{"id":51698,"date":"2018-05-23T21:29:31","date_gmt":"2018-05-23T20:29:31","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=51698"},"modified":"2019-07-11T21:22:08","modified_gmt":"2019-07-11T20:22:08","slug":"autenticazione-due-fattori","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/autenticazione-due-fattori\/51698\/","title":{"rendered":"Cos\u00ec l&#8217;hacker numero uno al mondo buca l&#8217;autenticazione a due fattori"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69fcf153a0f87\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69fcf153a0f87\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/autenticazione-due-fattori\/51698\/#Cosi_Mitnick_ha_bucato_lautenticazione_a_due_fattori\" >Cos\u00ec Mitnick ha bucato l&#8217;autenticazione a due fattori<\/a><ul class='ez-toc-list-level-2' ><li class='ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/autenticazione-due-fattori\/51698\/#Il_sistema_non_funziona_su_vasta_scala%E2%80%A6_per_fortuna\" >Il sistema non funziona su vasta scala&#8230; per fortuna<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p>Cosa succede quando l&#8217;<strong>autenticazione a due fattori<\/strong>, il metodo di sicurezza che invia un sms di conferma sul proprio cellulare, si incontra con un gruppo di hacker guidato da<strong> Kevin Mitnick<\/strong>, il pirata informatico numero uno al mondo? Semplicemente, l&#8217;autenticazione a due fattori alza bandiera bianca.<\/p>\n<p>Le aziende e i consumatori vengono costantemente\u00a0invitati ad adottare l&#8217;autenticazione a due fattori per aumentare la sicurezza dei login ai vari servizi di cui hanno bisogno. Ma questo tipo di tecnologia, che a prima vista potrebbe sembrare invulnerabile, non \u00e8 priva di punti deboli.<\/p>\n<p>I pirati informatici stanno infatti trovando dei <strong>metodi efficaci per ingannare il sistema<\/strong>, utilizzando l&#8217;ingegneria sociale, ovvero delle tecniche che ingannando la vittima e la portano a compiere degli errori per poter sferrare attacchi informatici.<\/p>\n<p>Un nuovo meccanismo di aggressione, realizzato da un gruppo di hacker guidato da Kevin Mitnick, <strong>l&#8217;hacker pi\u00f9 famoso di tutti i tempi<\/strong>, ha dimostrato la sua efficacia nel bucare il sistema di autenticazione a due fattori.<\/p>\n<h1><span class=\"ez-toc-section\" id=\"Cosi_Mitnick_ha_bucato_lautenticazione_a_due_fattori\"><\/span>Cos\u00ec Mitnick ha bucato l&#8217;autenticazione a due fattori<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Tutto si basa su uno strumento che venne sviluppato originariamente dall&#8217;hacker <strong>Kuba Gretzky<\/strong>, che pubblic\u00f2 un <strong><a href=\"https:\/\/breakdev.org\/evilginx-advanced-phishing-with-two-factor-authentication-bypass\/\">lungo post<\/a><\/strong> nel suo blog aprendo la strada alla nuova tecnologia. Il meccanismo si basa sul typosquatting, una pratica in cui gli hacker creano degli indirizzi URL che sembrano in tutto e per tutto simili a quelli originali, e che riprendono siti web che le persone conoscono e di cui si fidano, ma che sono in <strong>realt\u00e0 pericolosi. <\/strong><\/p>\n<p>Mitnick ha iniziato la sua dimostrazione aprendo una falsa mail da LinkedIn e visualizzando un indirizzo URL malevolo che differiva solo millimetricamente da uno reale. Coloro che si sono lasciati trarre in inganno dal trucco e hanno cliccato sul link presente all&#8217;interno della mail sono stati redirezionati una pagina di login dove dovevano inserire il loro username, la loro password ed eventualmente un codice di autenticazione che veniva inviato allo smartphone.<\/p>\n<p>Quello che ha cambiato le carte in tavola \u00e8 stata la possibilit\u00e0 da parte del pirata informatico di visualizzare in una finestra separata non solo i dati inseriti a schermo dalla vittima, ma <strong>anche il codice a 6 cifre<\/strong> che gli era stato appena spedito sul cellulare.<\/p>\n<figure id=\"attachment_51702\" aria-describedby=\"caption-attachment-51702\" style=\"width: 890px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51702 size-large\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/05\/kevin-mitnick-1-1024x538.jpg\" alt=\"\" width=\"890\" height=\"468\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/05\/kevin-mitnick-1-1024x538.jpg 1024w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/05\/kevin-mitnick-1-300x158.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/05\/kevin-mitnick-1-768x403.jpg 768w\" sizes=\"auto, (max-width: 890px) 100vw, 890px\" \/><figcaption id=\"caption-attachment-51702\" class=\"wp-caption-text\">Kevin Mitnick. Il pirata informatico numero uno al mondo, ha bucato il sistema di autenticazione a due fattori, considerato finora uno dei pi\u00f9 sicuri in assoluto<\/figcaption><\/figure>\n<p>In realt\u00e0, gli hacker non utilizzano esattamente le 6 cifre, in quanto non \u00e8 possibile riutilizzare un codice due volte e se la vittima lo inserisce prima del pirata informatico, questo scade, lasciando l&#8217;hacker nell&#8217;impossibilit\u00e0 di accedere.<\/p>\n<p>Quello che gli esperti sono stati in grado di fare, \u00e8 stato piuttosto<strong> intercettare i cookie di sessione<\/strong>, (dei piccoli codici per l&#8217;identificazione dell&#8217;utente ndr). Attraverso la registrazione di questi cookies un pirata informatico non ha pi\u00f9 nemmeno bisogno del nome utente e della password o del codice per accedere all&#8217;account.<\/p>\n<p>Si pu\u00f2 semplicemente inserire la chiave di questo cookie nel browser <strong>come se si fosse nei panni dell&#8217;utente<\/strong>. Dopodich\u00e9, avviando il tool di Gretzky e aggiornando la pagina, si riesce ad entrare nell&#8217;account <strong>pur senza aver ricevuto il codice<\/strong> di conferma su un dispositivo fisico.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Il_sistema_non_funziona_su_vasta_scala%E2%80%A6_per_fortuna\"><\/span>Il sistema non funziona su vasta scala&#8230; per fortuna<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>&#8220;Non \u00e8 la prima volta che l&#8217;autenticazione a due fattori viene superata&#8221;, racconta <strong>Stu Sjouwerman<\/strong>, fondatore e CEO della <strong>KnowBe4<\/strong>. &#8220;Ci sono almeno 10 modi differenti di superare un autenticazione a due fattori. &#8211; spiega Sjouwerman &#8211; Sono stati tutti quanti sviluppati in breve tempo e sono conosciuti nel settore, ma non sono stati ancora pubblicizzati alla stragrande maggioranza degli hacker, e per ora sono appannaggio solo di pochi pirati informatici, fra i pi\u00f9 esperti.&#8221;<\/p>\n<p>Perch\u00e8 questi attacchi non sono stati utilizzati su vasta scala? Il punto \u00e8 che per eseguire una procedura di questo tipo bisogna essere degli hacker particolarmente <strong>abili<\/strong>, e bisogna preparare <strong>manualmente<\/strong> il codice per la specifica persona che si sta attaccando. E&#8217; insomma un attacco one-on-one e <strong>non pu\u00f2 essere organizzato su vasta scala<\/strong> per coinvolgere una massa di utenti in poco tempo.<\/p>\n<p>Questa, per ora, l&#8217;unica salvezza: ma se un domani dovesse essere individuato un metodo per automatizzare il sistema, la sicurezza informatica si troverebbe priva di uno degli strumenti pi\u00f9 diffusi ed efficaci&#8230; e sarebbe una catastrofe.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cosa succede quando l&#8217;autenticazione a due fattori, il metodo di sicurezza che invia un sms di conferma sul proprio cellulare, si incontra con un gruppo di hacker guidato da Kevin Mitnick, il pirata informatico numero uno al mondo? Semplicemente, l&#8217;autenticazione a due fattori alza bandiera bianca. Le aziende e i consumatori vengono costantemente\u00a0invitati ad adottare [&hellip;]<\/p>\n","protected":false},"author":16,"featured_media":51700,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387],"tags":[],"class_list":{"0":"post-51698","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/05\/2761-min.jpg","wps_subtitle":"E\u2019 meccanismo che invia un sms sullo smartphone per confermare la tua identit\u00e0. E\u2019 ritenuto il metodo pi\u00f9 sicuro: ma Kevin Mitnick, l\u2019hacker pi\u00f9 famoso del mondo, lo ha superato","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51698","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=51698"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51698\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/51700"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=51698"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=51698"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=51698"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}