Non ci crederete: ecco come usare Google per crackare una password

Non ci crederete: ecco come usare Google per crackare una password
  • Commenti (128)
  • Condividi
  • Email
  • Stampa

password

C’era una volta.. un team di esperti di sicurezza informatica della Cambridge University che voleva scoprire la password di un hacker cattivo e così decise di cercarla con Google.. se ci tenete alla vostra incolumità continuate nella lettura

Per molti cracker/hacker (decidete voi il termine che vi sembra più appropriato;) andare a bucare un sito che si occupa di sicurezza dimostra una certa abilità ed è motivo di vanto tra i “colleghi”. È probabilmente questa la ragione che ha spinto un filibustiere, apparentemente Russo, a sfidare e infrangere le barriere del blog Light Blue Touchpaper mantenuto da una squadra di specialisti della sicurezza dell’Università di Cambridge. Il pirata è innanzitutto riuscito ad entrare nel pannello di amministrazione del sito e, in seguito, da semplice utente è stato capace di ottenere i diritti di amministratore del blog sfruttando una vulnerabilità di WordPress finora sconosciuta.
Ma la parte più interessante della storia ha da venire.
Ad un certo punto i ragazzi del blog hanno cominciato le loro indagini e si sono chiesti la cosa più ovvia: che password ha utilizzato lo sconosciuto per entrare? Le tracce lasciate nel database ovviamente c’erano, ma come molti di voi sapranno sono codificate in MD5 a 128 bit e decriptarle è un lavoro decisamente duro.
Teoricamente, infatti, essendo un processo one way dovrebbe essere impossibile, partendo dall’output (MD5 hash), risalire alla stringa di input, o meglio, avreste bisogno di una potenza di calcolo che solo un migliaio di computer messi assieme e lavorando contemporaneamente potrebbe darvi.
Ma Steve Murdoch, autore della scoperta e admin del blog attaccato, non si è fatto intimorire dalla matematica e dalla logica e ha sfidato l’MD5. Nonostante la solerzia e l’ingegno delle strategie messe in atto tutti i tentativi fallivano clamorosamente l’uno dopo l’altro, finchè Murdoch, preso dallo sconforto e senza alcuna pretesa ha preso l’hash 20f1aeb7819d7858684c898d1e98c1bb dal database e l’ha inserito su Google. Et voilà: ecco venir fuori “Anthony”. Incredibile a dirsi, ma “Anthony” era proprio la password decifrata che Steve stava cercando, il cui hash MD5 era contenuto nientemeno che nell’URL di alcuni dei siti (questo per esempio) trovati con la semplice ricerca su Google (se inserite l’hash ora invece verranno fuori solo articoli che parlano di questa scoperta:)

Qualcuno dirà: e con ciò? Perchè tutto questo “apriti cielo!”? Dunque, una conseguenza logica d questa fortuita scoperta è che anche senza avere grandi conoscenze di hacking un amministratore che ha accesso ad un database (per esempio di un forum che voi frequentate) può ovviamente leggere la vostra email, user ed MD5. Mettiamo ora che l’amministratore non sia proprio una personcina per bene e utilizzi il trucchetto di Google ricavando la vostra password. Sapendo che la maggior parte degli “utonti” usa sempre la medesima password potrebbe cercare il vostro nickname altrove e con buone possibilità entrare lì dove solo voi potreste: praticamente ovunque.

Naturalmente chi si occupa di questo tipo di crimini informatici usa sistemi più sofisticati di Google come ad esempio le Rainbow Tables che coprono un’infinità di hash MD5 e tramite le quali con un programma come ophcrack è possibile scovare una password comune in pochissimi secondi.

Vi ho spaventati abbastanza? Non avete capito un tubo di quello che ho scritto? Qualunque sia la domanda e qualunque sia la risposta ecco un piccolo gioco per passare il tempo:

- andate qui (tranquilli il sito è sicuro;) e calcolate il codice MD5 della password che utilizzate abitualmente per il login sui siti (per il processo inverso e se siete curiosi di sapere se comunque la vostra password è già stata decriptata potete provare questo ;)
- copiate il risultato e incollatelo su Google

Se viene fuori anche un solo risultato e anche se non avete capito nulla di quello che sta succedendo o che avete letto finora, se ci tenete alla vostra privacy, alle vostra identità o al vostro conto in banca, vi consiglio vivamente di cambiare immediatamente la password che vi è tanto cara ;)

PS ho testato la mia password e stranamente sono salvo. A voi com’è andata? :D

831

Fonte | Guardian Unlimited

Condividi questo articolo con i tuoi amici di Facebook

Sab 24/11/2007 da in , ,

Commenta

Ricorda i miei dati

I commenti possono essere soggetti a moderazione prima della pubblicazione, pertanto potreste non vederli direttamente online non appena li inviate. Se ritenuti idonei, verranno comunque pubblicati entro breve.

Pubblica commento
22 giugno 2011 14:56

il metodo è geniale, solamente non capisco come recuperare l’hash della password da crackare, penso si trovi nei database e comunque un utente comune non può arrivarci…qualche consiglio?

Rispondi Segnala abuso
22 giugno 2011 20:03

non voglio cambiare la mia password perche fsbko non la riconosce????????

Rispondi Segnala abuso
27 giugno 2011 22:25

e se uno ha la stessa password di un altro???

Rispondi Segnala abuso
Gianna 1 luglio 2011 17:18

ragaaaaaaaaaa ma come si fa a “rubare” una password di badoo??

Rispondi Segnala abuso
Frak 6 luglio 2011 15:34

ho perso la mia password di facebook e msn come faccio a ritrovarla? posso fare qualcosa con questo programma?

Rispondi Segnala abuso
Claudio 7 luglio 2011 19:23

IO HO PROVATO CON DELLE PAROLE A CASO PURE COMPLICATE E LE HA TROVATE TUTTEEEEE

Rispondi Segnala abuso
Andreyo 30 ottobre 2011 02:16

salvo, combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali, più sicuri di così si muore ;)

Rispondi Segnala abuso
Antonio 13 novembre 2011 11:24

salvo… :D

Rispondi Segnala abuso
Federica 3 marzo 2012 19:46

Scusate ma io devo entrare nel profilo di una persona (facebook) e devo trovare un modo per scoprire la password ma non ho capito questo metodo. mi potete spiegare passo x passo cosa devo fare? Tenete conto che non si nemmeno che cos’è un hash !

Rispondi Segnala abuso
Loryfede 29 marzo 2012 18:46

craccare utente di nascosto senza molta elettricità 1231231114456

Rispondi Segnala abuso
D 1 giugno 2012 15:14
Guardian 5 aprile 2013 14:27

la cosa piu inutile mai creata dopo mia nonna che dorme

BENE ha trovato la vostra password e allora?

devi prima riuscire ad accedere al database ed estrarre il file pass o passwd criptate in md5

Rispondi Segnala abuso

« Precedente 1 2 3

Seguici