Password, hash e bruteforce

È stato pubblicata la nuova tabella relativa ai tempi necessari per un attacco di bruteforce ad un hash MD5 di password. Qualche commento qui: https://www.linkedin.com/posts/telmon_are-your-passwords-in-the-green-activity-6907960956568375296-OL2y
Per chi invece non sapesse di cosa si tratta, un minimo di spiegazione.
Quando volete autenticarvi e inserite una password, il sistema al quale vi autenticate ha bisogno di un’informazione per verificare quella password. Una possibilità è che memorizzi una copia della password e faccia il confronto. Il problema è che in questo caso, chi abbia accesso al sistema, legittimamente o perché lo ha compromesso, può avere accesso al database di tutte le password degli utenti di quel servizio.
Così, molti anni fa si è deciso che fosse buona pratica non memorizzare le password, ma gli hash delle password. Una funzione hash è una funzione “unidirezionale”: data una password è veloce calcolare l’hash, mentre dato l’hash è “troppo complesso” calcolare la password. Se si è memorizzato l’hash di una password quindi, al momento in cui poi l’utente cerca di autenticarsi, per verificare la password inserita, se ne calcola l’hash e lo si confronta con quello memorizzato. Veloce ed efficace.
Il vantaggio è che in questo modo, chi avesse accesso al sistema, non vedrebbe un database di password, ma un database di hash, dai quali, essendo la funzione “unidirezionale”, non si possono calcolare le password.
Si sono sviluppate quindi due tecniche di attacco ai database di hash. La prima è di bruteforce (forza bruta): si provano tutte le password possibili per indovinare quella giusta. Qual è lo scopo, visto che ho già accesso al sistema? Lasciando stare le ragioni “storiche” degli ambienti Unix, il problema principale gli utenti riutilizzano le password su diversi sistemi e servizi, quindi dall’avere compromesso un sistema, magari poco protetto, posso recuperare delle password che gli stessi utenti utilizzano su un sistema più protetto al quale non riuscirei altrimenti ad avere accesso.
Con un attacco di bruteforce quindi, se le password sono corte, ad esempio di quattro caratteri, non devo fare altro che calcolare l’hash di tutte le combinazioni di quattro caratteri, per vedere quale coincide con quello memorizzato nel database, e così scopro qual è la password “giusta”.
Questo è appunto l’argomento della notizia, ovvero: quanto deve essere lunga e complessa una password perché questa operazione di forza bruta richieda a sua volta troppo tempo?
È chiaro che se io ho una password composta solo di due cifre, con cento tentativi l’attaccante può provare tutte le possibilità e gli ci vuole pochissimo. Se ho una password di 18 cifre, gli ci vogliono 10^18 tentativi, che porta via un po’ di tempo. Se ho una password causale di 18 caratteri stampabili, con un buon processore attuale gli ci vuole un numero pauroso di anni per recuperare una singola password.
Nella pratica però, anche quando si ha accesso ad un database di password, si può usare un’altra tecnica, enormemente più efficiente, che sono gli attacchi “di vocabolario”. Il punto è che le persone non scelgono password casuali, perché non riescono a ricordarle. Scelgono generalmente password che derivano da un vocabolario, o variazioni di queste. Ad esempio, possono scegliere un nome proprio, o un nome comune come “camino”, o modificarlo in modi abbastanza tipici come “cam1n0”, “camino123”, “camino.01”, “camino2022”, “camino-1965” e simili. Ci sono programmi che prendono un vocabolario di una lingua, un database di nomi propri, e provano tutte queste combinazioni. Il numero di tentativi necessario per password anche lunghe è enormemente più basso rispetto a una password casuale, e la percentuale di successo comunque altissima, anche se non del 100%. Quando si ha accesso a un database di password, non ho presente quale sia la percentuale attuale, ma se ricordo bene l’ultima volta che ho guardato, si riuscivano a recuperare almeno il 70% delle password usando vocabolari e combinazioni molto semplici, quindi in tempi molto rapidi anche per password lunghe. Di solito, è più che sufficiente per qualsiasi necessità dell’attaccante.
Tutto questo naturalmente se, ripeto, si ha già avuto accesso al database delle password. Se ad esempio si è fatto un attacco che permetta di recuperarlo (ad esempio, di SQL injection) e si sono scaricati gli hash delle password di un servizio online, allora in questo modo di possono attaccare le password di altri utenti dello stesso servizio e probabilmente anche quella dell’amministratore del servizio, cosa che permette di aumentare l’ampiezza della compromissione. Per gli altri commenti rimando al post su linkedin: https://www.linkedin.com/posts/telmon_are-your-passwords-in-the-green-activity-6907960956568375296-OL2y

Posted in Uncategorized | Tagged , , | Comments Off on Password, hash e bruteforce

Strategia per il cloud nazionale e fornitori USA

L’articolo è pubblicato qui

Posted in Uncategorized | Tagged , , , , | Comments Off on Strategia per il cloud nazionale e fornitori USA

Una storiella…

Nicola arrivò al parcheggio guidando la processione di tre automobili cariche di parenti. Nella sua macchina lui, sua moglie, i due figli maggiorenni e nonna Maria. Nella macchina dietro lo zio Gustavo e famiglia, altre cinque persone. Dietro ancora, il pezzo forte: cugino Marco con la sua auto a sette posti, con dentro lui, la sua famiglia, nonno Giuseppe, e l’altra cugina Marta con il marito.
Il parcheggio era pieno zeppo, dovettero girare dieci minuti per trovare un posto. Nicola era nervoso, non voleva rischiare di fare tardi, sarebbe stato un disastro. Finalmente, parcheggiate le auto e raccolte le sue truppe, Nicola si diresse verso il tendone. Dal tendone arrivavano suoni di musica da ballo e un inconfondibile profumo di salsicce. Davanti all’ingresso, una cinquantina di persone aspettava di entrare, in fila in una coda stranamente ordinata. Sopra l’ingresso, un’insegna luminosa diceva: “Comitato per il sostegno a Oreste Maria Ulisse Di Panza, lista civica ‘Mettiamocela tutta’”.
Nicola e compagnia si misero ordinatamente in fila. La fila scorreva abbastanza veloce, le persone venivano fatte entrare dieci alla volta con una cadenza regolare di un gruppo ogni due minuti circa. In poco tempo fu il turno di Nicola, che entrò con metà dei suoi: gli altri sarebbero entrati nel gruppo successivo.
L’ingresso del tendone era ben organizzato: a un tavolino sedeva un ragazzo con un tablet in mano. “Nicola Di Bella Speranza”, disse Nicola, aggiungendo poi con un tono di orgoglio “con sedici persone”. Il ragazzo alzò gli occhi dal tablet e lo guardò in faccia, poi riguardò il tablet, come per confrontare il volto di Nicola con una foto sul tablet. Che, pensò Nicola, era probabilmente quello che stava facendo. “Prego, accomodatevi, e buon voto”, disse il ragazzo. Di lì, Nicola e famiglia sapevano cosa fare. Sua moglie, per non rischiare, accompagnava nonna Maria, non sia mai che facesse qualcosa di sbagliato.
Nicola le istruzioni le aveva avute quando si era accordato per votare lì, e le aveva passate a tutti e sedici. Davanti a lui, dieci cabine con una tendina, in pratica dieci cabine elettorali, separavano l’ingresso dal resto del tendone, del quale non si vedeva niente, ma da cui continuavano ad arrivare la musica e l’odore di cibo. Davanti ad ogni cabina stava un uomo, in attesa di far entrare ciascuno un votante. Nicola si diresse verso la cabina più vicina. L’uomo davanti ad essa era un ceffo noto in tutto il paese come “Mimì Occhiospento”. “Prego”, gli disse Occhiospento con un sorriso, “si accomodi nella cabina. Avrà tutta la riservatezza per votare con tranquillità, e poi potrà unirsi ai festeggiamenti in attesta dei risultati. Noi siamo qui per assicurare che nessuno la disturbi”. Con un gesto, aprì la tendina e fece accomodare Nicola. Nicola pensò che Occhiospento, con la fama che aveva, doveva aver studiato almeno mezza giornata non solo per ricordare tutto quel discorso, ma anche per dirlo con un tono che non facesse pensare che in quella cabina Nicola sarebbe stato come minimo sgozzato.
Dentro alla cabina, Nicola trovò un tavolino di legno e una sedia che dava le spalle all’entrata. Davanti, un’altra tendina, chiusa, che in quel momento Nicola vedeva come le porte del paradiso, con il suono della musica e l’odore di vino e salsicce che lo aspettavano. Sul tavolino, una bustina in panno nero delle dimensioni di un cellulare. Di fianco, una chiusura simile ai bottoni antitaccheggio che nei negozi si attaccavano alla merce nei negozi.
Nicola si sedette, tirò fuori il cellulare, lo posò sul tavolo e, come da istruzioni, aspettò. Anche le altre nove persone dovevano finire di entrare nelle proprie cabine. Dopo poco sentì dietro di sé Occhiospento che diceva “Buon voto”, e il rumore della tendina che si chiudeva. Nicola fu tentato di girarsi, ma si trattenne. “Mi raccomando, non ti voltare assolutamente. È la cosa più sbagliata e pericolosa che puoi fare”, gli avevano detto. Dopo qualche secondo, sentì il rumore della tendina che si riapriva leggermente. Quello era il segnale. “In quel momento”, gli avevano detto, “nell’ingresso ci sono solo gli uomini di Di Panza. Le tende davanti a te sono chiuse, l’ingresso è chiuso. Nessuno può vedere. Gli uomini di Di Panza aprono le tendine, e da sopra le spalle guardano cosa voti. Ma siccome tu non ti giri, neanche tu li vedi. Nessuno potrà dire di non aver votato nella riservatezza della cabina. Mi raccomando, non sollevare il cellulare dal tavolo, che non pensino che li stai filmando”.
Nicola sbloccò il cellulare e si preparò a votare. In realtà aveva già provato a votare a casa, come gli era stato detto, per non rischiare di sbagliare o di far perdere tempo. Ma il sistema permetteva di cambiare idea e rivotare fino alla chiusura dei seggi; quindi, il voto valido sarebbe stato quello dato adesso. Scelse Di Panza, votò e confermò la scelta. Poi, come da istruzioni, fece scivolare il cellulare nella bustina di panno, che sapeva essere schermata, e la chiuse con il bottone antitaccheggio. Quel bottone si poteva aprire solo rompendolo con un apposito attrezzo, e nessuno lo doveva aprire fino a che non fosse uscito dal tendone. Sentì la tenda dietro di sé che si chiudeva, e tirò un sospiro di sollievo. Era fatta. Si alzò, ed uscì dalla tendina davanti a sé, entrando nel tendone vero e proprio. Qui c’erano file di tavoli pieni di persone che mangiavano e bevevano, e il fondo uno spazio con un’orchestra e gente che ballava. Guardò a destra e a sinistra, e vide le persone che man mano uscivano dalle altre cabine. Aspettò i propri famigliari, e poi andarono ad occupare un tavolo che potesse ospitare tutto il loro clan, in attesa che arrivassero anche quelli del gruppo successivo: probabilmente stavano entrando nelle cabine in quel momento. Nell’attesa si guardò intorno. Sembrava davvero una sagra di paese. Ma ognuno dei presenti aveva votato in modo “garantito”, come si diceva, per Di Panza. E ognuno aveva avuto qualcosa in cambio: chi qualche decina di euro, chi lo sveltimento di qualche pratica importante, chi una promessa di favori futuri. Lui, con i suoi diciassette voti garantiti, aveva avuto la promessa di un posto di lavoro per sua figlia Giuditta.
Dopo poco cominciò ad uscire dalle cabine anche il gruppo successivo, e in breve furono tutti e diciassette al tavolo che ordinavano da magiare e da bere, pronti a godersi la serata fino alla chiusura dei seggi. Quella era l’ultima regola ferrea: nessuno poteva uscire dal tendone fino alla chiusura dei seggi, e nessuno doveva essere visto a guardare cellulari o cose simili. Chiunque, intorno, poteva essere una spia, pronto a segnalare eventuali comportamenti anomali alle persone di Di Panza che si riconoscevano in giro per il tendone con una maglietta nera con la scritta “staff security”. Una segnalazione poteva valere un ulteriore vantaggio per chi la faceva, ma per chi fosse stato segnalato poteva voler dire problemi molto seri. Cose alle quali a Nicola avevano solo accennato e alle quali non voleva nemmeno pensare. Per farsi passare il brivido si bevve d’un sorso un intero bicchiere del vino che nel frattempo era arrivato, poi tirò fuori la carta di credito per pagare: non sia mai, gli avevano detto, che Di Panza fosse accusato di aver offerto la cena in cambio del voto. La sua posizione doveva essere inattaccabile, avevano detto. Alle brutte, l’organizzatore della serata si sarebbe preso ogni colpa, ma il meccanismo era abbastanza rodato, e gli “incidenti” erano stati negli anni molto pochi: la pratica si era diffusa e le modalità ormai erano note, tanto che ormai c’era chi parlava apertamente di rendere legittimo lo scambio del voto per denaro. Ma il favore che aspettava Nicola difficilmente sarebbe mai diventato legale.

Rimasero al tavolo a mangiare e chiacchierare per un paio d’ore, poi all’improvviso, a metà di un pezzo, l’orchestra si zittì, e un uomo di Di Panza prese il microfono. “Vi annuncio ufficialmente che i seggi sono chiusi”. Grida e applausi seguirono quell’annuncio. Dall’ingresso però, si sentirono voci di discussioni: probabilmente qualcuno non era riuscito ad entrare in tempo per votare. “Se volete andare via, ricordatevi di farvi aprire il sacchetto porta cellulare all’ingresso. Pensiamo che l’idea di non usare il cellulare durante la serata sia stata utile per favorire la socializzazione, vero”? Nessuno si sprecò a rispondere a quella affermazione pro-forma che, in caso di problemi, avrebbe dovuto “giustificare” le bustine nere. Dopotutto, non si faceva ormai così anche per tanti altri eventi? “Ma sono sicuro”, concluse l’annunciatore, “che vogliamo tutti restare qui a vedere i risultati di questo voto, e l’elezione del nostro candidato”. Venne abbassato uno grande schermo per la proiezione, su cui venne proiettata la pagina di un sito che dava i risultati in tempo reale. Dopo circa venti minuti, vennero proiettati i risultati definitivi, e questa volta le grida e gli applausi furono più forti e sinceri: Di Panza aveva vinto, i favori promessi erano assicurati. Nicola e famiglia si unirono ai festeggiamenti, abbracciandosi e soprattutto abbracciando Giuditta, la vera beneficiaria di quella serata. Benedetto voto elettronico!

———-

Dalla Mozione sul Voto Elettronico approvata dalle Assemblee GII del 16 novembre e GRIN (del 29 ottobre 2021:
Il 9 luglio 2021 il Ministro dell’Interno, di concerto con il Ministro per l’Innovazione Tecnologia e la Transizione Digitale, ha approvato un decreto per la sperimentazione del voto elettronico in Italia, con le relative linee-guida, che punta a valutare modalità di espressione del voto in via digitale per le elezioni politiche ed europee e per i referendum previsti dagli articoli 75 e 138 della Costituzione.
Successivamente, l’ambito della sperimentazione è stato esteso alle elezioni regionali e amministrative, con l’obiettivo di consentire la prima sperimentazione già nel 2022. Il decreto prevede che il voto venga espresso mediante una web application a cui l’elettore può accedere con qualsiasi dispositivo digitale collegato alla rete internet. Lo scopo dichiarato è quello di agevolare la possibilità di voto degli italiani all’estero e degli elettori fuori sede per motivi di lavoro, studio o cure mediche”.
La comunità informatica italiana considera suo dovere sottolineare i rischi che accompagnano l’uso del voto elettronico nelle elezioni politiche. Pur ribadendo la necessità della ricerca su sistemi elettorali sicuri, riteniamo doveroso – sulla base degli innumerevoli risultati scientifici raccolti in questi anni – sottolineare i rischi di voto di scambio, di attacco e manipolazione (a fronte di un incerto aumento della partecipazione elettorale, allo stato attuale delle ricerche ancora non dimostrato), ma anche i rischi connessi a un modello elettorale in cui il cittadino non è grado di convincersi della veridicità del risultato delle elezioni e la conoscenza necessaria per i controlli è patrimonio solo di un ristretto gruppo di persone
”.


La posizione assunta dal GII e dal GRIN rispetto al voto elettronico nelle elezioni politiche si somma a quelle prese nel tempo da tante associazioni di informatici e di esperti di sicurezza delle informazioni, mentre non ricordo una sola associazione che si sia espressa a favore. Varrebbe la pena di ascoltarle, visto che alla fine il voto elettronico è “roba di computer”. Nessuno di noi può dire di avere il controllo di cosa c’è sul proprio cellulare e di cosa faccia.
Ma al di là degli aspetti tecnici, c’è un punto fondamentale: la cabina elettorale è garanzia di libertà di espressione del voto. Il voto da casa non impedisce che il nostro voto sia controllato: quello della moglie da parte del marito, quello dei figli da parte dei genitori, quello dell’anziano da parte dei figli e tutti, indistintamente, da chi abbia la forza per imporre la propria volontà. Certo, ci sono paesi in cui si vota con facilità per posta, ma non tutti i paesi sono uguali, e non tutti hanno gli stessi problemi.
Questa storiella descrive uno scenario di cosa potrebbe derivare dal voto fatto fuori dalla sicurezza della cabina elettorale. Lo scenario è un po’ eccessivo…forse. Ma spero possa aiutare a pensare ai rischi del portare, in Italia, il voto fuori dal seggio. Soluzioni alternative ai problemi dei meccanismi di voto attuale ci sono. Sarebbe utile provare a cercarli, prima di scegliere una toppa che è peggio del buco.

Posted in Uncategorized | Tagged | Comments Off on Una storiella…