Tech by VICE

Un hacker ci ha spiegato come creare una password a prova di bomba

Sulla sicurezza delle password girano molti falsi miti. Un hacker che ha piratato Facebook, CIA e FBI ci ha spiegato come fare.

di Daniel Mützel
10 luglio 2017, 9:03am

Tra i numerosi miti a proposito delle regole per creare una buona password circolano spesso informazioni infondate. Per questo abbiamo chiesto a uno che se ne intende abbastanza, visto che ha già hackerato la CIA, l'FBI e gli Hells Angels.

Per Matthias violare password è un'attività routinaria. L'hacker di 28 anni, conosciuto con lo pseudonimo di "unnex" domina tutti gli arcani dei computer e dei sistemi informatici da anni. Il suo palma res è a dir poco spettacolare: Facebook, Paypal, Interpol, NSA, CIA, FBI, Bundeswehr e Hells Angels, ha messo tutti in ginocchio picchiando come un pazzo sulla sua tastiera grande quanto l'organo di una chiesa.

Eppure, la minaccia degli hacker non è appannaggio delle grandi istituzioni e gli utenti lambda dovrebbero conoscere i principi di base delle best practice in materia di sicurezza informatica. Raramente è così. Oggi hackerare un account facebook, un account di posta elettronica o un conto online non è così difficile, come provano gli articoli che postiamo regolarmente qui su Motherboard. Ovviamente è importante che il grande pubblico impari a utilizzare delle password sicure. Se non sarà così, la riservatezza delle informazioni personali di tutti sarà compromessa.

La maggior parte delle password che utilizziamo tutti i giorni sono degli inviti a essere hackerati. In Germania, per esempio, la password più utilizzata da svariati anni è "Hello", seguita da "password" e "hello123", il che dimostra a che punto sia terribile la mancanza di un'educazione in questo senso. Molti utenti si prendono la licenza poetica con dei meravigliosi "iloveyou" o "vivaipony", nascondendo dietro un velo di candore la loro relazione naif con la tecnologia.

Ma adesso è il tempo di ascoltare l'esperto. Matthias Ungethuem ci ha spiegato come costruire una password a prova di bomba, e ha destrutturato tutti i miti che circolano in proposito.

Matthias Ungethuem. Immagine : Mario Ast. Foto utilizzata con il permesso di Matthias.

Motherboard: Quante password hai craccato nella vita?
Matthias Ungethuem: Difficile da dire. Un numero molto grande. Che si tratti di lavoro o di attività personali, passo praticamente le mie giornate a violare password. Sono esperto in test di sicurezza e verifico costantemente la stabilità di database privati.

Quali sono i più grandi miti sulle password ritenute "solide"?
Ce ne sono tre, principalmente. Da una parte ci sono degli utenti convinti di non essere bersaglio di hacking, e non si prendono la briga di inventare delle password leggermente elaborate. Inutile dire che fanno un sacco di cazzate. Gli attacchi, generalmente, sono orientati verso grossi siti web, non verso persone specifiche. Una volta che l'attacco è riuscito, gli hacker attaccheranno gli account in massa, senza pietà. Non decideranno di salvare l'uno o l'altro con cura dopo aver esaminato i dati.

Secondo mito: bisogna cambiare molto frequentemente le password di tutti i propri account. No, non è così automatico. Modificare costantemente le proprie password può essere un segno di incertezza. Alcune aziende chiedono ai loro dipendenti di modificare la password dell'intranet una volta a settimana, il che sarebbe una buona idea se solo tutti avessero una memoria d'elefante. Questo fatto in realtà spinge molti impiegati a scrivere le proprie password su un foglio di carta che lasciano bene in vista sulla scrivania. La tastiera diventa l'equivalente dello zerbino sotto cui si nascondono le chiavi di casa. Lo fanno tutti, è super-pericoloso e anche stupido.

E il terzo mito?
Questo è senza dubbio il più pericoloso: alcune persone pensano che concepire una password sensata, o generata secondo certe regole (un algoritmo semplice, per esempio) è un'ottima idea. Invece no. Se lo fate, fate un regalo enorme agli hacker, perché il principio basilare del cracking è trovare una coerenza interna. Più la struttura della password è logica, più è facile craccarla, più si è vulnerabili.

Ma come fa un hacker a sapere secondo quali regole io compongo la mia password? Le possibilità sono infinite.
In realtà no, la varietà dei sistemi utilizzati dalle persone è piuttosto ridotta. Le possibilità di trovare un sistema iper-originale, unico, è davvero remota. Da parte loro, gli hacker utilizzano quelle che chiamano "liste del dizionario": le liste di parole che contengono degli enormi archivi lessicali, delle espressioni idiomatiche, delle liste di nomi e delle password ibride. Una password ibrida è una password composta da numerose parti, di cui alcune hanno un senso e altre no, è il tipo di password più utilizzato. MarkusX1 per esempio, o qwerty493. La maggior parte delle password è costruita così, e non sono per niente robuste.

Da dove inizi per craccare una password?
In genere utilizzo una scheda grafica molto potente, come la Radeon RX 580 Gaming X 8G di MSI. Costa circa 300 euro. Uno degli algoritmi migliori per le password è SHA1. La scheda grafica crea circa 4,3 miliardi di opzioni cifrate da SHA1 al secondo. L'esempio qui sopra, "MarkusX1" sarà craccata in 14 ore circa.

Screenshot : Matthias Ungethuem

Bisogna distinguere tra le password a cui si accede tentando di connettersi all'account via interfaccia e le password frammentate che si tenta di violare. Quando si cerca di volare una password frammentata si può lasciar lavorare la macchina da sola, senza bisogno di connessione internet. Se volete craccare un account Facebook il vostro successo dipenderà in parte dalla velocità della vostra connessione internet.

Ok. Allora qual è il segreto di una password ottimale?
Deve essere di 16 caratteri, di cui caratteri speciali, numeri, maiuscole e minuscole. Non deve avere senso né essere composta in maniera algoritmica. Poi non deve mai essere trasmessa in chiaro senza cifratura, né essere digitata su un sito non sicuro (privo del protocollo https, per esempio). Infine, non bisogna mai scriverla, deve restare nella vostra testa.

Quando si rispettano queste regole alla lettera, si è davvero tutelati? Voglio dire, se si ha un sistema capace di lanciare 4,3 miliardi di attacchi al secondo, nessuna password memorizzabile sarà mai ababstanza lunga e solida per tenere il colpo.
Puoi valutare la robustezza della tua password da solo. Basta prendere il numero di caratteri possibili e fattorizzarli con la lunghezza della password. Per esempio, "password" contiene solo lettere dell'alfabeto, e il numero di caratteri possibili è 26. Fai 26 per 8 (il numero di caratteri) e hai 208 miliardi di combinazioni possibili. Se aggiungi i maiuscoli, arrivi a 52 caratteri possibili (da a a z, e da A a Z). "PassWoRd" contiene dunque 52 possibilità per 8, che fa 53 milioni di combo possibili.
Basta paragonare i numeri ottenuti con le performance della tua attrezzatura. La mia carta grafica produce 4,3 miliardi di attacchi al secondo, il che mi permette di craccare la parola "password" in 48 secondi. Per "PassWord" mi servono circa tre ore. Più il numero di caratteri possibili (minuscoli, maiuscoli, numeri, caratteri speciali) è elevato, e più la password è lunga più le possibilità aumentano, e chi attacca impiegherà più tempo per craccare la password.

In pratica non esistono password totalmente sicure, solo password che resistono più a lungo.
Esatto.

Un trucco può essere pensare a una frase facile da memorizzare, e poi creare una password che parta dalla prima lettera di ogni parola, lasciando anche i numeri. Per esempio "L'1 gennaio 20$$, le macchine prenderanno il controllo della terra", che fa L1g2$$LMPICDT. Tu che ne pensi?
Se la password ha un senso, sia a livello logico che di contenuto, ed è un grosso problema. Non sono il primo e nemmeno l'ultimo a utilizzare le liste di password complesse per generare questo tipo di codice. Di solito, funziona.

Recentemente c'è una nuova moda: smetterla di pensare in termini di password e inventare una frase segreta, ovvero una sequenza di parole apparentemente non legate tra loro ma di cui è possibile ricordarsi grazie alla mnemotecnica. Tipo: "Rozana Mars Gesù Karate". Le frasi segrete sono molto più lunghe di una password classica e ci vuole molto più tempo per craccarle. Che dici?
Mi sembra ancora peggio del metodo precedente; è molto facile creare una lista di parole che permettano di scoprire questo tipo di frasi segrete, soprattutto quando un po' di hacker si associano mettendole in comune.

Siamo realisti, nessuno può ricordare password da 15 parole complesse differenti. Cosa pensi dei database di gestione delle password?
La centralizzazione delle password non mi disturba per principio. Ma quando la chiave principale del database viene craccata, sei fottuto. Chi attacca ha accesso alla totalità delle password, per lui è una festa, piange di gioia. Anche se ci hai messo tutta la creatività del mondo, non servirà a niente. Si tratta di una soluzione estremamente rischiosa, secondo me. Metti tutte le uova nello stesso paniere, la tua password principale deve essere più complessa della complessità stessa.

E anche l'autenticazione a due fattori è una cazzata?
Sì. Dipende tutto dalla natura del secondo fattore: può essere attaccato in parallelo. Un sms per esempio può essere intercettato, se l'hacker ne ha voglia.

Parlando di password, guarda il nostro racconto di quella volta che hanno quasi trasformato MySpace in una fabbrica di zombie:

Mi sto deprimendo. Quindi non esiste nessuna regola che possa trasformare una sequenza di caratteri memorizzabile in una password solida?
No, è un approccio sbagliato. La password non deve essere basata su nessun motivo ricorrente, nessuna regola logica. L'uomo sarà sempre meno dotato della macchina. Dai non ti deprimere, basta memorizzare. Non è niente di inumano. L'ultimo consiglio che posso dare è di utilizzare la tastiera nella sua totalità. Prendi dei caratteri a destra o a sinistra, ma anche al centro, ancora meglio se usi anche i caratteri delle altre lingue, come quelli cirillici o ebraici. Questa cosa fa veramente strippare gli hacker.

Ti faccio un esempio di una password che segue tutte queste raccomandazioni: ß@h/9#02'+a!(DkÄ. Quanto tempo ci vuole per hackerarla?
Così a naso ci sono 37 combinazioni possibili a 10^30, ovvero un numero a 32 cifre. Con la mia attrezzatura un hacker avrebbe bisogno di 273 miliardi di anni per craccarla. Direi una buona password.

Grazie Mathias. Ricapitolando: serve una password di 16 caratteri tra cui quelli speciali, le maiuscole, le minuscole, i numeri; le password non devono seguire alcuna logica ed essere totalmente destrutturate. Ma se le scrivete da qualche parte in chiaro o la mettete su un sito non sicuro, tutto questo non serve a niente.

Tagged:
Tech
Motherboard
Hacking
Cia
FBI
nsa
Interviste
password