Link alla notizia: http://www.hwfiles.it/news/antisec-trafugate-90000-mail-con-tanto-di-password-all-esercito-usa_37680.html

Ancora un colpo da parte dell'hacking movement AntiSec: a finire nel mirino, ironia della sorte, l'esercito USA, con la sottrazione di 90.000 mail e password

Click sul link per visualizzare la notizia.

a quanto sembra erano disponibili in buona parte già da ieri su pastebin :rolleyes:

mettere in luce le falle di un sistema, visto da una certa prospettiva può anche avere una sua utilità, ma divulgare dati privati di persone che non hanno responsabilità sulla sicurezza di quei sistemi sinceramente lo trovo inutile. In questo caso poi, prendere di mira dei militari, che spesso, in caso di bisogno (visto che l'esercito interviene anche in calamità naturali) sono i primi a darsi da fare per salvare il c**o alle persone è da vigliacchi.
Ma è in generale da vigliacchi a prescindere dal lavoro che fanno.
Per "punire" (e anche qui non sono mica tanto d'accordo) quell'azienda di servizi, ci sono andate di mezzo persone che probabilmente manco sapevano dell'esistenza di questa Booz Allen Hamilton.

Non confondere il lavoro per buona volontà/santità però :)

Mi auguro che chi abbia compiuto quest'azione, sappia a cosa va' veramente incontro, perchè la risposta potrebbe essere tutt'altro che "virtuale".

....se questi 90000 account dell esercito....si divertono a dargli la caccia.... :D fanno un po' di esercitazione :P e sono uomini che la sconfitta non è nel loro vocabolario :D.......

....se questi 90000 account dell esercito....si divertono a dargli la caccia.... :D fanno un po' di esercitazione :P e sono uomini che la sconfitta non è nel loro vocabolario :D.......

peccato che spesso sono "braccia"
gli hacker sono "cervelli"

è più facile che quei 90000 rimangano a bocca asciutta

il gruppo AntiSec avrebbe candidamente affermato di aver agito con estrema semplicità, non trovando particolari misure di sicurezza a proteggere il server scelto come obiettivo

Beh, è grave, gravissimo... tanto che non so neanche se crederci o meno.
In mano a chi è affidata la sicurezza di informazioni così sensibili? Gli stessi che mi hanno fatto entrare nel Pentagono con macchina fotografica al collo, dicendo: "però non la usare" ? E se avessi voluto prelevare anche io "informazioni sensibili" sotto forma di immagini?

Gli stessi che mi hanno fatto entrare nel Pentagono con macchina fotografica al collo, dicendo: "però non la usare" ? E se avessi voluto prelevare anche io "informazioni sensibili" sotto forma di immagini?

le cose sensibili non le fanno al pentagono
ma le fanno altrove...chissàdove!

il pentagono è solo un insieme di uffici...carta,burocrazia e grassi stipendi

una volta avevo letto un articolo su un giornale che diceva di servizi segreti et similia dentro finte lavanderie, finte agenzie di viaggi, con tanto di insegne...figurati se stanno là ad aspettare noi con la macchinetta fotografica
al pentagono.

le email trafugate? di sicuro quelle dei soldatini a 1000 dollari al mese.
Quelli che che usano in prima linea come carne da macello
e per cui anche i server sono adeguati al calibro...
Mica gli account dei capi dei capi dei capi.
Anche perchè le mail dei capi da usare per operazioni segrete magari stanno su server finti tipo
pornotettone_com o backupdataservices_com... e l'hacker dove sta, non lo troverà mai.

le email trafugate? quelle dei soldatini a 1000 dollari al mese.

Forse intendevi dire da 5000 dollari, a salire, al mese.

Forse intendevi dire da 5000 dollari, a salire, al mese.


forse sbaglio, o ricordo male, ma io so che certe cifre alte le prendi solo se parti in missione e stai sul campo.

il resto dell'anno se stai a casa in caserma prendi quanto uno stipendio medio basso qualsiasi. Tipo 1000-1500.

però non ne son sicuro,se sbaglio dillo.

(sarebbe anche dimostrato dal fatto che tutti dicono che la guerra in afghanistan costa molto alla nazione)

si perche miglioni di cittadini pagano molti soldati che vanno a morire per la liberta
se li prendono e stanno in usa rischiano la pena di morte per tradimento

Uno dei motti dell'azienda è: "design for affordability"
Per caso sfottono?

Magari è la volta che qualcuno si muove ad eliminare questi gruppi di criminali

Bah... capisco la necessità di esternalizzare certi servizi... ma almeno controllate a chi date le informazioni!
Spero vivamente che non sia vera la "facilità" con cui hanno trovato quei dati... ah, un'ultima cosa: avrebbero fatto più bella figura stampando un annuncio in cui informavano del fatto pubblicando solo un estratto degli indirizzi e-mail (giusto per far vedere) ma senza le password!
IMHO

forse sbaglio, o ricordo male, ma io so che certe cifre alte le prendi solo se parti in missione e stai sul campo.

il resto dell'anno se stai a casa in caserma prendi quanto uno stipendio medio basso qualsiasi. Tipo 1000-1500.

però non ne son sicuro,se sbaglio dillo.

(sarebbe anche dimostrato dal fatto che tutti dicono che la guerra in afghanistan costa molto alla nazione)

gli stipendi in USA sono molto più alti anche perché devono pagarsi tutto quanto. Verosimilmente non sono solo 1500 dollari e tra tutti i dipendenti statali l'esercito paga bene (ed è una grossa voce nel bilancio USA).


La facilità con cui hanno bucato la sicurezza e gli episodi precedenti mi fa pensare che nelle varie organizzazioni governative non si faccia granché uso dei Tiger Team altrimenti alcune falle marchiane sarebbero venute alla luce prima, nonostante si parli di giganti da dover gestire.

Bah... capisco la necessità di esternalizzare certi servizi... ma almeno controllate a chi date le informazioni!
Spero vivamente che non sia vera la "facilità" con cui hanno trovato quei dati... ah, un'ultima cosa: avrebbero fatto più bella figura stampando un annuncio in cui informavano del fatto pubblicando solo un estratto degli indirizzi e-mail (giusto per far vedere) ma senza le password!
IMHO

Le password sono dei hash quindi è quasi come non averle pubblicate

Magari è la volta che qualcuno si muove ad eliminare questi gruppi di criminali

Io muoverei i Navy Seals equipaggiati di M16, AK47 ed RPG :D




La facilità con cui hanno bucato la sicurezza e gli episodi precedenti mi fa pensare che nelle varie organizzazioni governative non si faccia granché uso dei Tiger Team altrimenti alcune falle marchiane sarebbero venute alla luce prima, nonostante si parli di giganti da dover gestire.

Mi ricorda molto la situazione dei controlli degli aeroporti Americani prima dell'11 settembre, avevano appaltato la sicurezza ad aziende esterne sempre più a basso costo. Per risparmiare i controlli erano molto aprossimativi con poco personale e turni lunghissimi.
Non so se nell'esercito usano appalti esterni..

Le password sono dei hash quindi è quasi come non averle pubblicate
Sì come no :D
Tavole arcobaleno? :fiufiu:

Sì come no :D
Tavole arcobaleno? :fiufiu:

Beh puoi controllare se vuoi, il file è liberamente scaricabile, basta cercarlo su google.
Gli hash se fatti con un minimo di testa sono composti da password + salt, il salt di solito è una sequenza di bit generata casualmente (spesso viene utilizzata la data e l'ora) grazie a questo oltre a indovinare la password dovresti anche indovinare la sequenza di bit casuale che è stata generata appena prima del primo salvataggio della password nel database e la modalità con cui l'hash è stato generato.

Comunque le password in questo specifico caso erano dei md5 senza salt... ho verificato ora.. normali md5

d'accordo, ma tu, anche se ti pagassero, lo faresti?
ci sono persone che fanno certi lavori (come anche le forze dell'ordine) non per i soldi ma perchè credono in certi valori (non tutti ovviamente) :)

fine ot

questi lo fanno per un solo valore..tanti bei verdoni

Beh, è grave, gravissimo... tanto che non so neanche se crederci o meno.
In mano a chi è affidata la sicurezza di informazioni così sensibili? Gli stessi che mi hanno fatto entrare nel Pentagono con macchina fotografica al collo, dicendo: "però non la usare" ? E se avessi voluto prelevare anche io "informazioni sensibili" sotto forma di immagini?

vuol dire che li nell'edificio di sensibile ci sono solo i caratteri delle segretarie :D

Magari è la volta che qualcuno si muove ad eliminare questi gruppi di criminali

Codice IIR
Individuazione
Identificazione
Repressione

una volta individuati farli passare il resto della vita lontano da un pc e mandarli in prima fila in occasione di soccorsi per uragani, incendi, eruzioni vulcaniche, tsunami, e farli ripulire citta come Napoli OVVIAMENTE GRATIS
:huh: :huh: :huh: :bsod:

Anche perchè le mail dei capi da usare per operazioni segrete magari stanno su server finti tipo pornotettone_com o backupdataservices_com... e l'hacker dove sta, non lo troverà mai.

Cosco l'indirizzo email "istituzionale" di un nostrano "agente segreto" pluridecorato (sforacchiato da vari calibri) e, infatti, il dominio è @iol_it... ehm... non so se potevo dirvelo :D

preferirei attacchi e buchi alla Corea del Nord

Io muoverei i Navy Seals equipaggiati di M16, AK47 ed RPG :D

Mi ricorda molto la situazione dei controlli degli aeroporti Americani prima dell'11 settembre, avevano appaltato la sicurezza ad aziende esterne sempre più a basso costo. Per risparmiare i controlli erano molto aprossimativi con poco personale e turni lunghissimi.
Non so se nell'esercito usano appalti esterni..

senza entrare in discorsi di fantapolitica, cospirazioni hollywoodiane, ci sono talmente tante commistioni tra i vari settori della Difesa e società private di consulenza e affini (spesso fondate e gestite proprio da ex militari) che non mi stupirei svariate competenze siano delegate ancora a terzi, sempre in materia di sicurezza, con tutti i rischi del caso.

Beh puoi controllare se vuoi, il file è liberamente scaricabile, basta cercarlo su google.
Gli hash se fatti con un minimo di testa sono composti da password + salt, il salt di solito è una sequenza di bit generata casualmente (spesso viene utilizzata la data e l'ora) grazie a questo oltre a indovinare la password dovresti anche indovinare la sequenza di bit casuale che è stata generata appena prima del primo salvataggio della password nel database e la modalità con cui l'hash è stato generato.

Comunque le password in questo specifico caso erano dei md5 senza salt... ho verificato ora.. normali md5
Grazie, so abbastanza bene cosa sia il salt, ma avevi scritto password sotto hash senza nominare il salt, tutto qui.
Comunque leggo che non c'è limite alal follia, via di tabelle arcobaleno! :mbe: