Digital Trends

Shard, il tool che scopre le password condivise tra i principali servizi web

Negli ultimi mesi abbiamo assistito ad un numero crescente di violazioni di dati con centinaia di migliaia di milioni di credenziali relative ai principali servizi web (LinkedInMySpaceVerticalScopes) hanno letteralmente inondato il mercato underground criminale.

Tali credenziali sono essenziali per gruppi criminali che intendono violare il maggior numero di account in rete per varie finalità (estorsione, spionaggio, ecc.). Abbiamo imparato nel tempo quanto sia pericoloso condividere le medesime credenziali tra differenti siti web, la compromissione di uno di essi infatti potrebbe consentire ad un hacker di violare tutti gli account della vittima che condividono le medesime credenziali.

Una volta in possesso di un archivio di credenziali rubate, gli hacker cominciano a testarle sui vari servizi in rete, un’operazione proficua, ma molto lunga.

Ora è possibile velocizzare il processo di verifica utilizzando Shard, uno strumento a riga di comando che è stato sviluppato per consentire agli utenti di testare se una che utilizzano per un sito è utilizzata per accedere ad alcuni dei servizi più popolari, tra cui Facebook, LinkedIn, Reddit, Twitter o Instagram.

Questi i moduli disponibili:

Schermata 2016-07-14 alle 18.21.33

Il tool accetta in ingresso la coppia nome utente e una password che utilizza poi per cercare di autenticarsi a più siti.

Schermata 2016-07-14 alle 18.23.11

Ovviamente un simile strumento nelle mani di un criminale informatico è molto pericoloso in quanto con estrema semplicità e velocità è possibile passare al setaccio interi archivi verificando se gli utenti cui sono associate le credenziali riusano le medesime sui principali servizi web. Il codice del tool è disponibile su GitHub, ed è molto probabile che i criminali informatici lo miglioreranno per renderlo utilizzabile anche con altri servizi, compresi quelli finanziari.

Il riutilizzo delle password è davvero una pessima abitudine difficile da sradicare: nel migliore dei casi gli utenti utilizzano una password di base cui aggiungono specifiche sequenze di caratteri per accedere ai vari servizi. Potremo quindi trovarci che l’utente Pippo usi la password “pippo01” per accedere al servizio A e la password “pippo02” per accedere al servizio B. Piccole modifiche al codice di Shard potrebbero consentire al tool di rilevare in maniera semplice questo genere di password, e siate certi che i criminali apporteranno tali correttivi!

Oggi l’unica potenziale limitazione del tool è il numero di tentativi da un singolo indirizzo IP, limitazione che può essere facilmente superata da un attaccante in possesso di una botnet.

Ancora una volta lasciatevi suggerire di utilizzare credenziali diverse per ogni servizio web, usare password complesse ed abilitare l’autenticazione a due fattori quando disponibile.

Alla prossima!

(Foto di Perspecsys PhotosCC BY-SA 2.0)

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della .
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This