebbe essere una risorsa non da poco.
Perché quello a cui abbiamo assistito nel 2016 è stato una sorta di “grande leak”. Archivi coi dati personali di utenti che comparivano online, anche dopo anni che erano stati scambiati di nascosto nelle profondità della Rete. Nel 2016 abbiamo visto buttati in Rete dati utenti di Linkedin, MySpace, Badoo, Tumblr, Vkontakte, più recentemente Dropbox e Last.fm, per citare solo i casi più eclatanti. Mentre scriviamo sono appena affiorati 100 milioni di profili dal sito russo Rambler, con password visibili, in chiaro. Dati ottenuti in alcuni casi già nel 2012, ma che sono diventati in qualche modo pubblici quattro anni dopo. Il 2012 era ancora per molti, anzi per quasi tutti, l’età dell’innocenza: usavamo password semplici, ridicole a vederle oggi, e magari le stesse su più servizi. In pochi anni però la situazione è precipitata e il 2016 sta suonando l’ultimo campanello d’allarme. Secondo il sito Vigilante.pw che raccoglie database di siti hackerati dal 2007 a oggi, negli ultimi anni abbiamo assistito a una impennata: 64 database leakati nel 2011, 71 nel 2012, 107 nel 2013, 158 nel 2014, 317 nel 2015. In totale, quel sito oggi ha ben due miliardi di voci.
Particolarmente male sono andati i siti di appuntamenti, che dal 2015 ad oggi sono stati colpiti da fughe di dati importanti, anche se il più disastroso per la natura delle informazioni e l’impatto mediatico resta quello di Ashley Madison.
(Dati elaborati da La Stampa via HaveIBeenpwned?; Leakedsource; Vigilante.pw)
Nessuno sa spiegarsi bene perché all’improvviso stiano emergendo questi database, come se qualcuno avesse tolto un tappo. Perché adesso. Forse una certa economia criminale che poteva sfruttare questi dati è giunta a maturazione. Insomma, gli ossi sono stati spolpati e vengono abbandonati per un ultimo riutilizzo, perché degli utenti – come del maiale – non si butta via niente. Come ha notato il ricercatore Troy Hunt qualche tempo fa, i 167 milioni di profili LinkedIn comparsi a maggio nelle darknet inizialmente erano ancora venduti per 5 bitcoin, equivalenti all’epoca a un po’ più di duemila dollari. Può sembrare tanto ma sono 0,001 centesimi di dollari ad account.
“Probabilmente sono emersi perché sono già stati venduti e rivenduti, quindi non sono più tanto appetibili”, commenta a La Stampa Andrea Zapparoli Manzoni, coautore del rapporto Clusit sulla sicurezza ICT in Italia. “Ma forse sono anche il segno di una mutazione antropologica e generazionale dell’underground, una sorta di guerra fra i vecchi e i nuovi arrivati in cui il risultato è la diffusione di alcuni di questi materiali”.
“I criminali hanno sfruttato da questi database tutto quello che potevano sfruttare”, commenta Epifani. “E forse alcuni leak di dati specifici, di account apparentemente violati negli ultimi anni, nascono proprio da qua”.
A tutto ciò si aggiunge il fatto che in alcuni casi le password conservate in questi database non erano adeguatamente cifrate. Il livello minimo di cifratura – quello usato da Linkedin nel 2012, o da Badoo o Last.fm, che usavano algoritmi come SHA1 e MD5 per trasformare le password in una unica sequenza di lettere e numeri – è molto semplice da violare. “Basta un attacco a forza bruta”, spiega Epifani. Ovvero un attacco in cui si usa mero potere computazionale per provare a indovinare la password, di cui attraverso i leak dei database si conosce la stringa in cui è stata convertita. Si fanno tanti tentativi finché non si ritrova la stessa. Esistono anche dei siti online per farlo. Ma utilizzando un metodo diverso, basato su tabelle che hanno precalcolati i risultati prodotti dagli algoritmi di cifratura per migliaia di parole, arrivare alla password è ancora più veloce.
Vanno meglio invece quei siti che introducono una procedura per complicare di più la vita ai cybercriminali, il “salt”, una funzione che aggiunge una stringa di caratteri casuali alla password prima di cifrarla, come dire: un rimescolamento delle carte. Ma anche ciò non mette al riparo da possibili attacchi a forza bruta, anche se serve più potenza di calcolo a seconda della lunghezza della password.
In questa tabella La Stampa ha raccolto alcuni dei principali leak di database emersi di recente (in rosso dove la protezione della password lasciava più a desiderare).
Proviamo ora a riassumere e andare al sodo rispetto ai tecnicismi. Se si aveva un profilo Linkedin nel 2012, c’è il 98 per cento di possibilità che la sua password sia stata violata – come ha scritto tempo fa un guru del settore; se quella password la si usa ancora su altri siti, va cambiata subito, anzi, va cancellata dalla faccia della Terra; sebbene come cifratura il caso di Dropbox sia un po’ meglio rispetto al leak di Linkedin, se si usava una password sotto i dieci caratteri, anche questa va assolutamente cambiata ovunque, perché potenzialmente violabile, spiega Epifani.
Tra l’altro gli account Dropbox, rispetto a Linkedin, sono molto più delicati, perché contengono grandi quantità di documenti di lavoro e personali.
Nel dubbio, come avevamo già spiegato, il modo migliore per verificare se i propri profili sono finiti in qualche leak di database è il sito HaveIbeenpwned?, che diversamente da altri servizi del genere è no-profit, non permette di vedere le password degli utenti ed è gestito nel tempo libero dal già citato Troy Hunt, un noto ricercatore di sicurezza Microsoft. (fonte)
