Sicurezza

Forum di Ubuntu attaccato: rubati 1,8 milioni di password

Il forum di Ubuntu è stato attaccato e gli autori hanno sottratto i dati di 1,8 milioni di utenti: indirizzo di posta elettronica, nome utente e password. Gli amministratori hanno quindi deciso di chiudere l'agora virtuale, sabato, e hanno informato subito gli iscritti tramite posta elettronica. Al momento il sito ubuntuforums.org è ancora offline.

Le password erano protette da crittografia: i criminali dovranno darsi da fare, e investire parecchie risorse per estrarle. L'algoritmo usato è il noto MD5 – non il massimo in termini di solidità – e ogni password ha subito un diverso "salting". Non è la migliore delle protezioni possibili, ma è senz'altro difficile da superare: in effetti è probabile che chi ha rubato i dati desista, ma non è detto: chiunque avesse un account sul forum di Ubuntu deve comportarsi come se la password fosse in mano ad altri.

Il problema si pone per chi usa gli stessi dati di accesso anche per altri servizi; trovarsi un accesso indebito alla posta elettronica potrebbe, in effetti, essere un problema ben più serio. E soprattutto riguarda persone che, per una ragione o per l'altra, potrebbero rappresentare un bersaglio privilegiato: se ritenete di essere tra questi, meglio prestare la massima attenzione.

Dan Goodin su Ars Technica fa notare che Canonical avrebbe fatto meglio a usare algoritmi "lenti", che obbligano a investire mesi, o persino anni per decriptare una password. MD5, SHA1 e altri invece non garantiscono nulla in questi termini: data sufficiente potenza hardware, la crittografia si può superare in tempi relativamente brevi.

"Il recupero di una password partendo dall'hash MD5 è ad oggi una cosa fattibile in tempi ragionevoli (anche nell'ordine di minuti nei casi più semplici) grazie ad attacchi mirati quali l'utilizzo delle rainbow table. Il sistema utilizzato dal forum vBulletin prevede l'applicazione di un salt in fase di salvataggio della password dell'account utente. In altre parole, alla password scelta dall'utente e hashata con MD5, viene aggiunto un valore casuale – generato diverso per ogni singolo utente – e il risultato finale viene nuovamente hashato in MD5. Questo sarà il valore salvato nel database", ci ha spiegato Marco Giuliani di SaferBytes.  

"Il punto, tuttavia, è che in vBulletin il valore del $salt viene salvato nella stessa table del database dove viene salvato anche lo user e la password finale hashata quindi, con tutta probabilità se chi ha attaccato è riuscito a recuperare la password hashata ho diversi dubbi che non sia riuscito a recuperare anche il valore dell'hash, visto che sono nella stessa table". Continua l'esperto, lasciando intendere che la protezione crittografica dei dati è tutt'altro che una garanzia. 

Al momento i dati rubati non sono stati pubblicati, ma probabilmente lo saranno: gli autori del furto infatti si sono anche presi il disturbo di alterare il sito (defacing), quindi è probabile che vogliano dare la massima visibilità al loro operato.

Come in altri casi, consigliamo a tutti i nostri lettori di usare password diverse per ogni sito o servizio usato. E che siano il più lunghe e complesse possibile: non è possibile tenerle tutte a mente, naturalmente, e per questo la cosa migliore da fare è usare applicazioni come KeePass o OnePassword, entrambe compatibili con sistemi operativi desktop e con applicazioni per smartphone. 

Nota. 14.19, 22 luglio 2013: l'articolo è stato modificato per aggiungere il commento di Marco Giuliani.