Creare e recuperare password (parte seconda)

Nella prima parte abbiamo visto come creare una password sicura. Ora possiamo passare alla seconda fase, che permette di comprendere come sia possibile carpire o recuperare una password e (nella terza parte) perché è così necessario definire delle password sufficientemente complesse.

Ci riferiremo a un network sniffer e programma di decryption di nome Cain & Abel. Questo software, molto noto agli addetti ai lavori è uno strumento attraverso il quale è possibile sondare la rete alla ricerca di informazioni e dati utili e successivamente effettuare tentativi di decifrazione dei dati stessi.

Prima di iniziare evidenziamo che Cain & Abel può essere chiaramente utilizzato per fini benevoli, di insegnamento o per ritrovare una propria password dimenticata, ma anche (e questo non è legale) per andare alla ricerca di informazioni altrui. Per problemi di spazio, non mi soffermo nel ricordare le motivazioni per le quali questo tool è stato sviluppato e nello scoraggiare l’utilizzo improprio dello stesso.

Si tratta di un software per Windows, sempre aggiornato e sostenuto da una comunità di sviluppo discretamente attiva. Proprio qualche giorno fa è stata rilasciata la versione 4.9.15 disponibile al download presso il sito Oxid.it che la ospita. Il processo di istallazione è analogo a qualsiasi altro strumento per Windows, eccezion fatta per la richiesta di istallazione di un package aggiuntivo (WinPcap v4.0 beta2 packet driver) necessario per la corretta esecuzione del programma.

A questo punto il sistema è pronto all’uso e, una volta individuata la scheda di rete sulla quale verrà effettuato il monitoraggio dei pacchetti, si può partire con il rilevamento e la verifica della password.

Poniamo di voler recuperare una password riguardante l’account email memorizzato sul nostro computer e con il programma in esecuzione inviamo una mail di prova a noi stessi. Si noti che in un contesto differente la frase potrebbe essere maliziosamente cambiata in “sniffiamo la rete alla ricerca di pacchetti che viaggiano sulla rete per poterne individuare le password”.

Inviata la mail torniamo alla schermata di Cain and Abel e noteremo come il pannello di sinistra si sia popolato di pacchetti, tra cui quelli relativi al POP3 e quindi alle mail. Altre tipologie di password possono essere recuperate, per esempio riguardanti l’FTP, l’HTTP, Telnet, ICQ, MySQL, ecc.

Bene, in realtà il gioco è fatto. Se la connessione non è crittografata, e questo succede in molti casi, la password è in realtà già disponibile. Che succede quando invece la password non viaggia in chiaro? Come è possibile visualizzare il contenuto di una sequenza di caratteri che a prima vista sembrano senza senso?

Nella prossima puntata vedremo, sempre con l’aiuto di come eseguire un attacco per decifrare delle password, che per la cronaca può essere effettuata con lo stesso strumento descritto in questo post.