Premessa:
---------
Con quest'articolo non voglio invitare nessuno a forzare i server di posta, in quanto è un operazione che va contro la legislazione italiana e quindi reato. Le presenti informazioni sono da leggere per il puro piacere dell'informazione e per capire che dobbiamo riflettere prima di scegliere la password della nostra casella di posta, se vogliamo proteggerla ;)


I metodi:
---------
Esistono diversi metodi per trovare facilmente la password di un account di posta. Fra i più comuni esistono:
- il Brute Force
- la Word List
- l'e-mail psicologica
- il "Ho perso la password?" Mode
Analizzerò ogni metodo, commentando di volta in volta la loro efficacia e soprattutto spiegherò come difendersi.


Brute Force:
------------
Il Brute Force (forza bruta) è un metodo comune utilizzato non solo per la posta elettronica. Tramite un programma specializzato (per citarne uno, BrutusA2) vengono provate sul server tutte le combinazioni di password esistenti.
Tuttavia è anche il metodo più svantaggioso e più facilmente identificabile, dal momento che se la password da trovare è lunga 17 caratteri, con numeri, maiuscole e minuscole il tempo di ricerca può diventare molto lungo, oltre che a comparire in bella vista sul log del server (che registrerà qualche milione di accessi falliti, permettendo la facile individuazione dell'attaccante).
E' opportuno scegliere questo metodo solamente quando siamo sicuri che il nostro bersaglio non avrà scelto una password molto lunga (7 caratteri è già abbastanza lunga).
Per proteggersi, è necessario scegliere una password lunga e possibilmente composta da lettere maiuscole, minuscole e con numeri (se poi ci aggiungete anche caratteri speciali "!$%&=?" siete a posto).


Word List:
----------
Simile al metodo Brute Force, con la differenza che non vengono provate tutte le password esistenti, ma una raccolta di parole. Il 70% degli utenti internet sceglie la password in base a una parola che gli è facile da ricordare, quindi può essere il soprannome, il nome della ragazza, la squadra del cuore, il numero di telefono, la data di nascita...
Per costruire una buona raccolta di parole, è necessario conoscere il bersaglio, i suoi hobbies, la sua squadra del cuore, la sua data di nascita, e costruirsi uno schemino del genere:

Nome: Antonio
Cognome: Rossi
Anno di nascita: 1982
Squadra del cuore: Milan
Hobbies: Calcio
Nome ragazza: Federica
ecc.

Più informazioni si possiedono sul suo conto e più probabilità di trovare la password ci saranno. A questo punto provare a fare delle combinazioni tipo:
- anto82
- milan
- calciatore82
- fedetvb
- rossi82
- milan4ever
- antonio1982
ecc.

Una volta raccolto il maggior numero possibile di combinazioni, avviare un qualsiasi programma che permetta l'attacco Word List (BrutusA2 lo permette) e cominciare i tentativi. Se il nostro bersaglio non è proprio un asso nell'uso dei computer e di internet, la password sarà in nostro possesso.
E' un metodo da usare quando si possiede abbastanza informazioni sul bersaglio, se non si conosce molto sul suo conto è un metodo praticamente inutile.
Per proteggersi è opportuno scegliere una password che non abbia niente a che fare con la nostra vita o con i nostri pensieri (meglio ancora, che sia una password priva di significato, tasti premuti a caso sono il massimo).


E-mail psicologica:
-------------------
E' un metodo da usare esclusivamente quando si possiede la certezza che il bersaglio sia un neofita di internet.
Il primo passo è registrare una casella di posta sul stesso server del bersaglio. Mettiamo caso che il bersaglio abbia una e-mail del tipo "mario.rossi@libero.it". Recarsi sul sito di libero.it e registrare una nuova casella con il nickname che sembri l'assistenza tecnica del server ("assistenza.clienti@libero.it", "assistenza.utenti@libero.it" e simili).
A questo punto, costruire un nuovo messaggio di posta simile a quello qui sotto riportato:

Gentile utente,
A causa di alcuni aggiornamenti nel database del server, abbiamo la necessità di ricevere i suoi dati personali, che ha provveduto ad inserire al momento della registrazione su libero.it.
Risponda a questo messaggio inserendo nel subject "Invio aggiornamenti server" e nella prima riga del messaggio la password relativa al suo account.
Se quest'operazione non dovesse aver esito, il suo account verrà irreparabilmente perso, per questo motivo, la sollecitiamo ad effettuare l'operazione entro i prossimi 3 giorni.

Cordiali saluti.

Lo staff di libero.it


Quanti utenti possono credere a questo trucco? Molti, fidatevi.
Per proteggersi basta semplicemente ignorare l'e-mail oppure denunciarla all'amministratore del server.

"Ho perso la password?" Mode:
-----------------------------
E' usanza comune nei server mettere la "domanda segreta", nei casi in cui la password venga dimenticata.
Quale operazione più semplice di rispondere a una domanda? Operazione semplicissima, che tuttavia richiede di conoscere la risposta alla domanda e quindi di avere una certa conoscenza del bersaglio (nel caso non lo si conosca, si può provare ad instaurare un dialogo via e-mail e pian piano arrivare a porgergli la domanda, quindi sarà lui stesso a fornire la risposta).
Entrare nel server, trovare la sezione "Ho perso la password?" e rispondere alla domanda segreta. Se la risposta sarà corretta, avrete accesso all'e-mail.
Per proteggersi è necessario, al momento della registrazione dell'e-mail, scegliere una domanda segreta di cui solamente voi siete a conoscenza della risposta (meglio ancora se è un rompicampo con dei significati nascosti).


Conclusioni:
------------
Questi metodi non sono particolarmente efficaci, se l'utente bersaglio è un tipo abbastanza abile nell'uso di internet. Per gli utenti esperti, bisogna usare tecniche che richiedono una buona conoscenza della programmazione e quindi conoscenze che permettono la costruzione di programmi dedicati come trojans e sniffers.
Spero con questo breve articolo, di aver fatto capire l'importanza nella scelta delle password e di aver mostrato come esistano molteplici possibilità per trovare la password di un account e-mail.

Per qualsiasi commento scrivete sul forum di http://www.pierotofy.it

Autore: Piero Tofy
Mail: admin@pierotofy.it
Web: http://www.pierotofy.it