I membri del gruppo di hacker OurMine sono stati in grado di hackerare l’account del CEO di Google Inc. Sundara Pichai a Quora Q & A. Gli hacker lo hanno segnalato su Twitter Sundar Pichai.
Gli hacker spiegarono le loro azioni dicendo che volevano controllare il livello di sicurezza del servizio. “Controlliamo solo il livello di sicurezza, non cambiamo mai le password. Lo facciamo perché altri hacker possono hackerare questi account e cambiare tutto “, hanno detto.
Questo non è il primo trucco degli hacker OurMine. All’inizio di giugno, hanno hackerato gli account del fondatore di Facebook Mark Zuckerberg sui social network Instagram, Twitter, LinkedIn e Pinterest. Secondo alcuni esperti, l’hacking delle pagine di Zuckerberg sui social network è avvenuto a causa del furto dei suoi dati personali da LinkedIn. LinkedIn è stato violato nel 2012, consentendo agli hacker di accedere ai dati di 117 milioni di utenti.
I criminali informatici di OurMine affermano di voler semplicemente controllare la vulnerabilità dei siti. Hanno notato che non cambiano mai le password e spiegano le loro azioni dal fatto che altri hacker possono accedere alle loro pagine personali e “cambiare tutto”.
Casi noti di hacking
Anche altri hacker hanno eseguito hack con il pretesto di un controllo di sicurezza. Nel 2002, il 20enne Benjamin Stark e il 18enne Robert Little sono entrati in un certo numero di siti governativi, tra cui la NASA, la Marina degli Stati Uniti e il sito web del Dipartimento della Difesa. Gli hacker lasciarono messaggi su siti compromessi e pubblicarono indirizzi e-mail di funzionari su risorse conosciute per attirare l’attenzione del governo.
Sebbene Stark e Little sostenessero di essere stati hackerati per verificare le vulnerabilità della sicurezza, non riuscito a evitare la responsabilità. Stark ha ricevuto due anni di libertà vigilata, poco – quattro mesi di libertà vigilata con un periodo di prova di tre anni. Allo stesso tempo, entrambi hanno dovuto pagare danni pari a decine di migliaia di dollari.
Anche il giovane inglese Rafael Gray ha cercato di “aiutare” i siti con controlli di sicurezza. Nel 2000, un criminale informatico è entrato in un database di siti specializzati in e-commerce e ha caricato sulla rete 26.000 numeri di carte di credito e informazioni sui loro proprietari. Tra le vittime di un bullo informatico c’era persino Bill Gates. L’ex capo di Microsoft, per suo conto, l’hacker ha ordinato diversi pacchetti di compresse di Viagra.
Gray ha detto che stava cercando di indicare alle aziende la vulnerabilità dei loro sistemi di sicurezza. Tuttavia, né la polizia né i titolari di carta hanno apprezzato tale preoccupazione. Le azioni del bullo sembravano alle forze dell’ordine così strane che fu condotto un esame psichiatrico, che stabilì l’inadeguatezza del comportamento dell’hacker. Gray fu condannato a tre anni di cure psichiatriche forzate nel 2001.
L’hacker di 15 anni Jonathan James non sfuggì alla prigione, sebbene fosse un minore. James ha violato i siti Web di organizzazioni serie, tra cui la Military Threat Reduction Agency, che fa parte del Dipartimento della Difesa degli Stati Uniti. Nel 1999 attaccò il sito web della NASA e rubò numerosi documenti importanti, incluso il codice della stazione orbitale internazionale.
Dopo l’hack della NASA, l’agenzia spaziale ha fatto di tutto per catturare un hacker. Fu rapidamente calcolato, ma potevano andare in prigione solo per sei mesi, perché il giorno in cui fu annunciato il verdetto aveva solo 16 anni. Secondo gli avvocati, se l’autore del reato era un adulto, avrebbe dovuto affrontare almeno 10 anni di prigione.
Nel 2008, un hacker è morto in circostanze sconosciute. I dettagli della sua morte sono sconosciuti, ma si ritiene che si sia suicidato. Tuttavia, ci sono voci secondo cui l’intrattabile criminale informatico è stato eliminato dai servizi di intelligence statali.
Ogni anno, i criminali informatici si stanno sviluppando sempre di più, aumentando la loro specializzazione. Ciò costringe le organizzazioni a cercare costantemente nuovi modi di protezione, complicandoli e migliorandoli. Allora perché gli hacker sono così facilmente in grado di decifrare le password?
Come riescono?
Nel marzo 2013, la famosa rivista online americana Ars Technica ha condotto un interessante esperimento. Il direttore della rivista, Nate Anderson, è stato armato con software online disponibile gratuitamente e il più grande database di hash password di RockYou negli ultimi anni. Usando questi strumenti, Anderson, che non aveva mai infranto le password prima, riuscì a decifrare poco meno della metà della lista di 16.449 hash MD5 in poche ore.
Ispirata dal successo, la rivista Ars Technica decise di condurre nuovamente un esperimento, ma con la partecipazione di tre cracker professionisti. Per 12 ore, i cracker sono riusciti a ottenere 14.734 password, ovvero il 90% dell’elenco. Perché è così facile decifrare le password degli utenti?
Prima di tutto, le password “semplici” sono violate, dal momento che richiede meno tempo, dicono gli esperti. Quindi, come in un gioco per computer, gli hacker passano a livelli più alti. Innanzitutto, usano il principio della “forza bruta”, che consente di decrittografare più della metà delle password da uno a sei caratteri di lunghezza, che includono 26 lettere latine, 10 cifre e altri 33 caratteri. Si è scoperto un piccolo numero di combinazioni che un normale desktop può calcolare rapidamente.
Un aumento del numero di caratteri di uno o due aumenta significativamente il numero di opzioni, che richiederà diversi giorni per essere completato. Il metodo di selezione per password più lunghe può richiedere anni. Pertanto, per decifrare password lunghe e complesse, vengono utilizzati elenchi di dizionari, preparati sulla base di password utente reali che vengono “illuminate” con varie perdite.
Tra questi elenchi, la base di RockYou è di grande valore per gli hacker, che viene costantemente aggiornata a seguito di nuove perdite. Le perdite hanno dimostrato che gli utenti di siti pubblici e social network raramente escono con password complesse. Credono che le informazioni pubblicate non siano di interesse per gli hacker. Ad esempio, oltre 290 mila password su RockYou rappresentano la nota combinazione “123456”. Inoltre, molti utenti usano le stesse password su servizi diversi, il che facilita notevolmente il lavoro degli hacker.
Anche se è impossibile proteggersi dal crack delle password, può complicare il lavoro dei criminali informatici dicono gli esperti. Per questo, gli esperti suggeriscono di utilizzare password con una lunghezza di almeno 11-12 caratteri. Inoltre, la password deve includere caratteri alfabetici in diversi registri, numeri e altri caratteri. Inoltre, la password non deve essere letta come un modello esplicito. Gli esperti sconsigliano inoltre di utilizzare le stesse password su siti diversi e di cambiarle il più spesso possibile.