Questo articolo vi arriva grazie alle gentili donazioni
di "luisamaif****" e "franzdh". L'articolo è stato aggiornato dopo la
pubblicazione iniziale: alcuni commenti si riferiscono a versioni
precedenti.
Se usate ancora password a 40 bit, per esempio in Word, vi conviene
passare alle password a 128 bit. Quelle da 40, infatti, si scoprono in pochi
secondi usando una tecnica degli anni '80 che grazie al crollo dei prezzi dei
dischi rigidi è passata dalla teoria alla pratica. E anche le password un po'
più toste, se non vengono usate con attenzione, sono soltanto questione di
tempo. Poco tempo.
Il Sydney Morning Herald
intervista
Christian Stankevitz, un esperto della Neohapsis, ditta statunitense
specializzata in consulenze sulla sicurezza informatica, e Pieter Zatko, che
qualcuno ricorderà come uno degli autori del mitico programma L0phtcrack che si
usava appunto per scoprire le password altrui (e per verificare la robustezza
delle proprie).
Stankevitz e Zatko decifrano le password per lavoro
(collaborano con governi e forze di polizia) adoperando un metodo descritto a
livello teorico per la prima volta negli anni 80 e noto come
rainbow table. Per ovvie ragioni, i
computer non memorizzano le password in chiaro, altrimenti sarebbe sufficiente
sapere dove si trova il file contenente le password e leggerle: le conservano in
forma cifrata (hash). Semplificando, le
rainbow table sono delle immense tabelle precompilate di equivalenze fra
password in chiaro e password cifrate.
Quando si deve scoprire la
password che protegge un file o un computer, si prende la versione cifrata della
password (custodita nel file o nel computer in questione) e la si confronta con
le voci di queste tabelle fino a che si trova una corrispondenza. Una volta
trovata, risalire alla password in chiaro è banale.
Con le rainbow
table, il tempo necessario per decifrare per forza bruta una password di un file
Word, per esempio, è crollato da una media di 25 giorni a pochi secondi. Si
bucano altrettanto rapidamente le password di Windows e delle vecchie versioni
di Acrobat (ma non di quelle nuove).
L'unico difetto di questa
tecnica è che richiede una quantità spropositata di spazio su disco (qualche
terabyte) per memorizzare le tabelle precalcolate che le consentono di essere
così veloce rispetto ai metodi tradizionali che effettuano i calcoli sul
momento, durante il tentativo di
cracking (decifrazione).
Ma
i prezzi dei terabyte di memoria sono sempre più bassi, per cui un computer in
grado di decifrare una password a 40 bit costa oggi qualche migliaio di euro:
più che alla portata di un gruppo criminale organizzato e ovviamente delle forze
dell'ordine.
Neohapsis consiglia di passare alle password a 128 bit
lunghe almeno 12 caratteri per i documenti e i computer contenenti informazioni
riservate e delicate, ma soprattutto di non usare la medesima password per
situazioni differenti. Il lavoro del detective informatico (o del criminale),
infatti, non è pura forza bruta: l'astuzia gioca la sua parte.
Per
esempio, se la vittima cifra una stessa password sia con funzioni a 128 bit sia
con funzioni a 40 bit, è inutile perdere tempo con quelle a 128: si va dritti a
quelle a 40 e si decifrano. Inoltre è molto probabile che la vittima usi la
medesima password per proteggere più di un documento o computer, per cui trovare
una password "debole" apre un varco che facilita il lavoro sulle password più
robuste.
Esistono delle tecniche di difesa contro questi assalti: la
più diffusa è l'aggiunta del "sale", nel senso di
salt, come descritto nella
Wikipedia. Si tratta di
bit aggiunti alla password cifrata vera e propria, che rendono molto più oneroso
il lavoro di decifrazione. Ogni bit aggiuntivo, infatti, raddoppia la quantità
di memoria e di potenza di calcolo necessarie per il cracking.
Il
problema è che non tutti i programmi utilizzano il "sale" per rinforzare le
proprie password: per esempio, lo fa Linux, lo fa Mac OS X (solo
dalla 10.4 in poi), ma non lo fanno né le applicazioni in PHP né Windows NT/2000. Quindi basta
che l'intruso concentri i propri sforzi su questi programmi e sistemi operativi
più vulnerabili per ottenere il primo appiglio, dal quale lanciarsi per trovare
le password rimanenti.
Il consiglio, quindi, è di non limitarsi a
pensare
"ho protetto il documento con una password, sono al sicuro", ma informarsi bene su quanto sia robusta la generazione delle password dei
programmi e dei sistemi operativi che si usano, e soprattutto evitare di usare
la medesima password in situazioni differenti (mai usare la stessa password per
la posta e per la contabilità, per esempio). E' una sfida non banale: ma se
avete seriamente dei dati delicati da proteggere, bisogna affrontarla.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.