Il sito sviluppatori di Apple è di fatto chiuso al pubblico, la sua riapertura rinviata a data da destinarsi. La decisione di sospendere le attività è stata presa nella giornata di giovedì, quando improvvisamente il sito è entrato in una sorta di modalità manutenzione in cui è di fatto impossibile consultarne il contenuto: solo domenica Cupertino ha annunciato che il motivo per cui il sito era finito offline era un presunto attacco che avrebbe compromesso la sicurezza delle informazioni degli account degli sviluppatori registrati. Ma la spiegazione potrebbe anche essere meno grave di quanto sembrerebbe.
Stando alla dichiarazione ufficiale di Apple, giovedì è stato rilevata una breccia nei suoi sistemi che avrebbe condotto alla esposizione di alcuni dati personali degli sviluppatori iscritti. In parecchi, visto il prolungarsi del downtime, avevano ipotizzato qualcosa del genere. Email, indirizzo di residenza, nome e cognome: queste le informazioni che potrebbero essere state carpite, mentre numeri di carte di credito e dati sui clienti restano al sicuro dietro una cortina di cifratura numerica. In nessun caso sono coinvolti dati relativi agli iscritti all’iTunes Store: il sistema violato non ha alcuna relazione col marketplace di Apple, pertanto chi non è uno sviluppatore può dormire sonni tranquilli.
Prosegui la lettura…
Intervenendo alla conferenza Passwords^12, il ricercatore Jeremi Gosney ha mostrato al pubblico intervenuto che tipo di attrezzatura occorre per il cracking di password e hash delle suddette. L’hardware presentato da Gosney è di tipo GPGPU, usa 25 schede acceleratici marchiate AMD e può ingoiare miliardi di parole chiave nel giro di qualche minuto. Gosney, già noto alle cronache per l’affaire delle password di LinkedIn, ha mostrato quattro rack 4U equipaggiati con le suddette GPU AMD montate in link, capaci di comunicare a 10 Gbps tramite connessione Infiniband.
Il ricercatore ha usato il cluster così compostocon software Virtual OpenCL, e una versione modificata di Hashcat: il codice è stato opportunamente adattato alle esigenze specifiche di Gosney, e ora è in grado di supportare fino a 128 GPU gestibili in contemporanea. Già mettendo all’opera 25 co-processori “grafici” discreti, a ogni modo, i risultati sono a dir poco interessanti. Gosney ha provato a saggiare algoritmi e cifrari più o meno robusti, controllando un numero variabile di hash con un attacco a forza bruta nel tentativo di indovinare la password corrispondente.
Prosegui la lettura…
Gli hacker saranno diventati certamente sempre più abili a violare le password degli utenti. Ma è pur vero che questi ultimi sembrano non avere molta fantasia nella scelta delle parole di accesso ai propri servizi internet. Stando ai dati forniti da SplashData, la compagnia che ogni anno stila la classifica delle 25 password più utilizzate, infatti, pare che al primo posto resista l’opzione “password”: una scelta che di certo non rende inviolabile il proprio account.
Anche per questo negli ultimi anni si sono moltiplicate le vicende che vedono i fornitori di servizi internet alle prese con costanti furti delle proprie chiavi d’accesso (Yahoo! e LinkedIn, solo per citare gli ultimi episodi), che vengono poi puntualmente pubblicate su qualche forum di hacker. Oltre al danno non solo di immagine per chi subisce la sottrazione, anche gli utenti non ci fanno una bella figura perché le parole chiave sottratte risultano essere, infatti, tutt’altro che sofisticate e in pratica sono sempre le stesse.
Piove sul bagnato, potremmo dire. Yahoo, com’è stato ufficialmente confermato anche dalla stessa società di Sunnyvale, è stata vittima di un pesantissimo attacco hacker, che pare abbia fruttato ai delinquenti un bottino di ben 453.000 password dedicate ai sistemi integrati del noto motore di ricerca. Dopo che la voce era girata nell’ambiente per qualche ora, anche la stessa Yahoo si è trovata costretta a confermare ufficialmente.
Ovviamente la stessa società ha fatto immediatamente sapere che un team di sicurezza è già al lavoro per riparare la falla, ma come spesso avviene in questi casi, l’unica vera mossa intelligente è modificare immediatamente la propria password, magari effettuando la stessa operazione su altri siti nel caso questi possano essere riconducibili all’account email collegato e abbiano usato la stessa password. Stiamo pensando, ad esempio, a Facebook, dove lo username è spesso e volentieri proprio l’indirizzo email.
Prosegui la lettura…
Il recente furto di password che ha interessato oltre sei milioni di suoi utenti potrebbe costare caro a LinkedIn. E precisamente cinque milioni di dollari. A tanto, infatti, ammonta la richiesta di risarcimento avanzata da una donna dell’Illinois, che ha depositato istanza di class action presso la corte del Northern District della California contro il social network, sostenendo come la violazione delle politiche sulla privacy e degli accordi sottoscritti con gli utenti abbia facilitato il furto delle identità personali da parte degli hacker.
LinkedIn, questa la tesi alla base della protesta collettiva avviata da tale Katie Szpyrka, utente del social network dal 2010 e titolare di un account premium da 26,95 dollari mensili, “non è riuscita a tutelare adeguatamente le informazioni personali dei propri utenti, inclusi indirizzi e-mail, password e credenziali di accesso”. Alla mozione possono partecipare singoli individui ed entità aziendali statunitensi aventi un account attivo sul social network a tutto il 6 giugno 2012.
Prosegui la lettura…
