poste.it sotto attacco?

[ulk]

Quote:

Originariamente inviato da eraser

Via, con qualcosa qualcuno si è divertito

Balle, eviterebbero di mandare mail per carpire utente e password login, per i soldi adesso è ancora più complicato.

[CaFFeiNe]

Quote:

Originariamente inviato da kevindavidmitnick

è quello che infatti succede

per l'appunto Kevin Mitnick dopo i suoi problemi con la giustizia fu assunto dalle principali aziende di sicurezza informatica

fino a che non si è aperto una sua scuola di sicurezza informatica

anche se la specialita' di mitnick era ed è l'ingegneria sociale

[Rizlo+]

Quote:

Originariamente inviato da ulk

Balle, eviterebbero di mandare mail per carpire utente e password login, per i soldi adesso è ancora più complicato.

Ma cosa c'entra il phishing? La pagina iniettabile potrebbe essere stata scoperta solo da alcuni in tempi relativamente recenti (l'unica traccia che si trova in rete è il 5 settembre) il phishing verso poste italiane è una cosa che sta andando avanti da diversi anni, i gruppi dediti al phishing tendenzialmente non sono esperti di sicurezza...

Comunque eraser ha detto "con qualcosa qualcuno si è divertito" non mi sembra che in questo sia implicito che hanno avuto la possibilità di arrivare ai soldi. Scoprire una vulnerabilità di questo tipo è un divertimento immenso di per se

[Gennarino]

Anche le Poste, come tante altre entita' italiche, hanno seri problemi nel gestire la politica del vulnerability assessment (come si traduce in italiano?).

Pagare dei Professionisti (P maiuscola) LPT o CEH ha un costo, ma il ritorno e' immensamente piu' grande. Il problema resta quando il management e' affidato a persone che si son laureate con indirizzi umanistici e non capiscono una beneamata di tecnologie, neanche minimamente.
La domanda che si pongono e': "quanto costa ?"
Ma deficiente, il costo lascialo valutare ad un responsabile di Risk Assessment, tu continua ad andare su YouTube a guardarti i video e il tuo conto in banca !!!!!!

Quand'ero in Italia, uno dei miei boss ad altissimo livello, capo assoluto di un settore della sicurezza delle telecomunicazioni di una ENORME azienda italiana, mi ha fermato nel corridoio dicendomi di andare nel suo ufficio per una domanda estremamente tecnica:

"Che antivirus usi ?"

Questo e' il livello.

Per fortuna non sono tutti cosi. Posso garantirvi pero', per esperienza personale, perche' conosco la struttura, perche' conosco le persone, che vi sono entita' italiane che gestiscono MILIONI di Euro ogni giorno (soldi loro e dei clienti), che hanno le palle poliedriche

Uno di questi e' stato messo in direzione.
Risultato? E' diventato un vero manager, ma non per colpa sua, si e' dovuto adeguare al lavoro che ha avuto, alla promozione, non potendo piu' giocare "sul campo" si ritrova parecchio indietro rispetto all'evoluzione del mondo tecnologia e sicurezza informatica. Adesso se gli parli di SQL Injection o di XSS, te ne parla come un libro stampato, senza avere cognizione di causa...

' OR 1=1/* come diceva qualcuno.....

Perdonatemi lo sfogo...

[ulk]

Quote:

Originariamente inviato da Rizlo+

i gruppi dediti al phishing tendenzialmente non sono esperti di sicurezza...

Eh già sono i classici Bruno il tapezziere e Gino l'arrotino che non hanno lavoro e si barcamenano con un 486.

[Jarni]

Quote:

Originariamente inviato da ulk

Eh già sono i classici Bruno il tapezziere e Gino l'arrotino che non hanno lavoro e si barcamenano con un 486.

Il phishing è un giochetto da ragazzi, non lo classificherei nemmeno come hacking.

[Rizlo+]

Quoto Jarni

[ulk]

Quote:

Originariamente inviato da Jarni

Il phishing è un giochetto da ragazzi, non lo classificherei nemmeno come hacking.

ALT io non parlo del phishing, parlo di quella pagina dove appaiono login e password di alcuni utenti.

[Jarni]

Quote:

Originariamente inviato da ulk

ALT io non parlo del phishing, parlo di quella pagina dove appaiono login e password di alcuni utenti.

[cdimauro]

Quote:

Originariamente inviato da eraser

Traduco a parole povere e per rendere bene l'idea: usare l'MD5 è insicuro perché un eventuale attaccante è potenzialmente in grado di rigenerare lo stesso hash con una password differente.

Spiegato meglio: l'utente Duilio Giamboni inserisce la sua password per accedere al sistema. La password viene trasformata in un hash MD5 e viene comparata con l'hash salvato nel database (l'hash era stato creato la prima volta quando l'utente si era registrato e aveva inserito la sua password personale). L'hash dovrebbe essere assolutamente unico, cioè ad uno specifico testo (password in questo caso) corrisponde uno ed un solo hash.

Cosa garantisce questo (tra le tante cose)? Che se il database venisse bucato, le password non sarebbero in chiaro ma salvate sottoforma di hash. Dall'hash è tecnicamente impossibile tornare alla password in chiaro, perché la funzione di hashing è una funzione non invertibile.

Per cui tutti al sicuro? No, perché è stato dimostrato che l'MD5 ha alcune vulnerabilità che permettono di ottenere lo stesso hash con input differenti.

Quindi, tecnicamente, conoscendo l'hash MD5, il pirata informatico PincoPallino potrebbe creare una password ad hoc per ottenere lo stesso hash, avendo così accesso al sistema pur non conoscendo la password originale.

Spero sia più chiaro

Faccio una precisazione. Matematicamente un hash è impossibile che sia unico, qualunque sia l'algoritmo passato presente e futuro, se in pasto gli possiamo dare un qualunque input.

Formalmente, posto che da un qualunque messaggio x, con l'algoritmo scelto, si debba ottenere un hash a n bit, è sempre possibile generare un altro messaggio y, con x ovviamente diverso da x, tale che hash(x) = hash(y).

Banalmente, è sufficiente generare (2^n) + 1 messaggi diversi affinché sicuramente si ottengano almeno due messaggi il cui hash calcolato sia identico.

Ciò che importa con gli algoritmi di hash è la loro robustezza. Perché sulla carta per crackare un qualunque algoritmo di hash si dovrebbe ricorrere al classico attacco di tipo brute force. Ma il numero di tentativi da effettuare è enorme (mediamente pari a 2^(n - 1)).

Però, in base al tipo di algoritmo, si possono trovare delle falle che riducono considerevolmente il numero di tentativi, facendolo diventare abbordabile. Ecco perché MD5 prima e SHA1 poi sono stati "crackati".

P.S. Per quanto detto, sconsiglio di generare delle chiavi primarie (o univoche) per le tabelle dei database usando un qualunque algoritmo di hash: l'univocità non è affatto garantita (statisticamente si parla di eventi poco probabili, ma... possono sempre capitare).

[ulk]

Quote:

Originariamente inviato da Jarni

http://unu1234567.baywords.com/files...bloginpass.JPG

[Jarni]

Quote:

Originariamente inviato da ulk

http://unu1234567.baywords.com/files...bloginpass.JPG

E' la schermata di un programma.
Saperlo usare non significa essere un hacker.
Progettarlo sì.

[ulk]

Quote:

Originariamente inviato da Jarni

E' la schermata di un programma.
Saperlo usare non significa essere un hacker.
Progettarlo sì.

Sia quel che sia, sono o non sono login e password?

[Jarni]

Quote:

Originariamente inviato da ulk

Sia quel che sia, sono o non sono login e password?

Non sono difficili da ottenere se si ha a disposizione una falla abbastanza grossa.

[ulk]

Quote:

Originariamente inviato da Jarni

Non sono difficili da ottenere se si ha a disposizione una falla abbastanza grossa.

E quindi alla fine anche Bruno il tapezziere e Gino l'arrotino possono ricavere login e password.

[Gennarino]

Quote:

Originariamente inviato da ulk

Sia quel che sia, sono o non sono login e password?

NON sono le password... ma l'hash delle password abbinato ad ogni username.

[eraser]

Quote:

Originariamente inviato da cdimauro

Faccio una precisazione. Matematicamente un hash è impossibile che sia unico, qualunque sia l'algoritmo passato presente e futuro, se in pasto gli possiamo dare un qualunque input.

Formalmente, posto che da un qualunque messaggio x, con l'algoritmo scelto, si debba ottenere un hash a n bit, è sempre possibile generare un altro messaggio y, con x ovviamente diverso da x, tale che hash(x) = hash(y).

Banalmente, è sufficiente generare (2^n) + 1 messaggi diversi affinché sicuramente si ottengano almeno due messaggi il cui hash calcolato sia identico.

Ciò che importa con gli algoritmi di hash è la loro robustezza. Perché sulla carta per crackare un qualunque algoritmo di hash si dovrebbe ricorrere al classico attacco di tipo brute force. Ma il numero di tentativi da effettuare è enorme (mediamente pari a 2^(n - 1)).

Però, in base al tipo di algoritmo, si possono trovare delle falle che riducono considerevolmente il numero di tentativi, facendolo diventare abbordabile. Ecco perché MD5 prima e SHA1 poi sono stati "crackati".

P.S. Per quanto detto, sconsiglio di generare delle chiavi primarie (o univoche) per le tabelle dei database usando un qualunque algoritmo di hash: l'univocità non è affatto garantita (statisticamente si parla di eventi poco probabili, ma... possono sempre capitare).

Hai perfettamente ragione, non volevo scendere troppo nei dettagli per non rendere il concetto piu difficile di quello che già era (e comunque su tutte le definizioni matematiche sono alquanto carente sinceramente )

Diciamo che l'algoritmo di hashing è tanto più buono quanto riesce ad evitare possibili collisioni.

Per rendere la cosa un pochino piu comprensibile a tutti riporto la definizione di Wikipedia che, pur non essendo il non plus ultra delle enciclopedie, rendeil concetto abbastanza abbordabile:

Quote:

Non esiste una corrispondenza biunivoca tra l'hash e il testo. Dato che i testi possibili, con dimensione finita maggiore dell'hash, sono più degli hash possibili, per il principio dei cassetti ad almeno un hash corrisponderanno più testi possibili. Quando due testi producono lo stesso hash, si parla di collisione, e la qualità di una funzione di hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione.

[ulk]

Quote:

Originariamente inviato da eraser

Hai perfettamente ragione, non volevo scendere troppo nei dettagli per non rendere il concetto piu difficile di quello che già era (e comunque su tutte le definizioni matematiche sono alquanto carente sinceramente )

Diciamo che l'algoritmo di hashing è tanto più buono quanto riesce ad evitare possibili collisioni.

Per rendere la cosa un pochino piu comprensibile a tutti riporto la definizione di Wikipedia che, pur non essendo il non plus ultra delle enciclopedie, rendeil concetto abbastanza abbordabile:

Si possono estrapolare le password si o no?

[Pess]

Confesso di essere ignorante in materia, perciò volevo chiedervi un consiglio terra terra... Dopo ciò che è successo mi consigliate di cambiare la password del mio account?

[Gennarino]

Quote:

Originariamente inviato da ulk

Si possono estrapolare le password si o no?

Si, con la tecnica di brute forcing, se hai tempo (qualche anno) o qualche supermegacomputer e sperando che nel frattempo non le abbiano cambiate... oltre a cambiare anche le username, vista la disclosure sul quel sito...

Quote:

Originariamente inviato da Pess

Confesso di essere ignorante in materia, perciò volevo chiedervi un consiglio terra terra... Dopo ciò che è successo mi consigliate di cambiare la password del mio account?

Si, a prescindere. E' buona educazione cambiare le password spesso...