Connessioni / Next / Search / Sicurezza / Social
Sarah Palin: come ti rubo le password con 70 euro
Non solo Sarah Palin, ma anche il Mario Rossi di turno, può vedersi cambiare sotto il naso la password della propria casella di posta: prezzi modici e pagamento a risultato avvenuto!
Se ci si chiama Sarah Palin, di professione si è Governatore dello Stato dell’Alaska e si ambisce alla vicepresidenza degli Stati Uniti d’America, forse non è estremamente prudente trattare questioni istituzionali attraverso un paio di account di posta elettronica gratuiti offerti dai vari Google, Yahoo (come nel caso specifico), Microsoft o qualsiasi altro provider.
Se poi entrambi gli account vengono compromessi, ce n’è abbastanza per fare notizia, e per porsi un paio di interrogativi di fondo: privacy violata “in modo scioccante”, come sostiene lo staff della Palin, o uso incauto della e-mail? Il problema esula da una mera questione di sicurezza e sconfina nell’ambito del fas et nefas: meglio, quindi, chiedersi quanto sia semplice compromettere un account e-mail gratuito, a prescindere dal fatto che esso ospiti corrispondenza privata o “questioni inerenti la sicurezza nazionale”.
Un centinaio di dollari - al cambio, una settantina di euro - potrebbero bastare: è sufficiente puntare il proprio browser Web su un servizio dedicato (e basta una canonica query su Google per scoprire che ne esistono molteplici). Legittimo, per come viene presentato: “Leader mondiale nella password recovery e nei servizi di sicurezza”; un po’ meno nello scopo cui potrebbe prestarsi. Che poi è quello dichiarato: “Hack yahoo password. Hack hotmail password. Hack Gmail password”. Non c’è bisogno di una traduzione: basta una carta di credito convenzionata con i principali sistemi di pagamento e il gioco è fatto, con un promesso esito felice nel 70% dei casi.
Il servizio opera in maniera semplice: è sufficiente inviare una e-mail specificando l’indirizzo di cui si vuole, diciamo in maniera eufemistica, recuperare la password e aspettare una risposta con le prove dell’avvenuto recupero. Se si è soddisfatti di queste ultime, si risponde e si procede al pagamento, in seguito al quale viene inviata la password originale.
Il problema pare riguardare non solo la malcapitata Palin - che, per la cronaca, si è vista girare su Wikileaks i contenuti delle caselle compromesse - quanto chiunque usi un sistema di posta elettronica. I software utilizzati da chi offre servizi di recovery (o cracking?) sembrano essere varianti sul tema del password guessing e di attacchi basati sul dizionario: nulla di trascendentale, ma non lo è nemmeno la robustezza della password dell’utente medio, evidentemente.
Fornire una ricetta non è possibile, perché prudenza e buonsenso non fanno parte di un protocollo di procedure standard, ma l’importante è non ricevere mai mail di questo taglio: “Cara Ivy, non mi conosci ma faccio parte di un gruppo Internet che si chiama ‘Gli anonimi’. Questa e-mail è stata violata da un anonimo […] Non ho voglia di fare ulteriori danni, ma per piacere contatta Sarah Palin informandola che la nuova password per l’account è samsonite1. Grazie, il buon anonimo”.
Se si aggiunge che la Ivy in questione è Ivy Frye, assistente di Sarah Palin (anche lei con un indirizzo di posta Yahoo!), l’anonimo difficilmente rimarrà tale: ma non tutti coloro che usano ‘pippo’ o ‘12345’ come password possono sperare che l’Fbi consegni loro le teste di chi è penetrato nella propria casella di posta.
Ancora nessun commento.