giovedì 22 maggio 2014

Ebay ed il furto delle password sui server


Ne abbiamo parlato proprio ieri pomeriggio a lezione ​ (ancora la mia sfera di cristallo...)​ :
  • quando l'autenticazione del client si basa su password, il server deve avere copia della password; il segreto del client cioè deve essere noto anche al server;
  • quindi un attaccante o un impiegato disonesto può, in linea di principio, prelevare la password dal server;
  • il che crea uno scenario in cui il client può pagare il costo delle inefficienze / responsabilità del server ​​(quando il client si autentica tramite smart card / crittografia a chiave pubblica le cose sono radicalmente diverse: il server non conosce il segreto del client, può solo verificare che il client effettivamente conosce quel segreto) ​.
Queste cose accadono davvero:

Ebay vittima di un attacco hacker: “Gli utenti cambino la password”
 
Il sito di vendita on line vittima di una cyber imboscata. Ma rassicura: «I dati finanziari non sono stati compromessi». Perdono i titoli in Borsa
 
Clip Betterhttp://www.lastampa.it/2014/05/21/tecnologia/ebay-v…
 
View Now
 
Clip Better
Get it now
Penso che la dimensione di questo problema non sia ben nota, pertanto ho pubblicato una raccolta di aneddoti: http://bartoli-alberto.postach.io/tag/password​. ​ Dateci un'occhiata, vedrete che il problema è davvero enorme e reale: non si tratta di una mera curiosità teorica o possibilità ipotetica (purtroppo nell'elenco compare oggi come data di pubblicazione di ogni notizia, non compare quella vera). Quell'elenco di notizie comprende solo intrusioni nei server, non comprende i furti di password tramite altre tipologie di attacco (phishing, keylogger sui client etc).

Per inciso, alla domanda che mi è stata fatta ieri "se le password sono memorizzate sul server in una forma non invertibile ed il client invia la password nella stessa forma (tecnica utilizzata di frequente, come vedrà chi farà Reti II), allora anche prelevando le password dal server non si riescono ad usare", ho dimenticato di rispondere nel modo più ovvio: "l'attaccante ha tutto il tempo che vuole per trasformare tutte le possibili password nella forma non invertibile e vedere se ne ha indovinato qualcuna". Questa è la tecnica che si usa di solito, esistono software appositi equipaggiati di dizionari di "possibili password" che provano tutte quelle password e le loro variazioni più comuni (tipo cambiare le i in 1 etc). Inutile dire che funziona alla grande. Potrei pubblicare molte notizie su questa faccenda ma per oggi basta così...
Posta un commento