Aza Raskin ci porta a conoscenza di una nuova tipologia di attacco hacker, il “Tabnabbing”. E’ importante specificare prima di tutto che l’attacco funziona solo se l’utente “vittima” è solito utilizzare più schede durante la sua navigazione online, poiché il Tabnabbing sfrutta proprio questa vulnerabilità “umana”.

Come funziona? La vittima riceve un link(ultimamente un hacker potrebbe sfruttare un social network per propagare l’infezione) ad una pagina web, la quale successivamente, ad insaputa della vittima(che è nel frattempo è occupata nella navigazione tramite altre schede, la reindirizza su una pagina simile ad un servizio noto alla vittima(banche online, email, etc…). Pertanto tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva dal link inviatole dall’attaccante, potrà pensare che aveva aperto tale pagina senza aver ancora effettuato l’accesso. I dati inseriti in questa pagina verranno inviati direttamente all’attaccante, mentre la vittima verrà reindirizzata sul sito reale in modo che non si accorga di essere stata derubata dei dati d’accesso.

Ecco un video d’esempio che illustra come funziona la tecnica:

Fonti: Aza Raskin, http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

Related posts:

1. 12 lezioni per diventare un hacker

E’ “123456” la password più usata. Questo risultato proviene da un’analisi condotta su un database di 32 milioni di password. Le conclusioni di questa ricerca? password corte, la mancanza di lettere maiuscole e cifre numeriche e l’uso di parole comuni rende il proprio account assolutamente insicuro e accessibile nel giro di un minuto attraverso l’uso di strumenti a forza bruta.

Altre considerazioni che sono state tratte sono:

• In soli 110 tentativi, solitamente un hacker guadagna gli accessi a un nuovo account e impiega circa 17 minuti per entrare in 1000 account
• Circa il 30% degli utenti usa password corte solo 6 caratteri (o meno)
• Almeno il 60% degli utenti usa password con poca varità di caratteri
• Circa il 50% degli utenti usa nomi propri, parole comuni o password banali (cifre consecutive, lettere adiacenti sullla tastiera, ecc…).

Il premio quindi a password più usata è “123456“. L’elenco delle altre password banali è il seguente:

Related posts:

1. 1200 password di apparati e computer
2. Password MSN: come trovare gli accessi del messenger
3. Recuperare la password degli account email

Spesso per fretta o per pigrizia scegliamo password semplici e facili da ricordare. Il vantaggio è che le ricorderemo per un lungo tempo, ma avremo lo svantaggio di utilizzare password insicure.

Microsoft ci aiuta a sconfiggere questo problema, pubblicando uno strumento online per verificare la robustezza della nostra password. Abbiamo 4 stati indicati da una progress bar: debole, media, sicura e migliore. In conclusione, poteto utilizzare o no questo Password Checker, ma vi consiglio di utilizzare sempre e comunque password robuste per non incorrere in spiacevoli sorprese!

Related posts:

1. Recuperare la password di MSN
2. Recuperare le password memorizzate su Internet Explorer con l’autocompletamento
3. Tecniche per il recupero della password email con ElzaPop

Nucleus Kernel Internet Explorer Password recovery è un software dedicato al recupero delle password e dei relativi username dimenticati che sono stati salvati su Internet Explorer. Per essere chiari, Internet Explorer facilita l’utente durante l’autenticazione su alcuni siti, memorizzando la prima volta lo username e la password, in modo che le volte successive siano riproposte in automatico (autocompletamento)

Il software mostra istantaneamente tutti le coppie di nome utente e password memorizzate su Internet Explorer. Questo strumento si rivelerà utile ed essenziale in alcuni casi di emergenza. Parola di webmaster!

Related posts:

1. Recuperare la password di MSN
2. Recuperare una password svelando gli asterischi
3. Recuperare la password degli account email

Nucleus Kernel Hotmail MSN Password recovery è un software specifico in grado di recuperare le password perse o dimenticate del proprio account MSN.

Generalmente possiamo disporre di diversi account email e può capitare di dimenticare la loro password. Questo capita perchè spesso salviamo lo username e la password direttamente su MSN, quindi per lunghi periodi non ci viene più chiesta.

Quando però si reinstalla il sistema operativo o quando abbiamo bisogno di accedere al nostro account MSN da un’altra postazione, può scattare il momento di panico perchè ci siamo dimenticati gli accessi a MSN. Kernel Hotmail MSN Password Recovery recupera istantaneamente tutte le password dimenticate e i nomi utente dei vostri account MSN che sono stati salvati sul vostro computer. Come si vede in figura, il software mostra gli indirizzi email e le password associate di MSN.

Related posts:

1. Recuperare le password memorizzate su Internet Explorer con l’autocompletamento
2. Recuperare la password degli account email
3. Domande e richieste di aiuto per password

Quante volte vi è capitato di non ricordare più una password di accesso a qualche servizio web, come la posta, il proprio conto in banca oppure il proprio negozio online preferito. La beffa è che se si memorizzano le password su Firefox o su Internet Explorer, la password compare lì, davanti a voi, nascosta da una serie di asterischi che non vi permettono di recuperare la password e vederla in chiaro.

Ecco a voi un semplice ma geniale script Javascript che, incollato nella barra degli indirizzi del browser, vi mostrerà in una finestra di dialogo come quella che vedete nell’immagine, le password presenti nella pagina e nascoste da asterischi. Sembra una magia, ma il funzionamento è alquanto semplice almeno per chi, come me, usa spesso il javascript.

Ecco lo script (via Abdul Akbar):

javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Passwords in forms on this page:\n\n" + s); else alert("There are no passwords in forms on this page.");})();

Related posts:

1. Revelation, vedere le password nascoste dagli asterischi
2. Recuperare la password di MSN
3. Recuperare la password degli account email

 Con SnadBoy’s Revelation è possibile scoprire quale password è celata sotto i campi di testo di tipo password, ovvero quelli con gli asterischi al posto dei caratteri.

L’applicazione in questione è molto semplice: dopo averla lanciata è possibile trascinare un obiettivo sopra il campo password desiderato. Magicamente, su Revelation verrà mostrata la password nascosta dagli asterischi e si potrà finalmente continuare il proprio lavoro.

Revelation 2.0 è un’applicazione freeware, gratuita e dalle dimensioni molto piccole, solo 14KB.

Related posts:

1. Recuperare una password svelando gli asterischi
2. Rubare le password ascoltando la rete
3. Entrare in una rete wireless: con Cain e AirPcap per ottenere una password WPA/WPA2

 WebCracker è un’applicazione che cerca di ottenere l’accesso a pagine web protette da autenticazione HTTP. Sicuramente vi sarà capitato tentare di aprire una pagina sul vostro browser, ma di non riuscire a entrarvi perchè protetta da username e password.

In questi casi è possibile appunto utilizzare WebCracker. Per utilizzare Webcracker è necessario possedere almeno una lista di userID. Se si possiede una lista di utenti sul proprio sistema, bisogna estrarre tutti gli identificativi e salvarli come un file di testo. Molti utenti, a cui è permesso di scegliere il proprio ID su un sistema, utilizzano il proprio nome come password; un possibile attacco, quindi, è provare con una lista di nomi.
E’ possibile caricare in Webcracker un elenco di password da testare. Il programma proverà l’intera lista di password per ogni user ID.
La lista di identificativi e di password viene creata in modalità combo dove ogni linea è costituita da un userID e una password separati da un tab o da uno spazio.
Un esempio di file in modalità combo incluso nel pacchetto Webcracker è combo.txt .

L’utilizzo di questo software su siti non propri è illegale. Consiglio l’uso di WebCracker solo per verificare la robustezza della propria applicazione web.

Related posts:

1. 1200 password di apparati e computer
2. Quanto è sicura una password?
3. Tecniche per il recupero della password email con ElzaPop

Recuperare la password MSN è uno degli argomenti piu ricercati in rete. Tra le ricerche più frequenti troviamo "scoprire password MSN", "trovare password msn", "scovare password msn".

Bene, la soluzione è MessenPass è un piccolo programma in grado di trovare la password di accesso al vostro messenger. E’ un piccolo eseguibile che non richiede installazione e recupera l’account di un buon numero di instant messenger:

• MSN Messenger
• Windows Messenger (In Windows XP)
• Windows Live Messenger (In Windows XP And Vista)
• Yahoo Messenger (Versions 5.x and 6.x)
• Google Talk
• ICQ Lite 4.x/5.x/2003
• AOL Instant Messenger v4.6 or below, AIM 6.x, and AIM Pro.
• Trillian
• Miranda
• GAIM/Pidgin

Appena eseguito, MessenPass rileverà in automatico i messenger che state utilizzando e, estratto il file dove vengono memorizzati i dati di accesso, trova username e password.

Il programma funziona solo nel caso abbiate memorizzato i vostri dati d’accesso al momento della prima autenticazione.

Sorprendente!!! L’accesso al messenger sarà semplice e immediato visto che MessenPass mostra lo username e la password in chiaro.

Password comuni

La maggioranza delle password sono semplici e banali, visto che molti utenti non realizzano quanto sia importante prendere le giuste precauzioni quando si sceglie la chiave di accesso ai propri dati riservati.

Esiste una lista delle 10 password più comuni nel mondo anglossassone. L’equivalente lista per la lingua italiana non esiste, ma con un po’ di fantasia è possibile ricavarsela da soli.

Inoltre, conoscendo l’utente, è possibile ricavare la password che usa, provando con il suo nome o cognome, con la sua data di nascita oppure con il nome dei suoi parenti (fratelli, genitori, fidanzata).

Brute Force

La tecnica del "Brute Force" è alquanto rudimentale e pragmatica. Si tratta di provare tutte le combinazioni di caratteri alfanumerici finchè non si azzecca la chiave corretta. La limitazione è dovuta al tempo che può impegare un tale metodo e ha scarso successo su password lunghe.

Esiste un software che si può scaricare gratuitamente. Si chiama Brutus ed è uno dei software più veloci e flessibili in questo genere di operazioni. Gira su Windows 9x, NT e 2000.

Fake Login

Con questo termine si intende una falsa pagina web che richiede la username e password della vittima. Si può implementare facilmente copiando la vera pagina di login di un qualsiasi sito di instant messaging e pubblicandolo su un proprio spazio web. Il difficile di questa tecnica è convincere l’utente ad andare sulla propria pagina e non su quella ufficiale. Questo esempio vi può esservi d’aiuto per analizzare bene questa tecnica.

Social Engineering

Con questo termine, o con l’equivalente italiano, "Ingegneria Sociale", si intende quella tecnica che permette, fingendosi un’altra persona, di farsi consegnare l’accesso dall’utente direttamente. Per esempio, si può fingere di essere un ingegnere di MSN e di richiedere all’utente l’accesso per motivi di sicurezza o per manutenzione dell’account.

Attenzione: queste tecniche sono state illustrate solo a scopo informativo. E’ assolutamente illegare rubare password altrui o entrare nei sistemi informativi con account non propri. L’autore non si assume nessuna responsabilità nei confronti di chi potrebbe usare queste informazioni a scopo illegale.

Related posts:

1. 1200 password di apparati e computer
2. WepCrackGui, come trovare la password di reti Wireless
3. Recuperare una password svelando gli asterischi

La pagina "Default Password List" contiene una raccolta di account e password di "fabbrica", cioè gli accessi iniziali (login e password) di apparati di rete, computer, appliance appena usciti dalla fabbrica.

Alcune volte queste password sono installate successivamente all’acquisto, altre sono impostate da software, altre ancora sono settate da consulenti o centri di assistenza. Questa lista deve essere usata come una risorsa per sistemisti o esperti di sicurezza informatica per provare la sicurezza dei sistemi.

La lista delle password è aggiornata in continuazione. Esiste anche la versione excel, aggiornata a Luglio 2007.

Related posts:

1. Le password più usate…
2. Password MSN: come trovare gli accessi del messenger
3. Tecniche per il recupero della password email con ElzaPop