افتح يا سمسم …. Guess what?
Il povero taglialegna Alì Babà era dedito alla famiglia e non aveva nessuna pretesa nella sua vita. Un giorno vide passare, nella foresta dove tagliava la legna, un gruppo di uomini a cavallo che si dirigeva verso l’unica roccia presente nei dintorni. Preso dalla curiosità e dallo spirito d’avventura, li seguì. Una volta appostato in alto su uno degli alberi li vicino, vide uno dei cavalieri scendere da cavallo e lo sentì pronunciare le parole: “Apriti Sesamo”. Subito la roccia si aprì e i cavalieri entrarono al suo interno. Più tardi una volta dopo che i visitatori uscirono e si allontanarono dalla radura, il curioso Ali provò a entrare pronunciando le parole segrete…. e sappiamo tutti poi cosa successe.
Cosa fece Alì Babà, al di là della storia persiana che ricordo sempre col sorriso? Traslando la sua esperienza all’oggi, egli non fece altro che violare, in gergo craccare (dall’inglese to crack ovvero spezzare, compromettere), una password. In quel caso si trattava di un codice segreto che si basava sulla voce mentre oggi parliamo di password che viaggiano in digitale.
Ce lo dimostra anche Alì Babà: il modo con cui violare una password è vecchio quanto le password stesse il che vale anche per i sistemi informatici di oggi: accadde nel 1961 quando, utilizzando un sistema del Massachusetts Institute of Technology chiamato CTSS Compatible Time-Sharing System, Allan Scherr stampò un file contenente le password di tutti gli utenti. Lo fece perchè voleva avere più tempo a disposizione per continuare il suo lavoro: il sistema che stava usando, infatti, permetteva un utilizzo limitato di massimo di quattro ore al giorno per utente. Fu così che, dopo aver stampato il file delle credenziali, Scherr potè tranquillamente finire la propria attività senza attendere che la propria utenza avesse la possibilità di connettersi nuovamente il giorno successivo.
d41e98d1eafa6d6011d3a70f1a5b92f0
Password Cracking, quindi, non è, come molti pensano, un modo esclusivamente tecnico di scovare una password. Per Password Cracking si intendono tutte quelle operazioni che permettono di reperire una credenziale da una fonte di informazione sia essa un file criptato, un hash o anche fonti non tecnologiche. Questi tipi di attacchi possono essere effettuati in varie modalità, tra le più note:
- brute force, un attacco che permette di risalire ad una password carattere per carattere necessitando però di molta potenza di calcolo e di molto, spesso troppo tempo;
- dictionary, un metodo che usa dei file contenenti delle password note, chiamati wordlist, con il risultato eccezionale di riuscire ad intercettare la maggior parte delle utenze in una azienda, senza troppi sforzi;
- rainbow tables, basata su una struttura di tabelle contenenti hash di password già correlate alla stringa in chiaro, che però hanno il difetto di occupare un po’ troppo spazio disco, ma che al contempo garantiscono una percentuale di riuscita molto vicina al 100%;
- altre metodologie che vanno dall’uso di malware per l’estrazione di password dalle cache dei computer o mediante altre tecniche, al phishing e alla geniale e intramontabile metodologia guess, con cui si può indovinare una parola d’ordine senza sprecare un bit, ma semplicemente sfruttando degli indizi della vita privata o professionale dell’utente, unita al mai banale Social Engineering. In fondo cosa c’è di più facile che farsi dire la password invece di arrovellarsi in congetture matematiche, ricorrendo a tecnicismi narcisisti? Il nostro Alì Babà ad esempio usò, a sua insaputa, una metodologia di Password Cracking detta shoulder surfing. Meno nota di altre ma largamente diffusa, permette di ascoltare o vedere una password attraverso sistemi di videosorveglianza, cellulari, microspie. Insomma di modi per ottenere una password ce ne sono moltissimi e tutti molto validi.
Di qui la domanda: password è ancora il metodo di autenticazione primario da usare?
“The Password is dead”: cosa fare?
Durante l’RSA Conference del 2004 Bill Gates, parlando delle password, disse: “non soddisfano i requisiti per qualsiasi cosa si voglia rendere sicura”. Di certo non è il solo a pensarla così: nel 2011 anche IBM predisse che entro cinque anni le password non sarebbero state più necessarie. Il gigante Google, nella persona di Heather Adkins, nel 2013 si è unito al coro dicendo che: “alla Google le password hanno fatto il loro tempo”. Molti altri ancora asseriscono che le password siano arrivate alla loro fine naturale. Certamente questo è dovuto alla semplicità con cui sempre più sia possibile scoprirle, e molto dipende anche dalla sempre più elevata capacità dei sistemi di avere maggiore potenza di calcolo sfruttando, non più solamente la CPU, ma anche la memoria grafica GPU. Con il risultato di riuscire a moltiplicare esponenzialmente le proprie risorse. Inoltre, molti software gratuiti e distribuzioni di sistemi operativi Linux riescono, con delle semplici istruzioni, a craccare password anche di complessità media. E allora cosa fare?
Come migliorare la situazione nelle aziende e nelle organizzazioni che vogliono proteggersi dal rischio di subire furto di credenziali? La risposta purtroppo non è semplice e non può essere standardizzata per tutte le aziende, ognuna di esse deve al proprio interno identificare quali sono i perimetri con maggior rischio e utilizzare più metodologie di controllo accesso, combinate in strong authentication.
Tra le più importanti sicuramente l’utilizzo di sistemi di: Single-Use-Password o One-Time-Password, combinazioni di accesso con password e rilevamenti biometrici, security token. Molti dei quali, però, richiedono una manutenzione sicuramente più importante sia in termini di costi, sia come spesa di infrastruttura e licenze di prodotto, rispetto alle più semplici e meno onerose password. Allora, per chi preferisce ancora aspettare che i tempi siano maturi per un cambiamento, il mio consiglio è quello di educare il personale aziendale alla cura e all’attenzione verso la sicurezza informatica e in particolare nella scelta delle password, anche personali. Usando Passw0rd come parola d’ordine, sicuramente rispetto i criteri delle policy della maggior parte dei sistemi ma in ogni wordlist per cracking o anche semplicemente “indovinando” la credenziale si ottiene facilmente accesso. Lo stesso vale per nomi aziendali, di persone, di cose, con numeri finali, specialmente se riferiti ad anni recenti. E come PasswOrd ci sono moltissimi altri codici che non superano la prova sicurezza: ne parla anche Splashdata con la sua consueta classifica delle peggiori password.
Purtroppo basta anche un solo utente “compromesso” per rendere più vulnerabile tutto il sistema dell’azienda.
Facebook Comments