Come già trattato in un precedente articolo di Hackerstribe le statistiche dei primi mesi dell’anno relative alla violazione di siti ed account privati rivelano ancora una volta che le password di accesso più comuni sono di una banalità a dir poco imbarazzante! Nella top 25 delle password più utilizzite compaiono ancora combinazioni del tipo “123456”o “qwerty” quindi è facile immaginare quanti nomi propri di persona, di cani e gatti, date di nascita siano utilizzati con frequenza a protezione dei dati personali (e non solo). Una statistica così negativa in fatto di tutela dei propri account è il risultato finale di molteplici fattori: primi fra tutti la paura diffusa nelle persone di non ricordare una combinazione più articolata di lettere, numeri e simboli che sia diversa da una semplice associazione nome/data di nascita. Segue a ruota l’errata credenza che “i propri dati personali non possano essere di interesse per qualcuno”!

Password Hack Tips

Password Hack Tips

Se credete che un hacker sia in possesso di programmi capaci di scovare la password di siti ed account email con un solo “click”, beh, vi assicuro che almeno in buona parte vi state sbagliando!
Lo staff di Hackertribe ha già messo in guardia i suoi lettori sulle tante truffe messe in atto da sedicenti hacker che attraverso pagine web ben curate ed accattivanti promettono le password dei famosi siti social in cambio di acquisti on-line pagamenti paypal o con carta di credito. Naturalmente i curiosi malcapitati non otterranno mai la password dell’account richiesto ma, nella migliore delle ipotesi, si ritroveranno tra i file un malware, un virus e …qualche soldo in meno in tasca!

Di seguito cercherò di fornire una panoramica sulla tattica intrapresa da hacker e pirati informatici nel tentativo di “indovinare” la password accesso di qualche sito o di un qualsiasi account personale a danno di sprovveduti ed ignari utenti del web.
Prima di iniziare è bene fare alcune precisazioni in merito all’argomento; le password robuste contenenti simboli e numeri oltre alle lettere maiuscole e minuscole sono praticamente impossibili da scoprire e possono essere ottenute solo con l’inganno (es. pishing), con tecniche più avanzate (es. sniffing) o semplicemente aggirate (es. exploiting); tutte queste tecniche non saranno argomento questo articolo.

Prima di addentrarci nell’argomento di questa guida mi permetto di suggerirvi una regola che è alla base dell’hacking (e non solo!): fissate a mente l’obbiettivo da raggiungere e lavorate solo su quello, non siate dispersivi….è inutile passare ore di fronte al computer se le vostre ricerche sono confuse e le vostre energie disperse in cento direzioni, siate sempre consapevoli di quello che state facendo e soprattutto…di come lo state facendo!

Oggi mediamente un qualsiasi utente internet possiede almeno due diversi indirizzi email ma poi solitamente, se non per esigenze professionali e la necessità di mantenere separate la corrispondenza privata da quella di lavoro, un solo indirizzo email è ritenuto più che sufficiente, l’altro cade velocemente nel dimenticatoio. Inoltre programmi di messaggistica istantanea come what’s up e Messenger hanno contribuito a “snellire” il traffico di email nella rete rendendo immediato lo scambio dei messaggi ma gli indirizzi di posta restano fondamentali per gli accessi ed i recuperi delle password dimenticate.
Compaiono riportati ovunque, dai profili dei social web ai libri alle rubriche dei contatti o tra i Cc di una email ricevuta, talvolta basta digitare un nome ed un cognome su Google per ottenerne una lista completa! Se il bersaglio prescelto è nel giro delle vostre amicizie, un lontano conoscente o comunque una persona con la quale si può entrare fisicamente in contatto allora sarebbe un’ottima idea scambiarci due parole e farsi raccontare qualcosa di lui.
Ottenuto l’indirizzo email di nostro interesse è ora di “lavorare” sulla password.

Anche se negli ultimi anni l’attenzione sulla salvaguardia dei dati personali è aumentata sensibilmente, come già detto in precedenza, la maggior parte delle persone utilizza password troppo semplici e scontate e le ragioni sono principalmente:
– la paura di dimenticarla (una pwd composta da una serie di numeri e caratteri senza un senzo logico ed un suono definito è difficile da ricordare)
– la pigrizia (idem come sopra, bisogna rilassarsi non risolvere enigmi)
– l’importanza (se non sono il Manager di un’importante azienda chi potrebbe essere interessato ai miei affari personali?)
Ultimi, ma non di minore importanza, sono tutti quei meccanismi del nostro cervello che al momento di “scegliere la password” dirottano la nostra mente verso ciò che maggiormente ci piace, ci rilassa o dal quale si trae piacere. Ed ecco quindi spuntare nomi di mariti, mogli, figli, cani e gatti, hobby, date di nascita o di eventi, lavoro, ecc ecc…
Trovare la parola giusta fra così tante possibilità può sembrare un’impresa ardua se non impossibile ma analizzando le abitudini e la personalità delle persone è possibile restringere di molto il campo di ricerca. Il lavoro di “social engineering” deve essere attento ed accurato, le ricerche svolte a 360° e nel caso ci si relazioni direttamente con la potenziale vittima non bisogna mai dare l’impressione di fare indagini. Ovviamente oltre al contatto diretto le migliori informazioni provengono dai social network e da siti di profilo come Linkedin.

Raccolte le prime informazioni e delineato un profilo di massima dell’utente da colpire la logica con la quale tentare le prime password potrebbe essere come segue:
Persone che parlano spesso e con passione del proprio lavoro potrebbero scegliere come password una parola inerente a quello.
Persone molto sicure di se, narcisiste o alle quali piace stare al centro dell’attenzione potrebbero optare per il proprio nome o il proprio segno zodiacale seguito dalla data di nascita.
Ragazzi giovani o adolescenti potrebbero scegliere nomi di personaggi di fumetti, fantasy o serie TV molto in voga e nei quali si riconoscono.
Persone indipendenti senza particolari legami sentimentali e che preferiscono la compagnia di un animale domestico….potrebbero optare per il nome del cane o gatto al quale sono molto affezionati.

…e così via!

Non mancano inoltre le password per l’accesso a siti che trattano argomenti specifici (es. cucina, hobby, moto, auto, bricolage….) la cui scelta risulta spesso influenzata dall’argomento trattato dal sito stesso, esattamente come succede per gli appassionati in un particolare hobby.
L’inserimento di numeri nella password è spesso da considerarsi un semplice corredo ad un nome come troppo corto (es Luca81; elena1985) oppure una sorta di identificativo (marco150485) o una forzatura dettata dal sito al momento della registrazione e che solitamente induce l’utente a ripiegare su di una scelta facile per la troppa fretta.
Una curiosa moda degli ultimi anni è la sostituzione di lettere con numeri di forma simile così da trasformare la lettera E in 3 oppure la A con un 4 ecc.. ecc… anche in questo caso però la prevedibilità la fa da padrone ed esistono già da anni wordlist complete e programmi avanzati per produrne ad hoc! E pensare che questa moda è stata introdotta proprio dagli hacker…

Concludendo questa breve introduzione sulla “password investigation” spero che l’immagine dell’hacker che si siede di fronte al computer e “indovina” la vostra password non sia più vista come fantascienza ma come una realtà e che chiunque altro potrebbe riuscirci senza avere le capacità di un programmatore esperto.
La password investigation è un argomento vasto che non può certo ritenersi esaurito in poche righe, spero piuttosto di essere riuscito a farvi intravedere la punta dell’iceberg, a farvi immaginare e desiderare quanto c’è ancora da sapere, da scoprire …da fare! L’articolo sulla password investigation proseguirà presto con una panoramica sui metodi di generazione e individuazione delle password, i dizionari, il cracking e magari scrivendo qualche linea di codice per rendere tutto più interessante.

Drake