Fare previsioni non è semplice, neppure per chi lo fa di mestiere. Per esempio, una delle principali aziende mondiali di intelligence e previsioni strategiche, ovvero la Stratfor (Strategic Forecasting) non è riuscita a prevedere che il 24 Dicembre sarebbe stata colpita da un devastante attacco informatico.
Come sa bene Kevin Mitnick, il periodo natalizio è particolarmente indicato per sferrare attacchi informatici. Ed è esattamente quello che è avventuo il 24 Dicembre scorso, quando il collettivo internazionale Anonymous è riuscito ad esfiltrare 200GB di dati sensibilissimi dai server della Stratfor Global Intelligence.
Tra il bottino di guerra che si sono ritrovati tra mani gli “anonimi” si possono trovare dati dei clienti Stratfor, compresi indirizzi email e numeri di carta di credito. Tra i dati prelevati ci sarebbero anche quelli di MF Global, il gigante USA attivo sul mercato dei derivati finanziari, fallito nell’ottobre del 2011. Inoltre del bottino fanno parte anche circa 800000 (800160 per la precisione) hash di password. E qui viene il bello.
Ebbene, il sito thetechherald.com ha deciso di analizzare questi hash ed ha tentato di craccarli. Il risultato è quantomeno sconcertante, se si considera che i clienti di Stratfor sono (erano?) agenzie governative, grandi compagnie internazionali, banche mondiali).
Gli autori di questo esperimento sono stati in grado di craccare complessivamente 81833 password, di cui 25690 “cadute” in soli 7 minuti, sotto l’attacco di una wordlist ridotta.
Negli attacchi successivi, sferrati con wordlist sempre più corpose sono state craccate le rimanenti password sopravvissute al primo attacco. Tempo complessivo dell’operazione: 4 ore 56 muniti e 3 secondi.
E’ forse inutile precisare che le password craccate sono banali, semplice e contraddicono quasi tutte le regole per la scelta di password robuste. Queste è una lista delle password considerate tra le più ridicole tra quelle craccate:
************
111222333444
112233qqwwee
1234567890qw
123456789abc
123456789kkk
1234567890$
12345678901
1ntell1gence
12345stratfor
P@ss1234P@ss1234
PassWord123!@#
Password0032
password1234
password1981
password2009
password9191
Password999.
P@$$w0rd123
Password01!
password101
Password12*
password122
Password123
q1w2e3r4t5y6
qazwsx123123
qazwsx654321
qazwsxedc123
qwer1234qwer
qwerty123456
qwertyuiop00
administration
basketball
blackwater
blackberry
blackwatch
blackhawks
blockbuster
blackberry123
Braveheart123
biochemistry
conservative
Changeme12345
footballfreak
generalpatton
globalaffairs
globalization
geopolitical
hello123
help4me!
hongkong
islamofascist
intelligence
lawenforcement
liveandletlive
mypassword1
opsec
outstanding
Overlord888
stephanopoulos
super5collider
surveillance4u
thx1138thx1138
Sembra incredibile che nel 2012 siamo ancora qui a parlare del problema delle password deboli, e ovviamente la cosa che colpisce di più è che siano colpite da questo problema anche mega corporation globali.
Si riuscirà nell’anno corrente a trovare una soluzione a questa piaga? Se siete impazienti e non avete voglia di aspettare il 31 Dicembre, provate a chiederlo ai Maya.
