Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Imparare dal caso Yahoo: ecco cosa non ha funzionato
Leggerezza nella gestione dei dati e sistemi di protezione obsoleti: ecco tutti i fattori che hanno permesso il mega furto di dati.
Con il comunicato di mercoledì, Yahoo ha ammesso di aver avuto due enormi problemi di sicurezza. Il primo è legato a un attacco avvenuto nell’agosto del 2013, in cui ignoti pirati informatici hanno sottratto informazioni collegate a 1 miliardo di account Yahoo.
Il secondo, invece, è collegato a un attacco che l’azienda aveva già reso pubblico il 22 settembre scorso, ma del quale ora emerge un nuovo aspetto: gli hacker che hanno violato i sistemi nel 2014, infatti, potrebbero usare dei particolari cookie per spiare gli utenti di Yahoo.
Ma quali sono state le vulnerabilità che hanno permesso questo mega-furto di dati e l’abuso di un sistema di autenticazione proprietario di Yahoo? Per capire a fondo i problemi collegati alla vicenda abbiamo intervistato Antonio Forzieri, esperto di sicurezza di Symantec.
Il primo tema è quello delle scarse misure di sicurezza per la protezione dei dati. Stando al comunicato di Yahoo, infatti, le password contenute nel database erano protette da un sistema di hashing basato su algoritmo MD5, considerato ormai inaffidabile.
“Il problema di MD5 è che è suscettibile sia ad attacchi di brute forcing, che portato con le attuali GPU consentono di violare l’algoritmo in tempi piuttosto ridotti, sia ad attacchi che usano le tabelle arcobaleno (rainbow table)” spiega Antonio Forzieri. “Non è l’unico: anche SHA1 e tutti gli altri strumenti di hashing che non usano salt dovrebbero essere evitati”.
La questione “salt”, per quanto riguarda la sicurezza delle password è fondamentale. Il salt (o “sale” in italiano) è una sequenza casuale di bit che viene “incollata” alla password scelta dall’utente prima di eseguire l’hash. Una delle sue funzioni è quella di rendere più difficili gli attacchi di brute forcing e a dizionario, la cui efficacia diminuisce notevolmente quando si aumenta il numero di caratteri di cui è composta la password.
Le password come le patatine: meglio con il sale!
Le password sono come le patatine: meglio con il sale” scherza Forzieri. “E non solo per bloccare gli attacchi di brute forcing, ma anche per garantire un migliore livello di sicurezza nel caso in cui un pirata informatico metta le mani su un database come quello di Yahoo”.
Il motivo è semplice: come è possibile verificare dando un’occhiata a uno qualsiasi dei database pubblicati su Internet in passato, molti utenti finiscono per usare le stesse password.
Se le password vengono protette con sistemi di hashing senza salt, tutte le password uguali generano lo stesso hash. Questo significa che i pirati informatici devono fare ben poca fatica: una volta craccata la prima, sanno che tutti gli account che hanno lo stesso hash hanno la stessa password.
“Usando il salt le cose funzionano diversamente” spiega Forzieri. “L’aggiunta di una sequenza casuale di bit prima dell’hash fa in modo che gli hash degli utenti che usano la stessa password siano diversi”.
In questo modo, quindi, i pirati sono costretti a decodificare le password una per una e l’operazione diventa decisamente più gravosa.
Ma come mai Yahoo ha usato invece un sistema di hashing obsoleto e, soprattutto, non utilizzava il salt? Stando a quanto dichiarato dall’azienda, il passaggio da MD5 all’attuale sistema di hashing bcrypt (che integra il salt) è avvenuto nel 2014, un anno dopo l’attacco.
Esclusa l’ipotesi che il passaggio sia stato fatto proprio a causa del furto di dati (Yahoo sostiene di non essersene accorta e non c’è motivo per dubitarne) si tratterebbe semplicemente di una mancanza di attenzione nei confronti degli strumenti di sicurezza impiegati per proteggere il database.
Come conferma Antonio Forzieri, infatti, la migrazione da un sistema all’altro non è un processo complicato e può essere fatta in maniera del tutto “trasparente” per gli utenti.
“Esistono diversi modi per eseguire la migrazione. La più semplice è quella di farlo al momento dell’accesso dell’utente”.
Per capire la procedura, è utile riassumere come funziona la procedura di autenticazione. Quando inseriamo la password per autenticarci a un servizio, infatti, questa arriva in chiaro al server, che esegue l’hash usando l’algoritmo predefinito e lo compara con l’hash contenuto nel database. Se coincidono, l’autenticazione ha successo.
“Per eseguire la migrazione basta fare un passaggio successivo dopo aver verificato l’autenticazione: applicare il nuovo algoritmo di hashing alla password e sostituire l’hash nel database. Di solito questo viene fatto per scaglioni, in modo che la procedura non rischi di creare disservizi o sovraccaricare i server”.
Condividi l'articolo
Quando i giocattoli smart sono una minaccia per la privacy
Un dispositivo da 300 euro per violare la crittografia del Mac
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
