Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Dic 16, 2016 Marco Schiaffino Approfondimenti, Gestione dati, Hacking, In evidenza, RSS, Tecnologia, Vulnerabilità 0
Con il comunicato di mercoledì, Yahoo ha ammesso di aver avuto due enormi problemi di sicurezza. Il primo è legato a un attacco avvenuto nell’agosto del 2013, in cui ignoti pirati informatici hanno sottratto informazioni collegate a 1 miliardo di account Yahoo.
Il secondo, invece, è collegato a un attacco che l’azienda aveva già reso pubblico il 22 settembre scorso, ma del quale ora emerge un nuovo aspetto: gli hacker che hanno violato i sistemi nel 2014, infatti, potrebbero usare dei particolari cookie per spiare gli utenti di Yahoo.
Ma quali sono state le vulnerabilità che hanno permesso questo mega-furto di dati e l’abuso di un sistema di autenticazione proprietario di Yahoo? Per capire a fondo i problemi collegati alla vicenda abbiamo intervistato Antonio Forzieri, esperto di sicurezza di Symantec.
Il primo tema è quello delle scarse misure di sicurezza per la protezione dei dati. Stando al comunicato di Yahoo, infatti, le password contenute nel database erano protette da un sistema di hashing basato su algoritmo MD5, considerato ormai inaffidabile.
“Il problema di MD5 è che è suscettibile sia ad attacchi di brute forcing, che portato con le attuali GPU consentono di violare l’algoritmo in tempi piuttosto ridotti, sia ad attacchi che usano le tabelle arcobaleno (rainbow table)” spiega Antonio Forzieri. “Non è l’unico: anche SHA1 e tutti gli altri strumenti di hashing che non usano salt dovrebbero essere evitati”.
La questione “salt”, per quanto riguarda la sicurezza delle password è fondamentale. Il salt (o “sale” in italiano) è una sequenza casuale di bit che viene “incollata” alla password scelta dall’utente prima di eseguire l’hash. Una delle sue funzioni è quella di rendere più difficili gli attacchi di brute forcing e a dizionario, la cui efficacia diminuisce notevolmente quando si aumenta il numero di caratteri di cui è composta la password.
Le password sono come le patatine: meglio con il sale” scherza Forzieri. “E non solo per bloccare gli attacchi di brute forcing, ma anche per garantire un migliore livello di sicurezza nel caso in cui un pirata informatico metta le mani su un database come quello di Yahoo”.
Il motivo è semplice: come è possibile verificare dando un’occhiata a uno qualsiasi dei database pubblicati su Internet in passato, molti utenti finiscono per usare le stesse password.
Se le password vengono protette con sistemi di hashing senza salt, tutte le password uguali generano lo stesso hash. Questo significa che i pirati informatici devono fare ben poca fatica: una volta craccata la prima, sanno che tutti gli account che hanno lo stesso hash hanno la stessa password.
“Usando il salt le cose funzionano diversamente” spiega Forzieri. “L’aggiunta di una sequenza casuale di bit prima dell’hash fa in modo che gli hash degli utenti che usano la stessa password siano diversi”.
In questo modo, quindi, i pirati sono costretti a decodificare le password una per una e l’operazione diventa decisamente più gravosa.
Ma come mai Yahoo ha usato invece un sistema di hashing obsoleto e, soprattutto, non utilizzava il salt? Stando a quanto dichiarato dall’azienda, il passaggio da MD5 all’attuale sistema di hashing bcrypt (che integra il salt) è avvenuto nel 2014, un anno dopo l’attacco.
Esclusa l’ipotesi che il passaggio sia stato fatto proprio a causa del furto di dati (Yahoo sostiene di non essersene accorta e non c’è motivo per dubitarne) si tratterebbe semplicemente di una mancanza di attenzione nei confronti degli strumenti di sicurezza impiegati per proteggere il database.
Come conferma Antonio Forzieri, infatti, la migrazione da un sistema all’altro non è un processo complicato e può essere fatta in maniera del tutto “trasparente” per gli utenti.
“Esistono diversi modi per eseguire la migrazione. La più semplice è quella di farlo al momento dell’accesso dell’utente”.
Per capire la procedura, è utile riassumere come funziona la procedura di autenticazione. Quando inseriamo la password per autenticarci a un servizio, infatti, questa arriva in chiaro al server, che esegue l’hash usando l’algoritmo predefinito e lo compara con l’hash contenuto nel database. Se coincidono, l’autenticazione ha successo.
“Per eseguire la migrazione basta fare un passaggio successivo dopo aver verificato l’autenticazione: applicare il nuovo algoritmo di hashing alla password e sostituire l’hash nel database. Di solito questo viene fatto per scaglioni, in modo che la procedura non rischi di creare disservizi o sovraccaricare i server”.
Giu 12, 2024 0
Set 14, 2023 0
Giu 22, 2023 0
Gen 30, 2023 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...