Non ci crederete: ecco come usare Google per crackare una password

Non ci crederete: ecco come usare Google per crackare una password

password

C’era una volta.. un team di esperti di sicurezza informatica della Cambridge University che voleva scoprire la password di un hacker cattivo e così decise di cercarla con Google.. se ci tenete alla vostra incolumità continuate nella lettura

Per molti cracker/hacker (decidete voi il termine che vi sembra più appropriato;) andare a bucare un sito che si occupa di sicurezza dimostra una certa abilità ed è motivo di vanto tra i “colleghi”. È probabilmente questa la ragione che ha spinto un filibustiere, apparentemente Russo, a sfidare e infrangere le barriere del blog Light Blue Touchpaper mantenuto da una squadra di specialisti della sicurezza dell’Università di Cambridge. Il pirata è innanzitutto riuscito ad entrare nel pannello di amministrazione del sito e, in seguito, da semplice utente è stato capace di ottenere i diritti di amministratore del blog sfruttando una vulnerabilità di WordPress finora sconosciuta.
Ma la parte più interessante della storia ha da venire.
Ad un certo punto i ragazzi del blog hanno cominciato le loro indagini e si sono chiesti la cosa più ovvia: che password ha utilizzato lo sconosciuto per entrare? Le tracce lasciate nel database ovviamente c’erano, ma come molti di voi sapranno sono codificate in MD5 a 128 bit e decriptarle è un lavoro decisamente duro.
Teoricamente, infatti, essendo un processo one way dovrebbe essere impossibile, partendo dall’output (MD5 hash), risalire alla stringa di input, o meglio, avreste bisogno di una potenza di calcolo che solo un migliaio di computer messi assieme e lavorando contemporaneamente potrebbe darvi.
Ma Steve Murdoch, autore della scoperta e admin del blog attaccato, non si è fatto intimorire dalla matematica e dalla logica e ha sfidato l’MD5. Nonostante la solerzia e l’ingegno delle strategie messe in atto tutti i tentativi fallivano clamorosamente l’uno dopo l’altro, finchè Murdoch, preso dallo sconforto e senza alcuna pretesa ha preso l’hash 20f1aeb7819d7858684c898d1e98c1bb dal database e l’ha inserito su Google. Et voilà: ecco venir fuori “Anthony”. Incredibile a dirsi, ma “Anthony” era proprio la password decifrata che Steve stava cercando, il cui hash MD5 era contenuto nientemeno che nell’URL di alcuni dei siti (questo per esempio) trovati con la semplice ricerca su Google (se inserite l’hash ora invece verranno fuori solo articoli che parlano di questa scoperta:)

Qualcuno dirà: e con ciò? Perchè tutto questo “apriti cielo!”? Dunque, una conseguenza logica d questa fortuita scoperta è che anche senza avere grandi conoscenze di hacking un amministratore che ha accesso ad un database (per esempio di un forum che voi frequentate) può ovviamente leggere la vostra email, user ed MD5. Mettiamo ora che l’amministratore non sia proprio una personcina per bene e utilizzi il trucchetto di Google ricavando la vostra password. Sapendo che la maggior parte degli “utonti” usa sempre la medesima password potrebbe cercare il vostro nickname altrove e con buone possibilità entrare lì dove solo voi potreste: praticamente ovunque.

Naturalmente chi si occupa di questo tipo di crimini informatici usa sistemi più sofisticati di Google come ad esempio le Rainbow Tables che coprono un’infinità di hash MD5 e tramite le quali con un programma come ophcrack è possibile scovare una password comune in pochissimi secondi.

Vi ho spaventati abbastanza? Non avete capito un tubo di quello che ho scritto? Qualunque sia la domanda e qualunque sia la risposta ecco un piccolo gioco per passare il tempo:

- andate qui (tranquilli il sito è sicuro;) e calcolate il codice MD5 della password che utilizzate abitualmente per il login sui siti (per il processo inverso e se siete curiosi di sapere se comunque la vostra password è già stata decriptata potete provare questo ;)
- copiate il risultato e incollatelo su Google

Se viene fuori anche un solo risultato e anche se non avete capito nulla di quello che sta succedendo o che avete letto finora, se ci tenete alla vostra privacy, alle vostra identità o al vostro conto in banca, vi consiglio vivamente di cambiare immediatamente la password che vi è tanto cara ;)

PS ho testato la mia password e stranamente sono salvo. A voi com’è andata? :D

831

Fonte | Guardian Unlimited

Segui Trackback

Sab 24/11/2007 da in , ,

Commenta

Ricorda i miei dati

I commenti possono essere soggetti a moderazione prima della pubblicazione, pertanto potreste non vederli direttamente online non appena li inviate. Se ritenuti idonei, verranno comunque pubblicati entro breve.

Pubblica commento
Luckytto 24 novembre 2007 23:05
Gigi 28 febbraio 2010 17:18

ma come faccio a sapere l’MD5 se non so la password??

Segnala abuso
25 novembre 2007 00:54

salvo anch’io!

Rispondi Segnala abuso
Predator87 25 novembre 2007 01:46

salvoooo…

Rispondi Segnala abuso
Limmonica 25 novembre 2007 09:14

beh… dopo aver letto l’articolo non ho avuto il corraggio di calcolare il MD5 della mia password principale(che è molto complessa) in quanto non so se rimane memorizzata … comunque facendo con una password – che è una parola comune e che uso per registrarmi nei vari siti meno importanti sono riuscita a trovarla su Google. Complimenti per l’articolo! Lo inserisco subito nel mio blog. Quello che non capisco è come fa uno ad ottenere il codice MD5?

Rispondi Segnala abuso
Fox-77 7 agosto 2008 16:55

…ed hai fatto bene a non inserirla…sinceramente quando mi dicono: “clicca qui …è sicuro” giro subito alla larga….

Segnala abuso
8 maggio 2009 21:01

chi sei

Segnala abuso
31 maggio 2009 19:19

ma no non c’e’ pericolo in quel sito e poi cosa se ne farebbe uno di una password? senza sapere username o altro

Segnala abuso
rammit
Rammit 25 novembre 2007 09:15

Per una mia vecchia password io non sono salvo affatto, porca paletta :D

Rispondi Segnala abuso
merovingio
Merovingio 25 novembre 2007 09:32

§ ragazzi sono contento di vedervi tutti sani e salvi: sapete che ci tengo (solo:) ai lettori di trackback (sono per la selezione della specie;)
§ rammit, stai tranquillo: tu sei già morto da diverso tempo :D
§ Limmonica, tranquilla il sito è sicuro e usa un algoritmo per calcolare l’MD5

Rispondi Segnala abuso
Paolo 25 novembre 2007 10:21

Per fortuna salvo! Solo per una password ho trovato vari siti stranieri che però non ho mai visitato (come una specie di ufficio brevetti australiano). Per sicurezza la cambierò.
Grazie per la segnalazione.
Hai guadagnato un nuovo lettore! ;o)

Rispondi Segnala abuso
Danielemd 25 novembre 2007 10:39

Salvooo!
Meno male.. mi hai fatto spaventare abbastanza ;)

Rispondi Segnala abuso
Paolo 25 novembre 2007 11:28

a me è andata bene; ho provato una password secondaria che uso per cose di poco conto; mi è stata tradotta in md5, poi l’ho cercata su Google: nessun risultato. Non ho il coraggio di provare con le password importanti…
ciao
Paolo

Rispondi Segnala abuso
Ienetta 25 novembre 2007 12:17

una mia password è salva, le altre due vecchie no.
la prima poi è in un sacco di bei siti con dei bei caratteri tropicali :D

Rispondi Segnala abuso
Smarta 25 novembre 2007 13:13

salva per le prime tre password!
ritengo questo articolo molto utile e la qualità di questo blog al di sopra della media.

Rispondi Segnala abuso
Mega69 25 novembre 2007 13:17

Questa non la sapevo, ti faccio i miei complimenti per l’articolo. Che google potesse essere usato per hacking invece non è una novità, addirittura è possibile scoprire password di database o entrare nelle webcma semplicemente immettendo delle chiavi particolari.

Rispondi Segnala abuso
Urturino 25 novembre 2007 13:45

Scusate l’ignoranza, ma non ho capito come questo possa rendere la mia password meno sicura.

Può essere usato questo metodo solo se in una pagina indicizzata da google che mi riguarda è inserito nel link la mia password in md5?

Rispondi Segnala abuso
Timendum 25 novembre 2007 14:53

Col cavolo che sono siti sicuri, il seconod (rednose), si memorizza tutte le password che immettete, cercate lì dentro l’hash di una password e ritroverete la password originale.
Lo potete fare voi, oppure un hacker che passa dopo di voi con l’hash della vostra password.

Rispondi Segnala abuso
merovingio
Merovingio 25 novembre 2007 15:58

§timendum, credo che tu faccia confusione: il secondo link non memorizza nessuna password (al massimo la query) difatti le password ce le ha già! Rednoize è uno strumento che serve per il processo inverso ed è superfluo per il nostro test quindi può benissimo non essere utilizzato. Nello specifico il servizio è una sorta di esperimento di retroingegneria e mostra se è già possibile risalire alla propria password partendo dall’hash (magari preso dal primo link) attingendo ad un database di 40milioni di stringhe già disponibili a chiunque! Quando dico “il sito” è sicuro mi riferisco al primo essendo anche un singolare e quello che ci serve per l’esperimento. Cmq ti ringrazio per avermi fatto notare l’ambiguità e vi porrò subito rimedio ;)

Rispondi Segnala abuso
Marco 9 ottobre 2008 20:33

sentite ma qualcuno sa dirmi se esiste un modo o un programma per rubare delle pasword in un browser game???

Segnala abuso
7 dicembre 2010 19:54

ma posso sapere la password del mio fidanzato che è su badoo io ho solo l’email utilizzata per entrare,e nn voglio cambiarla perchè se ne accorgerebbe.

Segnala abuso
merovingio
Merovingio 25 novembre 2007 16:16

§ Ciao Paolo, grazie per la stima accordataci. Cmq indipendentemente che tu abbia visitato o meno il sito è bene che cambi la password ;)
§ Danielemd, dovresti vedermi la mattina appena sveglio :D
§ Paolo2, se le tue password importanti sono anche abbastanza complesse e non le usi per cose poco importanti credo tu possa stare abbastanza tranquillo ;)
§ Smarta, gongoliamo :D
§ Mega 69, grazie per i complimenti :D
§ Urturino potresti riformulare la domanda?
§ ienetta, sei di nuovo fuggita dal centro di disintossicazione? :D

Rispondi Segnala abuso
ienetta
Ienetta 25 novembre 2007 16:24

gggggghh

cmq ti assicuro che vedere caratteri strani (e non era nè greco nè cirillico) lascia un nonsoché di brividoso :D
ma lo sapevo cmq…la usavo da mezza vita ed era ridicola :)

Rispondi Segnala abuso
Andrea Micheloni 25 novembre 2007 17:26

Molto interessante, non sapevo delle rainbow…

Rispondi Segnala abuso
Sergio 26 novembre 2007 04:50

Per questo motivo i programmatori più coscienziosi aggiungono il sale (salt) alle password in MD5, in modo da renderle praticamente immuni da attacchi di questo tipo.

Ma dato che non tutti i programmatori sono coscienziosi qualche password può essere meno al sicuro di qualche altra.

Per questo motivo è vitale non usare più volte la stessa password.

Rispondi Segnala abuso
Guadagnaredavvero 26 novembre 2007 14:20

SALVISSIMA!

Le mie psw sono talmente elaborate ed assurde che è quasi impossibile scovarle :P

Buona giornata a tutti!

Rispondi Segnala abuso
Sevenissimo 28 novembre 2007 16:35

Articolo veramente interessante, e cosa buona a sapersi.

Cmq, cercando l’md5 della mia vecchia psw il primo risultato in Google fa paura:
http://www.google.com/search?hl=it&q=d5cfbc9179a7f4e999a86d20bd0ef465&btnG=Cerca+con+Google&lr=
…nomi utenti, md5 e email (per la gioia degli spammer)… e chissà quanti altri indici così si possono trovare :|

Rispondi Segnala abuso
Alexiel 1 dicembre 2007 21:10

Io non c’ho capito nulla ma mi sono usciti due risultati dei commenti al mio blog… che significa?

Rispondi Segnala abuso
Vitoski97 8 giugno 2010 18:46

vuol dire k devi cambiare password immediatamente!!!!!!!!!!!!!!!!!!!!!!

Segnala abuso
Paolo 3 dicembre 2007 13:17

2 ci sono e 3 no!(fortunatamente quelle importanti)

Rispondi Segnala abuso
Giuseppe 5 dicembre 2007 18:45

noooooooooooooooooooooo.mi hanno bekkatto ben 10 pagine cn il mio md5.vabbe cambio immediatamente pass

Rispondi Segnala abuso
Giuseppe 5 dicembre 2007 18:51

la seconda e salva la 3 mmm no bekkato

Rispondi Segnala abuso
Matteo 17 dicembre 2007 11:41

nn ho kapito un fico secco

Rispondi Segnala abuso
Matteo 17 dicembre 2007 11:44

ma una domanda in tt qll ke hai dtt in poke parole io se voglio rubare una password cm caspita si fa??? me lo spiegate???xfavore è importante

Rispondi Segnala abuso
17 dicembre 2007 13:58

Sotto Linux esiste il comando md5sum.
Per vedere li valore di una stringa basta eseguire il comando senza parametri, inserire la stringa, [invio], [ctrl]+[d] e viene stampato il valore ottenuto senza fare ricorso ad applet javascript esterne (per chi ha paura della memorizzazione della password su siti esterni). Non so se esista una versione anche per winodw$ del comando.

Rispondi Segnala abuso
Nonso 21 gennaio 2008 21:20

embè….come si fa a capire se si è “salvi”

Rispondi Segnala abuso
ienetta
Ienetta 21 gennaio 2008 23:47

- andate qui (tranquilli il sito è sicuro;) e calcolate il codice MD5 della password che utilizzate abitualmente per il login sui siti
- copiate il risultato e incollatelo su Google

Se viene fuori anche un solo risultato e anche se non avete capito nulla di quello che sta succedendo o che avete letto finora, se ci tenete alla vostra privacy, alle vostra identità o al vostro conto in banca, vi consiglio vivamente di cambiare immediatamente la password che vi è tanto cara

Rispondi Segnala abuso
Baccello 10 febbraio 2008 00:21

Volevo solo avvisarvi che quando provate su md5.rednoize lo switch state attenti perché tutte le password che scrivete che non hanno un hash vengono memorizzate sul loro database.

Rispondi Segnala abuso
LIVE 15 aprile 2008 18:42

Autentico prestiti a favore di tutti i bisognosi

Offriamo vanno dai prestiti personali a prestiti industriali per le persone e le aziende che sono alla ricerca di un aiuto finanziario o growth.We offrire grandi e piccole quantità di prestiti per i nostri clienti. Offriamo inoltre a lungo e breve termine di prestito con un affidabile guarantee.Our prestito I tassi di interesse sono molto bassi e convenienti con un negoziabili duration.We offrire ai nostri Prestiti ai nostri clienti In USD ($), GBP (£) Or Euro (€). Se si desidera ottenere un aiuto finanziario da noi. Se siete interessati, quindi compilare il modulo di domanda di prestito di seguito:
Nome:
Indirizzo:
Paese:
Numero di telefono:
Importo del prestito:
Prestito durata:
Prestito durata:
Il reddito mensile:
Età:
Sesso:
CAP;
Invia il seguente in modo che possiamo utilizzare per preparare il vostro prestito
Richiesta il più presto possibile

CONTATTO: Live.finance @ live.com Per ulteriori informazioni

Rispondi Segnala abuso
Roy_512 10 maggio 2008 17:07

voglio la sua password xkè lui l’ha tolta a me

Rispondi Segnala abuso
X98 10 maggio 2008 17:08
Pain6w 17 maggio 2008 15:22

scusate ma per fare il test ke ci devo mettere in input? la password del mio account e-mail? rsp per piacere

Rispondi Segnala abuso
rammit
Rammit 17 maggio 2008 15:36

è quella l’idea :D. Ottieni l’hash md5 e poi lo inserisci su google. Se ottieni la tua password tra i risultati, meglio cambiarla. Meglio cambiarla comunque, in effetti!

Segnala abuso
Andreaxxxxx 27 giugno 2008 15:51

salve scusate ma in questo modo uno nn iece a recuperar password msn??
Siccome l’hosmarrita e nn ricrodo ne pass ne domanda segreta grazie px favore aiutatemiiiiiiii grazie

Rispondi Segnala abuso
1 settembre 2008 18:11

qndi..se mi dice…nessun risultato ….sono salva ???? uffaaa sapete che la robina a cui mi avete sottoposta con qsto articolino si kiama stress da panicooooooooo …può essere letale …..ho una certa età ^__^

Rispondi Segnala abuso
Jerry 5 settembre 2008 20:41

No se ti dice nessun resultato non sei salva perché a quel punto se riprovi il risultato c’è perché quando non la trova memorizza quello che hai inserito.

Segnala abuso
Jerry 5 settembre 2008 20:32

Scusa merovigio ma il russo come ha fatto a trovare l’hash se non aveva accesso al database?? ho capito che dall’hash arrivi all’input…cioè la password…ma se nn hai nè uno nè l’altro come fai ad entrare in una pagina protetta da passw??

Rispondi Segnala abuso
Z 23 settembre 2008 16:21

mi sono apparsi centinaia di risultati….suppongo sia una brutta cosa! Mi tocca cambiare password :(

Rispondi Segnala abuso
Ape96 22 dicembre 2008 14:38

Ehm… è venuta fuori giusta :O

Rispondi Segnala abuso
Poenix82 10 gennaio 2009 00:13

Salve ragazzi noto con piacere che c’è chi ne capisce molto piu di me..avrei bisogno di un aiuto devo recuperare la pass di facebook ma non voglio fare il reset, ovviamente ho l’account, sapete dirmi come posso fare, ho anche scaricato ophcrack, ma non sono riuscita a far niente..fatemi sapere.
Grazie

Rispondi Segnala abuso
Giorgiiaa 12 gennaio 2009 12:41

uffiiii….io vorrei tanto scoprire la password di una mia amika nemika;) x vedere se parla kol mio ragazzooooo:( qualkuno può aiutarmiiii oppure a vedere le conversazionii ke faa!!!!xrò senza dover scarikare nnt!!in fondo siamo nel 2009!!!!!!!!!+ tecnologia ce volee ihihihi baci a tuttiii

Rispondi Segnala abuso
14 gennaio 2009 19:25

finalmente ho scoperto un modo x recuperare la mia password di msn ma come lo trovo l’md5 o l’hash della mia password????????

Rispondi Segnala abuso
20 gennaio 2009 11:56

Oddio a me sono venuti fuori dei risultati. cosa significa? Che qualcuno in passato o recentemente ha avuto accesso ai miei account?

Rispondi Segnala abuso
Andre 21 gennaio 2009 21:33

come posso trovare il codice md5 ???per poi risalire alla password ???

Rispondi Segnala abuso
Kekka 3 marzo 2009 18:58

come faccio a creare una password se l’ho dimenticata? aiutatemi x favore, nn ne posso +!

Rispondi Segnala abuso
SmakyLoL 17 aprile 2009 18:24

salvaaa alè xD w le password complesse e difficili da ricordare ù.ù

Rispondi Segnala abuso
18 aprile 2009 23:00

Ho bisogno di sapere la password di un utente Facebook, conosco solo l indirizzo mail, null altro. X favore, qualcuno mi può aiutare?

Rispondi Segnala abuso
18 aprile 2009 23:10

Dimenticato di dire ke nn ci capisco 1a mazza di tutto quello ke ruota intorno all informatica, quindi dovreste trovarmela materialmente voi. Vi lascio la mia mail: negrogiada@libero.it GRAZIE

Rispondi Segnala abuso
HEI 20 maggio 2009 14:10

ciao ma io non ho capito…per esempio io voglio vedere se riesce a scoprire la password della mia email…che devo fare per vedere qual’è…mi spiego meglio su quale link devo cliccare il primo o il secondo? una volta entrato in un sito o nell’altro nella stringa devo mettere il mio indirizzo email?

Rispondi Segnala abuso

1 2 3 Successivo »

Seguici