Questo sito utilizza Cookie propri ed esterni, anche a scopo pubblicitario e di profilazione. Continuando a navigare accetti il servizio.

CHIUDI

Oria.info Notizie

Lecce: grave attacco hacker alle Università. Rubate password memorizzate in chiaro?

Cronaca

Scritto da il 6 Luglio 2011 - 21:49

Sul fatto che un attacco degli hacker non sia un’azione moralmente corretta e sia legalmente sanzionabile con anni e anni di reclusione, non ci piove.

Ma scoprire, seppur con tutti i dubbi del caso, che nel 2011 ci sono ancora applicativi utilizzati in ambito universitario che memorizzano le password “in chiaro” è ancora più preoccupante.

L’annuncio dato poche ore fa da un gruppo di hacker denominato LulzStorm fa davvero rabbrividire. Numerosi dump, cioè copie di tabelle prelevate da database contenenti dati personali, sono stati scaricati e messi in rete alla mercé di chiunque.

Il gruppo ha dichiarato quanto segue (tradotto dall’inglese):

 _           _         _____ _
| |         | |       /  ___| |
| |    _   _| |    ___\ `--.| |_ ___  _ __ _ __ ___
| |   | | | | |   |_  /`--. \ __/ _ \| '__| '_ ` _ \
| |___| |_| | |____/ //\__/ / || (_) | |  | | | | | |
\_____/\__,_\_____/___\____/ \__\___/|_|  |_| |_| |_|

Oggi è un grande giorno per tutti noi, mentre è un giorno molto brutto per le università italiane. I loro siti sono pieni di falle,alcuni di loro sono convinti di essere al sicuro, così non criptano le password.

E tu, italiano, stai affidando i tuoi dati a idioti simili? Ma è uno scherzo? Cambiate la vostra password ragazzi! Cambiate il vostro concetto di sicurezza Università!

Avremmo potuto far trapelare molto di più. Avremmo potuto distruggere il vostro db e la vostra rete. Eravate pronti per ciò?

Poi c’è un elenco dei siti delle Università presunte vittime dell’attacco, tra i quali anche quelli dell’Università di Bari, di Foggia e di Lecce.

L’aspetto preoccupante è che il gruppo di hacker segnala la memorizzazione di password in chiaro nei dati scaricati.

Cosa significa questo?

Quando un utente si registra su un qualsiasi sistema informatico, la sua passowrd non dovrebbe essere accessibile da nessuno, neppure dal gestore del servizio, del sito, ecc.

Questo per evitare che un sistemista o un programmatore curioso scopra la password dei propri utenti, verosimilmente utilizzata anche per altri servizi, come magari la casella di posta.

Le password vengono così memorizzate criptate, cioè con una formula se ne calcola una versione tradotta in numeri e lettere, dalla quale non è possibile risalire alla password originarle.

Ogni volta che l’utente si deve autenticare al sistema, quando inserisce la sua password in chiaro, con la stessa formula utilizzata in precedenza all’atto dell’iscrizione, se ne calcola la versione criptata. La password criptata appena calcolata viene confrontata con quella memorizzata criptata in precedenza, se coincide si autorizza l’accesso. Evitando così di dover memorizzare la parola chiave in chiaro.

Un tra i più famosi algoritmi che compie un’operazione simile è denominato MD5. Ad esempio l’MD5 dell’ipotetica password “oria.info” corrisponde con un semplice (per i pc) calcolo alla stringa “ec3e3514d9108ca0b459a29859595f2f”.
Fare il passaggio inverso, da “ec3e3514d9108ca0b459a29859595f2f” alla passord “oria.info” è pressoché impossibile o comunque molto difficile.

Le password in chiaro invece basta leggerle. Soprattutto se associate nello stesso db all’indirizzo email e coincidenti con le password di accesso alle caselle, potrebbero essere utilizzate per accedere alla posta dei malcapitati e da lì, a ritroso, scovando tra le email, persino a conti online e dati strettamente privati.

Siamo (forse) di fronte ad un vero e proprio scandalo, frutto di pressapochismo di chi ha messo su i sistemi?

Il consiglio? Cambiare ogni tanto le proprio password e utilizzarne di diverse a seconda del grado di importanza del servizio a cui sono associate.

Lecce: grave attacco hacker alle Università. Rubate password memorizzate in chiaro?

Argomenti correlati: ,

COMMENTA L'ARTICOLO

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi