Webmail a prova di hacker
Può succedere che a nostra insaputa qualcuno possa spiarci quotidianamente la casella di posta elettronica? La risposta è sì. Sembra quasi impossibile, ma a volte bastano pochi minuti per intrufolarsi nell'e-mail di un utente. Un malintenzionato può farlo grazie ad una tecnica chiamata "attacco a dizionario", un metodo che permette di violare l'autenticazione ad un servizio (di posta elettronica, in questo caso) provando ad accedere ad un determinato account usando come password tutte le parole chiave contenute all'interno di uno o più dizionari. Nonostante questo tipo di attacco possa risultare particolarmente lento, spesso riesce nello scopo perché molti utenti prestano poca attenzione nello scegliere chiavi di accesso sufficientemente complesse. Fortunatamente da qualche anno a proteggere gli account degli utenti più sbadati che utilizzano password facili da indovinare ci pensano i sistemi di sicurezza informatici che bloccano dopo una dozzina di tentativi errati la possibilità di continuare ad inserire chiavi di accesso diverse in sequenza. Ciò non toglie però che i sistemi di autenticazione dei servizi di posta elettronica siano comunque aggirabili intervallando pause di alcuni minuti tra una parola chiave e l'altra. Lo stesso tipo di tecnica può essere inoltre utilizzata per violare qualsiasi altro serviziocome Facebook, Twitter e sistemi bancari di home banking.
L'importanza della password
Per qualsiasi tipo di account, non solo di posta elettronica, è bene scegliere una password complessa al fine di evitare che essa possa essere violata tramite attacchi a dizionario o decriptata a causa di una falla di sicurezza nel sistema. Ricordiamoci quindi di utilizzare password lunghe almeno 8 caratteri alfanumeriche e contenenti segni di punteggiatura. Evitiamo inoltre di usare la stessa parola chiave su più servizi. Questo renderà molto difficile per qualsiasi software violare la cifratura di una chiave di accesso. Se il nostro problema principale è quello di ricordare tutte queste password, possiamo scegliere una serie di parole a noi comuni e modificare le lettere con caratteri speciali (la parola “CIAO” potrebbe trasformarmi in “C1@O”). D'altronde, un PC con potenza di calcolo media impiegherebbe 64 milioni di anni per violare una password composta da 12 caratteri, di cui soltanto uno speciale. Su Internet sono inoltre disponibili software come Free Password Manager che permettono di memorizzare all'interno di file cifrati tutte le password scelte per i servizi a cui siamo iscritti. L'importante in questo caso è non dimenticarsi l'unica password che permetterà di avere accesso a tutte le altre!
Dopo aver scompattato l'archivio cracker.zip (scaricabile da qui), avviamo il file eseguibile. Digitiamo nella prima scheda l'indirizzo SMTP dell'account su cui testare il software, l'indirizzo e-mail e la lista di password da testare.
Se non siamo a conoscenza dell'indirizzo SMTP del nostro provider di posta elettronica e relativa porta, spostiamoci nella scheda SMTP. Al suo interno possiamo visualizzare un elenco degli indirizzi di server SMTP più utilizzati.
A questo punto per testare la sicurezza della nostra casella di posta elettronica premiamo il pulsante Run. Durante l'esecuzione del programma potremo controllare il progresso del test delle password. Una volta trovata la chiave di accesso, il software terminerà in automatico.
Dizionari a portata di clic
Email Cracker utilizza una tecnica di "attacco a dizionario". Rispetto alla tecnica di brute force in cui tutte le possibili password sono ricercate in maniera esaustiva, nell'attacco a dizionario vengono provate solo quelle ritenute più probabili contenute in una lista (dizionario). In Rete si trovano dizionari pronti all'uso. Ricordiamo che il suo utilizzo è illegale se lo scopo è quello di bucare le mailbox altrui.