SpippolAzione.net

Mi permetto di postare un paio di articoli passati sulla bacheca Italian Security Professional di LinkedIn

A mio parere queste poche riche dovrebbero far riflettere un attimo sulla metalità dell’utonto utente medio che, seppur cosciente dei problemi di sicurezza presenti in rete, se ne frega bellamente dei consigli di esperti e continua pigramente ad usare le stesse due o tre password (forti quanto ?) per accedere alle moltitudini di servizi online che crescono giorno per giorno.

…che tristezza.

Rapporto tra utenti e password negli Stati Uniti

Gli utenti della rete affermano di essere preoccupati dai crescenti problemi ed incidenti di sicurezza che vengono segnalati ogni giorno in Internet ma solo in pochi sarebbero disposti a sacrificare le proprie abitudini, anche se oggettivamente sbagliate, in favore di una maggiore salvaguardia dei dati personali. A dispetto dell’aumento del numero degli attacchi e delle frodi informatiche, gli utenti continuano a memorizzare e-mail di lavoro ed informazioni di natura sensibile all’interno di server di cui non conoscono la collocazione fisica e persistono in politiche di gestione delle password poco idonee a garantire livelli accettabili di security, preferendo piuttosto rimanere ancorati nelle proprie convinzioni invece di esplorare nuovi modelli di sicurezza. E’ quanto dichiarano i ricercatori Gartner, forti di uno studio condotto lo scorso settembre intervistando circa 4000 utenti statunitensi, studio promosso nel tentativo di accertare i comportamenti assunti dai navigatori in fase di autenticazione ai servizi online. I riscontri emersi dal sondaggio sono completamente sovrapponibili rispetto a quelli degli anni passati, un risultato che non può non allarmare gli esperti. Due terzi del campione sondato ammette infatti di utilizzare sempre le stesse password (solitamente una o due al massimo) per accedere ai siti web che richiedono di completare il processo di autenticazione ma ancora più allarmante è il fatto che la maggior parte non ravvisa nessun pericolo in questa condotta e dichiara di voler continuare a perseguirla.

Rapporto tra utenti e password in Europa

I precedenti riscontri relativi agli Stati Uniti collimano perfettamente con le ricerche condotte nel vecchio continente. Qui si stima che in media il 50% degli utenti utilizzi abitualmente la stessa parola d’accesso. Il navigatore medio sottoscrive sempre più servizi in Internet tanto da arrivare al punto da non riuscire a gestire tutti gli account creati. Il 41% dichiara di fornire le proprie credenziali di autenticazione almeno una volta al giorno, mentre il 20% afferma di avere bisogno delle proprie password dalle dieci alle trenta volte al giorno. Il 16% la cambia una sola volta e solo l’11% la modifica tre volte all’anno. Inoltre il suggerimento degli esperti di utilizzare password più lunghe e complesse sembra non trovare accoglimento. Quasi un terzo degli utenti dichiara di utilizzare ancora password di appena sei caratteri ed almeno un quarto fa uso unicamente di numeri e lettere, senza cioè l’ausilio di caratteri speciali. La motivazione fornita per spiegare questa cattiva abitudine è semplice quanto disarmante: molti utenti entrano in confusione quando si tratta di scegliere quale password utilizzare ed alla fine la maggior parte propende verso una parola d’accesso banale. A causa di ciò in Europa un navigatore della rete su quattro rischia di cadere vittima di una truffa o del furto di identità online.

Di solito la gente mi guarda strano, per via di un certo tocco magico che ho nell’indovinare le password altrui con pochi tentativi.

Non lo faccio apposta, solo che conoscendo la gente mi rimane facile, è un social engineering istintivo…

Ricordate che una buona password dovrebbe essere:

1) Lunga, almeno una decina di caratteri

2) Alfanumerica, ho visto più volte password del tipo “22222222″, ed ero in una banca…

3) Dovrebbe includere caratteri diversi da lettere e numeri, tipo segni di punteggiature, asterischi e quant’altro non è alfabeto.

4) Non usate MAI la stessa password per più servizi, ma una password diversa per ogni servizio (forum / posta elettronica / ebay / portale aziendale o scolastico etc etc) . Sappiamo tutti che è faticoso ricordare una marea di password diverse, ma ci sono dei programmi che vi aiutano in questo arduo compito. Con 30 secondi di ricerca su google ho trovato QUESTO ma è solo un esempio, non prendetelo come oro colato, visto che programmi (gratis) come questo per windows ce ne sono a balle. Linux invece ha integrato un key manager nel sistema, così evitate anche di tenere la password scritte sui post-it attaccati al video…

Per esempio una buona password potrebbe essere

‘/)GR($BFG67gky

Sapete com l’ho ottenuta ? Prendendo a schiaffi la mia SOLIDISSIMA tastiera, un po’ con lo shitf premuto, un po’ no

Può capitare, quando siamo in giro a lavorare col portatile, che qualcuno allunghi il collo e sbirci quello che siamo facendo al computer.

Per ovviare a questa cosa e proteggere la nostra privacy e sicurezza, ci sono due sistemi: uno fornito dalla 3M, si tratta di una una pellicola da applicare sullo schermo (esiste sia in versione fissa che removibile) che permete di vedere perfettamente se siamo davanti al video, ma se ci spostiamo un po’ di lato lo schermo diventa nero, si chiama Vikuiti, e questa immagine dà l’idea di cosa faccia…

Alternativamente, molto piu’ economico e appariscente, possiamo usare Lapstix.

altra foto

.

.

Banca Fideuram, costola di San Paolo, e’ stata inserita nel database mondiale degli spammer SPAMHAUS per una vulnerabilita’ inclusa in una delle sue pagine web. Qui potete leggere la pagina di Spamhaus dove si notifica il fatto:

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL62371

L’inestimabile Marco D’Itri ha postato un messaggio esplicativo su una mailing list che si occupa di sicurezza dove dice che in pratica il sito diFideuram ha una pagina accessibile al pubblico in cui si puo’ inserire arbitrariamente del codice html all’interno di una pagina https.

Questa vulnerabilità è stata sfruttata da dei phisher per inserire un iframe che punta al loro sito che permette di raccogliere i dati inseriti dai clienti, che ovviamente non si aspettano che il sito della propria banca, correttamente cerificato con traffico sicuro SSL di fatto invii i dati digitati nella pagina a un server
taiwanese.

La pagina incriminata citata da Spamhaus in questo momento non sembra rispondere già più, ma la vulnerabilità sulla pagina del sito di Fideuram esiste da più di un mese e a questo momento non sembra stata ancora fixata.

Quindi per i clienti Fideuram consiglio un pò più di attenzione del solito in attesa che venga aggiustato il problema, per coloro che non sanno cos’e’ il PHISHING consiglio la lettura di questa pagina di wikipedia molto esplicativa.

.

.

Sono tornato da qualche ora. Interessante, veramente molto ma molto ma molto interessante.

Oltre ad aver rivisto con piacere l’amico Alessio (Voip insecurity) ed aver visto di persona gente che seguo via rete da tempo come Igor Falcomata’ (Hardening di php e apache, ovvero come cercare di tenere i cattivi fuori dai server quando l’applicazione e’ scritta coi piedi, ovvero come dice Igor: “l’hardening di noartri” ) e Andrea Ghirardini (Computer Forensics) che ha reso un argomento difficile, complesso, vasto come il suo e delicato leggero e facile da seguire come uno show di Daniele Luttazzi a cui assomiglia anche un pochino (almeno visto da lontano com’ero io )

Fa’ bene ogni tanto mettere il naso all’esterno dalla propria rete per vedere chi c’e’ la’ fuori, il problema e’ che c’e’ gente cosi’ brava poi che mi avvilisco…

Comunque c’e’ di bello che ogni giorno in cui si impara qualcosa non e’ mai un giorno perso, ed oggi non e’ di certo un giorno perso.

Della serie: “Ho visto cose che voi umani….”

[EDIT] Le slide, quasi tutte, sono disponibili qui: http://www.atsystemgroup.org/convegni/nss07/programma

E’ risaputo che negli ultimi tempi la potenza di elaborazione pura raggiunta dalle schede video di punta e’ esagerata, quindi i signori di Elcomsoft (una azienda russa che di mestiere scrive software per crackera password di ogni tipo) hanno pensato bene di usare le GPU delle schede video Nvidia GeForce serie 8 per dare una mano alla cpu per diminure il tempo di cracking della password fino a 25 volte.

Nvidia’s GeForce 8 series of graphics chips can be used to crack Windows NT LAN Manager (NTLM) passwords 25 times more quickly than was previously possible, security software developer Elcomsoft has claimed.

The Russia-based company this week announced the second major release of its Distributed Password Recovery application, a tool designed to recover forgotten or lost passwords for a wide range of application and document types, including PDP-protected ZIP files, Adobe Acrobat PDFs, Lotus Notes ID files and Microsoft Office documents.

Elcomsoft admits its software uses “brute force” to crack a file’s password, thus exposing the lost key to the user. The technique essentially tries all possible password combinations until it finds the one that fits. It works, but it’s time time-consuming.

“Using a modern dual-core PC you could test up to 10m passwords per second,” Elcomsoft said, “and perform a complete analysis in two months.”

But use a GeForce 8 series card and Nvidia’s Compute Unified Device Architecture (CUDA) tools to run the cracking algorithms on the GPU rather than the CPU, and you can finish up in 3-5 days, the developer claimed.

“Since high-end PC mother boards can work with four separate video cards, the future is bright for even faster password recovery applications,” it added.

CUDA was launched almost a year ago to enable scientists and engineers to use graphics cards typically aimed at gamers for more serious number-crunching applications. The GeForce 8 series of GPUs went on sale in March 2007.

A questo punto c’e’ solo da CONTINUARE a mettere password serie, piuttosto lunghe, con tutti i caratteri a disposizione, e lasciare stare password fatte con nomi di cose, animali, persone, troppo corte o con pochi caratteri diversi.

Il problema poi e’ sempre il solito: ricordarsene senza attaccare post-it allo schermo