Archivio per mese: Settembre, 2016

Diletta Leotta Hackerata, ma come ?

In molti amici mi hanno chiesto come sia stato possibile Hackerare l’ account di Diletta Leotta.
Nelle varie interviste si legge che ad essere stato violato è il suo cellulare.
Non è esatto violato il suo cellulare, è stato violato il suo account Dropbox.

Ma come è stato possibile ?

Ecco come procederei io

• Fase uno: INDIVIDUARE UNA O PIU’ EMAIL PERSONALI DI DILETTA LEOTTA

I modi sono tanti, “immaginarla” a rigor di logica, cercare di contattare qualcuno a lei vicino, usare “san google” o cercare su siti specializzati coi contatti/riferimenti delle celebrità.

Ora, se la vostra ricerca ha successo possiamo continuare.

• Fase due : TROVARE LA PASSWORD DELL ACCOUNT IN QUESTIONE

Tanto facile quanto difficile, andiamo a fantasia, a tentativi, usiamo tecniche di phishing e cerchiamo di farcela inviare proprio da lei ?

Io procedere per un altra strada.
Cerco se il suo account è già stato compromesso

BOOM BABY ! 
Cara Diletta, you have been powned!
Ovvero Diletta sei già stata pizzicata!

• Fase tre: ABBIAMO LA CONFERMA CHE LA PASSWORD E’ IN QUALCHE MODO GIA’ NOTA

Ma come ? Dove ? Quando ?

BOOM BABY !!!
Wow, chi se l’ aspettava, proprio DROPBOX!
E guarda caso giusto ad agosto 2016 Dropbox ha obbligato gli utenti a cambiare le password.
Ergo, le foto di Diletta Leotta erano già state scaricate da almeno un mese e mezzo.

• Fase quattro: CERCHIAMO LA PASSWORD O IL SUO HASH

Ora, la password dove la cerchiamo.

Scegliamo il lato oscuro del web, il DeepWeb, la rete Onion/TOR, li avremo qualche possibilità.

Cerchiamo e neanche troppo chi vende i DATABASE RUBATI, e chi mette qualche link per dimostrare che la merce è buona.
Basta il link giusto su PASTEBIN
BOOM BABY !!!

Maledetto codice etico degli Hacker, quando trovano qualcosa pubblicano tutto!
Abbiamo ora l HASH della password

• Fase cinque : SPERIAMO DI DECRITTARE LA PASSWORD DALL’ HASH RINVENUTO

Per fare ciò ci sono principalmente due modi:

1. Brute Force nudo e crudo, potrebbero volerci anni
2. Brute force su dizionario: speriamo abbia usato una password banale di cui sono già noti gli hash

Prima di impiegare millenni di tempo macchina facciamo una rapida ricerca su google e vediamo se online troviamo qualche sito che offre ricerche gratuite di De-MD5 e De-SHA1

Ne provo quattro

Questo sito ha un database di 6,2 Miliardi di password ed i loro corrispondenti hash archiviate in diversi modi.
BOOM BABY !!!

Complimenti abbiamo trovato una password veramente banale.

Ora la pericolosità:

• Possibile accesso a GMAIL
• Possibile accesso ad iCloud
• Possibilità di ripristinare su altri dispositivi il backup del terminale
• Possibile compromissione di tutti gli account SOCIAL
• Parecchi dati potrebbero dover ancora uscire

E SPERIAMO CHE NON USI LA STESSA PASSWORD PER TUTTO

MA QUESTO E’ SOLO UN IPOTETICO MODO DI OPERARE, PERO’ E’ UNA VIA PERCORRIBILE ED ALLA PORTATA DI MOLTI