2008/09/23

Bucata la mail della candidata vicepresidente USA: lezioni per tutti

Quant'è facile rubare la password di una casella di posta? Ce lo dimostra Sarah Palin (suo malgrado)


Questo articolo vi arriva grazie alle gentili donazioni di "l.diaco" e "stefano.pa****".

Le caselle di posta su Yahoo di Sarah Palin, la candidata repubblicana alla vicepresidenza degli Stati Uniti, sono state violate da un intruso e il loro contenuto è stato pubblicato su Internet. Al di là della correttezza o meno del gesto e del contenuto delle caselle in questione, l'episodio è una lezione per tutti sull'insicurezza delle normali protezioni delle caselle di posta online. Per fortuna c'è un rimedio abbastanza semplice: mentire.

Cominciamo dall'inizio. Il 17 settembre scorso, due caselle di posta privata di Sarah Palin, gov.palin@yahoo.com e gov.sarah@yahoo.com (ora cancellate), sono state oggetto di un'intrusione. Una persona che si fa chiamare online Rubico ha trovato il modo di accedere alle caselle e ne ha pubblicato il contenuto qui su Wikileaks, sito noto come deposito di materiale scottante e di pubblica denuncia che nessun altro osa pubblicare.

Il contenuto delle caselle si è rivelato decisamente poco interessante. Chi si attendeva rivelazioni clamorose è rimasto a bocca asciutta: qualche mail personale, foto di famiglia, e nient'altro. I sospetti sull'identità dell'intruso, nel frattempo, si sono concentrati su David Kernell, studente ventenne della University of Tennessee-Knoxville e figlio di un rappresentante dei democratici del Tennessee, Mike Kernell. La prodezza di David gli è valsa l'attenzione dell'FBI, visto che violare la posta di una candidata vicepresidente è questione di sicurezza nazionale.

Al di là dei battibecchi politici e le discussioni sulla liceità del comportamento dell'intruso (secondo le leggi statunitensi, l'intrusione in sé sarebbe illegale, mentre pubblicare i documenti ottenuti tramite l'intrusione non lo è, per via dell'interesse pubblico intorno a una candidata), quello che conta per tutti noi è il modo in cui è stata commessa l'intrusione.

Rubico, infatti, non ha usato strumenti da smanettone o da überhacker: ha semplicemente sfruttato, in modo oltretutto dilettantesco, la funzione "ho dimenticato la mia password" di Yahoo. Questa funzione chiede la data di nascita e il codice di avviamento postale di residenza dell'utente e poi chiede una domanda segreta: nel caso della Palin, il luogo dove aveva conosciuto suo marito. Se si immettono correttamente questi dati, la password è modificabile via Web.

Ovviamente la data di nascita e il CAP di un personaggio molto in vista come la Palin non sono stati difficili da trovare, e anche il luogo d'incontro con il futuro marito della Palin è stato indovinato da Rubico con poca fatica leggendo le biografie online della candidata repubblicana. Non c'è voluto altro.

Ora la domanda che si starà ponendo chiunque abbia una casella su Yahoo è "ma allora potrebbe succedere anche a me?". Certamente: e il problema vale non solo per gli utenti Yahoo, ma per quelli di qualsiasi fornitore di caselle di posta che usi questi sistemi di verifica dell'identità.



Il rimedio è semplice, per fortuna. Basta che immettiate dati falsi: alterate la vostra data di nascita, per esempio, avendo però cura di prendere nota in un luogo sicuro di quale data fasulla avete usato, e non date risposte veritiere alle domande di sicurezza (se scegliete "Come si chiama il tuo animale domestico?", non metteteci il nome vero del vostro gatto/cane/criceto/clamidosauro). Fatevi furbi, insomma, così gli intrusi non potranno leggervi la posta usando i vostri dati anagrafici.

Fatevi soprattutto più furbi di Rubico, che ha effettuato la sua intrusione usando un solo proxy (Ctunnel) ed è stato così incosciente da pubblicare, nelle schermate della casella della Palin, l'URL di Ctunnel che aveva usato per l'intrusione. Tanto valeva che si dipingesse un bersaglio addosso. E ora sono guai.

Fonti: Wired, Electronic Frontier Foundation, The Register, BBC, Tgdaily.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili