Cerca nel blog

2008/09/23

Bucata la mail della candidata vicepresidente USA: lezioni per tutti

Quant'è facile rubare la password di una casella di posta? Ce lo dimostra Sarah Palin (suo malgrado)


Questo articolo vi arriva grazie alle gentili donazioni di "l.diaco" e "stefano.pa****".

Le caselle di posta su Yahoo di Sarah Palin, la candidata repubblicana alla vicepresidenza degli Stati Uniti, sono state violate da un intruso e il loro contenuto è stato pubblicato su Internet. Al di là della correttezza o meno del gesto e del contenuto delle caselle in questione, l'episodio è una lezione per tutti sull'insicurezza delle normali protezioni delle caselle di posta online. Per fortuna c'è un rimedio abbastanza semplice: mentire.

Cominciamo dall'inizio. Il 17 settembre scorso, due caselle di posta privata di Sarah Palin, gov.palin@yahoo.com e gov.sarah@yahoo.com (ora cancellate), sono state oggetto di un'intrusione. Una persona che si fa chiamare online Rubico ha trovato il modo di accedere alle caselle e ne ha pubblicato il contenuto qui su Wikileaks, sito noto come deposito di materiale scottante e di pubblica denuncia che nessun altro osa pubblicare.

Il contenuto delle caselle si è rivelato decisamente poco interessante. Chi si attendeva rivelazioni clamorose è rimasto a bocca asciutta: qualche mail personale, foto di famiglia, e nient'altro. I sospetti sull'identità dell'intruso, nel frattempo, si sono concentrati su David Kernell, studente ventenne della University of Tennessee-Knoxville e figlio di un rappresentante dei democratici del Tennessee, Mike Kernell. La prodezza di David gli è valsa l'attenzione dell'FBI, visto che violare la posta di una candidata vicepresidente è questione di sicurezza nazionale.

Al di là dei battibecchi politici e le discussioni sulla liceità del comportamento dell'intruso (secondo le leggi statunitensi, l'intrusione in sé sarebbe illegale, mentre pubblicare i documenti ottenuti tramite l'intrusione non lo è, per via dell'interesse pubblico intorno a una candidata), quello che conta per tutti noi è il modo in cui è stata commessa l'intrusione.

Rubico, infatti, non ha usato strumenti da smanettone o da überhacker: ha semplicemente sfruttato, in modo oltretutto dilettantesco, la funzione "ho dimenticato la mia password" di Yahoo. Questa funzione chiede la data di nascita e il codice di avviamento postale di residenza dell'utente e poi chiede una domanda segreta: nel caso della Palin, il luogo dove aveva conosciuto suo marito. Se si immettono correttamente questi dati, la password è modificabile via Web.

Ovviamente la data di nascita e il CAP di un personaggio molto in vista come la Palin non sono stati difficili da trovare, e anche il luogo d'incontro con il futuro marito della Palin è stato indovinato da Rubico con poca fatica leggendo le biografie online della candidata repubblicana. Non c'è voluto altro.

Ora la domanda che si starà ponendo chiunque abbia una casella su Yahoo è "ma allora potrebbe succedere anche a me?". Certamente: e il problema vale non solo per gli utenti Yahoo, ma per quelli di qualsiasi fornitore di caselle di posta che usi questi sistemi di verifica dell'identità.



Il rimedio è semplice, per fortuna. Basta che immettiate dati falsi: alterate la vostra data di nascita, per esempio, avendo però cura di prendere nota in un luogo sicuro di quale data fasulla avete usato, e non date risposte veritiere alle domande di sicurezza (se scegliete "Come si chiama il tuo animale domestico?", non metteteci il nome vero del vostro gatto/cane/criceto/clamidosauro). Fatevi furbi, insomma, così gli intrusi non potranno leggervi la posta usando i vostri dati anagrafici.

Fatevi soprattutto più furbi di Rubico, che ha effettuato la sua intrusione usando un solo proxy (Ctunnel) ed è stato così incosciente da pubblicare, nelle schermate della casella della Palin, l'URL di Ctunnel che aveva usato per l'intrusione. Tanto valeva che si dipingesse un bersaglio addosso. E ora sono guai.

Fonti: Wired, Electronic Frontier Foundation, The Register, BBC, Tgdaily.

12 commenti:

Hanmar ha detto...

Ecco l'importanza di usare una password "pesante", come quella che uso io :P

Saluti
Hanmar

Moloch981 ha detto...

Buffo: sono stata tentata negli ultimi giorni di fare la stessa cosa con una persona di mia conoscenza!

@hanmar: non c'entra la password, con questo sistema chi vuole vedere la tua posta non ha bisogno di saperla.

Unknown ha detto...

Anche mentendo, bisognerebbe comunque usare risposte diverse per ogni sito, visto che c'è ancora chi conserva i dati degli utenti in chiaro...

http://blog.moertel.com/articles/2006/12/15/never-store-passwords-in-a-database

In pratica diventa come una seconda, ridondante, passphrase.
Tanto vale non usarla, e fare più attenzione al backup dei normali dati di accesso.

happy h ha detto...

La testa dell'hacker sarà probabilmente esposta tra gli alci e i trofei della nota cacciatrice.
Paolo, tu magari prendi a martellate gli hard disk, ma quella è peggio di Chuck Norris...

Unknown ha detto...

Una domanda sorge spontanea ... chi dei due è stato il più pirla?

Anonimo ha detto...

odio la funzione "ho dimenticato la password"

tantovale che io mi faccio una password sicura, se poi la "seconda password" su cui tutti possono cliccare, è una roba tipo "pippo" o "il cognome di mia mamma"
cribbio chiunque sappia più o meno chi sono può azzeccare cose così


il campo "domanda segreta" lo riempio sempre di codici alfanumerici :)

theDRaKKaR the bloody homeopath ha detto...

io non posseggo un clamidosauro :(

la risposta di sicurezza è abbastanza inutile come protezione

meglio che il sistema resetti la password e la spedisca all'altra mail fornita alla registrazione

grAz ha detto...

Anche io ODIO il sistema della domanda di sicurezza... soprattutto in quei tanti (troppi) servizi che ti OBBLIGANO a usarla... in pratica se la usi come previsto diventa l'anello debole del sistema di password (cognomi o città... un programmino automatico li becca quasi subito. Se ti conoscono, poi, basta andare a tentativi...). Sarebbe da riempire con codici alfanumerici complessi, ma questo complica ulteriormente le cose, in pratica si ha una password in più da memorizzare o da salvare nel proprio database... e visto che con il web 2.0 il numero di password per individuo è salito a livelli inimmaginabili, non è il massimo...

Io personalmente scelgo password "robuste" per i servizi "importanti" (mail, ebay, paypal, poste, ecc), mentre per le cose secondarie (i vari forum e blog di poco conto) una password di media sicurezza, e sempre la stessa... non è il massimo, ma cerco di trovare un compromesso tra comodità, sicurezza e eventuali rischi. Voglio dire, se mi crackano la pw del forum dei tifosi della Juve... beh, al max possono scrivere "forza inter" spacciandosi per me, ma sai che problema...

SirEdward ha detto...

Io odio le "domande di riserva" qundo sono già predisposte.

Preferisco quei sistemi dove scegli sia la domanda che la risposta.

Così vengono fuori domande che tu puoi davvero ricordare senza sforzo, ma altri no, tipo:

Qual'era il colore dei dadi di pelouche appesi al retrovisore della tua prima auto?

O

Che cosa c'era scritto sulla maglia che ti hanno regalato gli amici in vacanza a Ibiza.

O

Come si chiamava quella ragazza bellissima a cui hai fatto la corte per mesi a 16 anni ma che ti ha mollato un due di picche?

Cose così. Sfido chiunque a trovarle, soprattutto se le risposte sono:

"fucsia tendente al verde", "Dalla non è un cantante, è un consiglio" e "Gormlaith".

Eppure per il proprietario la cosa è semplicissima, ed evita di doversi ricordare o segnare assurdi codici alfanumerici come X45AS39dej2 (case sensitive).

Paolo Attivissimo ha detto...

Gormlaith

...l'hai conosciuta anche tu? :-)

mastrocigliegia ha detto...

Paolo Attivissimo ha detto...
Gormlaith

...l'hai conosciuta anche tu? :-)


Avevano regalato la maglietta anche a lei?

mc

mastrocigliegia ha detto...

Paolo Attivissimo ha detto...
Gormlaith

...l'hai conosciuta anche tu? :-)


Avevano regalato la maglietta anche a lei?

mc