AntiSec: trafugate 90.000 mail con tanto di password all'esercito USA

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/antisec-t...usa_37680.html

Ancora un colpo da parte dell'hacking movement AntiSec: a finire nel mirino, ironia della sorte, l'esercito USA, con la sottrazione di 90.000 mail e password

Click sul link per visualizzare la notizia.

[tazok]

a quanto sembra erano disponibili in buona parte già da ieri su pastebin

[PaveK]

Quote:

Originariamente inviato da LucaNoize

mettere in luce le falle di un sistema, visto da una certa prospettiva può anche avere una sua utilità, ma divulgare dati privati di persone che non hanno responsabilità sulla sicurezza di quei sistemi sinceramente lo trovo inutile. In questo caso poi, prendere di mira dei militari, che spesso, in caso di bisogno (visto che l'esercito interviene anche in calamità naturali) sono i primi a darsi da fare per salvare il c**o alle persone è da vigliacchi.

Ma è in generale da vigliacchi a prescindere dal lavoro che fanno.
Per "punire" (e anche qui non sono mica tanto d'accordo) quell'azienda di servizi, ci sono andate di mezzo persone che probabilmente manco sapevano dell'esistenza di questa Booz Allen Hamilton.

[cr1d4r]

Non confondere il lavoro per buona volontà/santità però

[Mparlav]

Mi auguro che chi abbia compiuto quest'azione, sappia a cosa va' veramente incontro, perchè la risposta potrebbe essere tutt'altro che "virtuale".

[WolfTeo]

....se questi 90000 account dell esercito....si divertono a dargli la caccia.... fanno un po' di esercitazione :P e sono uomini che la sconfitta non è nel loro vocabolario .......

[C++Ronaldo]

Quote:

Originariamente inviato da WolfTeo

....se questi 90000 account dell esercito....si divertono a dargli la caccia.... fanno un po' di esercitazione :P e sono uomini che la sconfitta non è nel loro vocabolario .......

peccato che spesso sono "braccia"
gli hacker sono "cervelli"

è più facile che quei 90000 rimangano a bocca asciutta

[flapane]

Quote:

il gruppo AntiSec avrebbe candidamente affermato di aver agito con estrema semplicità, non trovando particolari misure di sicurezza a proteggere il server scelto come obiettivo

Beh, è grave, gravissimo... tanto che non so neanche se crederci o meno.
In mano a chi è affidata la sicurezza di informazioni così sensibili? Gli stessi che mi hanno fatto entrare nel Pentagono con macchina fotografica al collo, dicendo: "però non la usare" ? E se avessi voluto prelevare anche io "informazioni sensibili" sotto forma di immagini?

[C++Ronaldo]

Quote:

Originariamente inviato da flapane

Gli stessi che mi hanno fatto entrare nel Pentagono con macchina fotografica al collo, dicendo: "però non la usare" ? E se avessi voluto prelevare anche io "informazioni sensibili" sotto forma di immagini?

le cose sensibili non le fanno al pentagono
ma le fanno altrove...chissàdove!

il pentagono è solo un insieme di uffici...carta,burocrazia e grassi stipendi

una volta avevo letto un articolo su un giornale che diceva di servizi segreti et similia dentro finte lavanderie, finte agenzie di viaggi, con tanto di insegne...figurati se stanno là ad aspettare noi con la macchinetta fotografica
al pentagono.

le email trafugate? di sicuro quelle dei soldatini a 1000 dollari al mese.
Quelli che che usano in prima linea come carne da macello
e per cui anche i server sono adeguati al calibro...
Mica gli account dei capi dei capi dei capi.
Anche perchè le mail dei capi da usare per operazioni segrete magari stanno su server finti tipo
pornotettone_com o backupdataservices_com... e l'hacker dove sta, non lo troverà mai.

[PaveK]

Quote:

Originariamente inviato da C++Ronaldo

le email trafugate? quelle dei soldatini a 1000 dollari al mese.

[OT]
Forse intendevi dire da 5000 dollari, a salire, al mese.
[/OT]

[C++Ronaldo]

Quote:

Originariamente inviato da PaveK

[OT]
Forse intendevi dire da 5000 dollari, a salire, al mese.
[/OT]

forse sbaglio, o ricordo male, ma io so che certe cifre alte le prendi solo se parti in missione e stai sul campo.

il resto dell'anno se stai a casa in caserma prendi quanto uno stipendio medio basso qualsiasi. Tipo 1000-1500.

però non ne son sicuro,se sbaglio dillo.

(sarebbe anche dimostrato dal fatto che tutti dicono che la guerra in afghanistan costa molto alla nazione)

[informatico_stefano]

si perche miglioni di cittadini pagano molti soldati che vanno a morire per la liberta
se li prendono e stanno in usa rischiano la pena di morte per tradimento

[uncletoma]

Uno dei motti dell'azienda è: "design for affordability"
Per caso sfottono?

[birmarco]

Magari è la volta che qualcuno si muove ad eliminare questi gruppi di criminali

[filippo1980]

Bah... capisco la necessità di esternalizzare certi servizi... ma almeno controllate a chi date le informazioni!
Spero vivamente che non sia vera la "facilità" con cui hanno trovato quei dati... ah, un'ultima cosa: avrebbero fatto più bella figura stampando un annuncio in cui informavano del fatto pubblicando solo un estratto degli indirizzi e-mail (giusto per far vedere) ma senza le password!
IMHO

[devbeginner]

Quote:

Originariamente inviato da C++Ronaldo

forse sbaglio, o ricordo male, ma io so che certe cifre alte le prendi solo se parti in missione e stai sul campo.

il resto dell'anno se stai a casa in caserma prendi quanto uno stipendio medio basso qualsiasi. Tipo 1000-1500.

però non ne son sicuro,se sbaglio dillo.

(sarebbe anche dimostrato dal fatto che tutti dicono che la guerra in afghanistan costa molto alla nazione)

gli stipendi in USA sono molto più alti anche perché devono pagarsi tutto quanto. Verosimilmente non sono solo 1500 dollari e tra tutti i dipendenti statali l'esercito paga bene (ed è una grossa voce nel bilancio USA).


La facilità con cui hanno bucato la sicurezza e gli episodi precedenti mi fa pensare che nelle varie organizzazioni governative non si faccia granché uso dei Tiger Team altrimenti alcune falle marchiane sarebbero venute alla luce prima, nonostante si parli di giganti da dover gestire.

[dawid999]

Quote:

Originariamente inviato da filippo1980

Bah... capisco la necessità di esternalizzare certi servizi... ma almeno controllate a chi date le informazioni!
Spero vivamente che non sia vera la "facilità" con cui hanno trovato quei dati... ah, un'ultima cosa: avrebbero fatto più bella figura stampando un annuncio in cui informavano del fatto pubblicando solo un estratto degli indirizzi e-mail (giusto per far vedere) ma senza le password!
IMHO

Le password sono dei hash quindi è quasi come non averle pubblicate

[Pier2204]

Quote:

Originariamente inviato da birmarco

Magari è la volta che qualcuno si muove ad eliminare questi gruppi di criminali

Io muoverei i Navy Seals equipaggiati di M16, AK47 ed RPG

Quote:

Originariamente inviato da devbeginner

La facilità con cui hanno bucato la sicurezza e gli episodi precedenti mi fa pensare che nelle varie organizzazioni governative non si faccia granché uso dei Tiger Team altrimenti alcune falle marchiane sarebbero venute alla luce prima, nonostante si parli di giganti da dover gestire.

Mi ricorda molto la situazione dei controlli degli aeroporti Americani prima dell'11 settembre, avevano appaltato la sicurezza ad aziende esterne sempre più a basso costo. Per risparmiare i controlli erano molto aprossimativi con poco personale e turni lunghissimi.
Non so se nell'esercito usano appalti esterni..

[PaveK]

Quote:

Originariamente inviato da dawid999

Le password sono dei hash quindi è quasi come non averle pubblicate

Sì come no
Tavole arcobaleno?

[dawid999]

Quote:

Originariamente inviato da PaveK

Sì come no
Tavole arcobaleno?

Beh puoi controllare se vuoi, il file è liberamente scaricabile, basta cercarlo su google.
Gli hash se fatti con un minimo di testa sono composti da password + salt, il salt di solito è una sequenza di bit generata casualmente (spesso viene utilizzata la data e l'ora) grazie a questo oltre a indovinare la password dovresti anche indovinare la sequenza di bit casuale che è stata generata appena prima del primo salvataggio della password nel database e la modalità con cui l'hash è stato generato.

Comunque le password in questo specifico caso erano dei md5 senza salt... ho verificato ora.. normali md5