Crackate migliaia di mail (governative e non solo) utilizzando Tor
martedì 11 settembre 2007 by phoenix
Questa è una storia incredibile, affascinante, in vero stile hacker...
Il 30 agosto lo svedese Dan Egerstad pubblica un post sul sito DEranged Security in cui vengono elencati la bellezza di 100 indirizzi di posta elettronica (utilizzati principalmente da ambasciate) con relative password di login. L' articolo fa il giro del mondo in meno di una settimana e così scoppia il caso. Tutti si chiedono: come avrà fatto questo tizio (che lavora nel settore della sicurezza informatica) a scoprire tutte queste password? Ieri è arrivata la tanto aspettata risposta: Tor!!! E' stato utilizzato proprio Tor (noto software che permette di navigare anonimamente in rete) per rubare migliaia di password di mail governative, bancarie, personali, ecc... Sembra fantascienza ma il procedimento utilizzato da Dan Egerstad è piuttosto semplice: basta utilizzare alcuni server personali (lui ne ha utilizzati 5) da inserire nella rete Tor come exit-node, nodi di uscita del percorso che dovrà effettuare la nostra connessione. Installando dei packet sniffer in questi exit-node sarà facilissimo catturare tutti quei dati non cifrati che attraverseranno questi server. In questo modo si potranno "sniffare" dati sensibili come password e messaggi di posta elettronica.
Perchè Dan Egerstad ha pubblicato le password di login di quelle caselle? Certamente perchè ha voluto mostrare a tutti come è ancora sottovalutata la sicurezza informatica anche dagli enti governativi che trattano dati sensibili e personali riguardanti intere nazioni.
Dan Egerstad ha subito avvertito i lettori dicendo che l' utilizzo di quelle password era illegale e che il suo era solo un esperimento (che peraltro è riuscito alla grande). Purtoppo un giornalista indiano dell' Indian Express ha deciso di testare la validità dell' esperimento ed ha utilizzato una di quelle password per accedere illegalmente nella casella di posta dell' ambasciatore indiano in Cina. Successivamente ha scritto questo articolo che ha destato non poche critiche anche da parte di Dan Egerstad.
Dan Egerstad ci ha insegnato ancora una volta che se dobbiamo trasmettere dati sensibili in rete dobbiamo affidarci a strumenti consolidati come la crittografia oppure utilizzare dei tunnel VPN crittati. Il suo esperimento non dimostra che Tor ha una falla, anzi Tor non c' entra nulla. Tor nasce per permettere di navigare anonimamente in rete, ma non può essere utilizzato per proteggere dati trasmessi in Internet.
Il 30 agosto lo svedese Dan Egerstad pubblica un post sul sito DEranged Security in cui vengono elencati la bellezza di 100 indirizzi di posta elettronica (utilizzati principalmente da ambasciate) con relative password di login. L' articolo fa il giro del mondo in meno di una settimana e così scoppia il caso. Tutti si chiedono: come avrà fatto questo tizio (che lavora nel settore della sicurezza informatica) a scoprire tutte queste password? Ieri è arrivata la tanto aspettata risposta: Tor!!! E' stato utilizzato proprio Tor (noto software che permette di navigare anonimamente in rete) per rubare migliaia di password di mail governative, bancarie, personali, ecc... Sembra fantascienza ma il procedimento utilizzato da Dan Egerstad è piuttosto semplice: basta utilizzare alcuni server personali (lui ne ha utilizzati 5) da inserire nella rete Tor come exit-node, nodi di uscita del percorso che dovrà effettuare la nostra connessione. Installando dei packet sniffer in questi exit-node sarà facilissimo catturare tutti quei dati non cifrati che attraverseranno questi server. In questo modo si potranno "sniffare" dati sensibili come password e messaggi di posta elettronica.
Perchè Dan Egerstad ha pubblicato le password di login di quelle caselle? Certamente perchè ha voluto mostrare a tutti come è ancora sottovalutata la sicurezza informatica anche dagli enti governativi che trattano dati sensibili e personali riguardanti intere nazioni.
Dan Egerstad ha subito avvertito i lettori dicendo che l' utilizzo di quelle password era illegale e che il suo era solo un esperimento (che peraltro è riuscito alla grande). Purtoppo un giornalista indiano dell' Indian Express ha deciso di testare la validità dell' esperimento ed ha utilizzato una di quelle password per accedere illegalmente nella casella di posta dell' ambasciatore indiano in Cina. Successivamente ha scritto questo articolo che ha destato non poche critiche anche da parte di Dan Egerstad.
Dan Egerstad ci ha insegnato ancora una volta che se dobbiamo trasmettere dati sensibili in rete dobbiamo affidarci a strumenti consolidati come la crittografia oppure utilizzare dei tunnel VPN crittati. Il suo esperimento non dimostra che Tor ha una falla, anzi Tor non c' entra nulla. Tor nasce per permettere di navigare anonimamente in rete, ma non può essere utilizzato per proteggere dati trasmessi in Internet.
È sconvolgente quante persone e ditte importanti non si occupano della sicurezza dei dati. Mi ricorda al documento segreto del FBI censurato che un bambino ha messo in word togliendoli il sittifindo nero. La critografia è una possibilita di mantenere personali i dati che lo dovrebbero essere.
Peccato che invece di impostarlo come norma assicurativa certi governi proibiscono programmi che POSSONO essere usati da cracker (Germania..). Spero che almeno noi che leggiamo queste storie ci ricordiamo di critare le email e di non mandare in internet i nostri dati se non conosciamo la sicurezza di trasmissione.
Bisognerebbe, a chi non si occupa di sicurezza informatica, spaccare la testa con il martello di THOR! ;)
@ iseth: parole sante...
@ claudio: le tue battute sono ineguagliabili :)
Non sapevo ci fossero pass governative.