Ricevi gli aggiornamenti nella tua email:




gen
13th

Global Intelligence Forecasting, Ovvero la Password è: ‘pippo’

Author: Angelo Righi | News

Fare previsioni non è semplice, neppure per chi lo fa di mestiere. Per esempio, una delle principali aziende mondiali di intelligence e previsioni strategiche, ovvero la Stratfor (Strategic Forecasting) non è riuscita a prevedere che il 24 Dicembre sarebbe stata colpita da un devastante attacco informatico.

Come sa bene Kevin Mitnick, il periodo natalizio è particolarmente indicato per sferrare attacchi informatici. Ed è esattamente quello che è avventuo il 24 Dicembre scorso, quando il collettivo internazionale Anonymous è riuscito ad esfiltrare 200GB di dati sensibilissimi dai server della Stratfor Global Intelligence.

Tra il bottino di guerra che si sono ritrovati tra mani gli “anonimi” si possono trovare dati dei clienti Stratfor, compresi indirizzi email e numeri di carta di credito. Tra i dati prelevati ci sarebbero anche quelli di MF Global, il gigante USA attivo sul mercato dei derivati finanziari, fallito nell’ottobre del 2011. Inoltre del bottino fanno parte anche circa 800000 (800160 per la precisione) hash di password. E qui viene il bello.

Ebbene, il sito thetechherald.com ha deciso di analizzare questi hash ed ha tentato di craccarli. Il risultato è quantomeno sconcertante, se si considera che i clienti di Stratfor sono (erano?) agenzie governative, grandi compagnie internazionali, banche mondiali).

Gli autori di questo esperimento sono stati in grado di craccare complessivamente 81833 password, di cui 25690 “cadute” in soli 7 minuti, sotto l’attacco di una wordlist ridotta.

Negli attacchi successivi, sferrati con wordlist sempre più corpose sono state craccate le rimanenti password sopravvissute al primo attacco. Tempo complessivo dell’operazione: 4 ore 56 muniti e 3 secondi.

E’ forse inutile precisare che le password craccate sono banali, semplice e contraddicono quasi tutte le regole per la scelta di password robuste. Queste è una lista delle password considerate tra le più ridicole tra quelle craccate:

************
111222333444
112233qqwwee
1234567890qw
123456789abc
123456789kkk
1234567890$
12345678901
1ntell1gence
12345stratfor
P@ss1234P@ss1234
PassWord123!@#
Password0032
password1234
password1981
password2009
password9191
Password999.
P@$$w0rd123
Password01!
password101
Password12*
password122
Password123
q1w2e3r4t5y6
qazwsx123123
qazwsx654321
qazwsxedc123
qwer1234qwer
qwerty123456
qwertyuiop00
administration
basketball
blackwater
blackberry
blackwatch
blackhawks
blockbuster
blackberry123
Braveheart123
biochemistry
conservative
Changeme12345
footballfreak
generalpatton
globalaffairs
globalization
geopolitical
hello123
help4me!
hongkong
islamofascist
intelligence
lawenforcement
liveandletlive
mypassword1
opsec
outstanding
Overlord888
stephanopoulos
super5collider
surveillance4u
thx1138thx1138

Sembra incredibile che nel 2012 siamo ancora qui a parlare del problema delle password deboli, e ovviamente la cosa che colpisce di più è che siano colpite da questo problema anche mega corporation globali.

Si riuscirà nell’anno corrente a trovare una soluzione a questa piaga? Se siete impazienti e non avete voglia di aspettare il 31 Dicembre, provate a chiederlo ai Maya.


Altri articoli:

Crittografia Xor con Python
Ho scritto una semplice classe in Python per cifrare file tramite xor. Xor (exclusive or) è un'operazione...

Craccare gli Hash di WordPress
Sebbene le password di una web application vengano memorizzate nel database in formato cifrato,...

Hash Cracking con Hashcat
Per quanto possa sembrare strano, il cracking delle password, o meglio l’hash cracking, viene effettuato...

Contromisure al Cracking degli Hash (e contro-contromisure)
Le funzioni hash sono funzioni in grado di produrre un risultato univoco di lunghezza fissa partendo...



Se vuoi essere sicuro di ricevere tutti gli aggiornamenti di PillolHacking gratuitamente nella tua email, iscriviti inserendo il tuo indirizzo qui sotto:


Sorry, comments for this entry are closed at this time.