T-Mobile minimizza il mega-cracking

Per sette mesi un americano ha avuto accesso ai dati personali di centinaia di abbonati ai servizi internet del provider. Che cerca di gettare poca acqua sul grande fuoco

New York (USA) - L'intervento dei cybercop americani, coadiuvati dall'FBI e dai Servizi segreti, viene descritto come essenziale per l'individuazione e l'arresto di un cracker capace di entrare a proprio piacimento nei sistemi più riservati dell'operatore Internet tedesco T-Mobile che opera anche negli USA.

Il 21enne Nicholas Jacobsen tra marzo e ottobre 2004 ha potuto accedere ad email e file privati degli abbonati. Secondo SecurityFocus, che ha per primo riportato la notizia dell'arresto avvenuto nei giorni scorsi, il cracker in quel periodo avrebbe pubblicato online persino foto personali di utenti T-Mobile recuperate durante le sue incursioni. Ma l'accesso ai dati personali di almeno 400 utenti T-Mobile è stato a tutto campo: ha ottenuto e persino pubblicato online numeri di cellulare di personaggi in vista nonché foto più o meno piccanti catturate con fotofonini e fotopalmari dagli utenti dell'azienda. Nomi e cognomi, password, date di nascita, informazioni fiscali e finanziarie, in tutti quei mesi ben pochi sono i dati ai quali Jacobsen non sarebbe riuscito ad accedere. Secondo SecurityFocus, Jacobsen avrebbe potuto entrare senza problemi negli account di tutti i 16,3 milioni di clienti di T-Mobile.

Tra i dati degli utenti T-Mobile anche quelli di di Peter Cavicchia, all'epoca agente dell'intelligence statunitense ma anche utente del provider. L'accesso a informazioni sull'agente americano ha sollevato evidentemente un caso nel caso. Sebbene i Servizi e lo stesso Cavicchia gettino acqua sul fuoco, quest'ultimo ha spiegato che, quando si trovava all'estero o in missione, all'indirizzo email di T-Mobile veniva contattato dai suoi superiori, "che però sapevano che non si trattava di un'email istituzionale". Tutto questo poi aggravato dal fatto che Cavicchia, oggi nel settore privato e già decorato per le sue azioni dopo l'11 settembre, da tempo era sulle tracce del cracker. T-Mobile, infatti, ha spiegato di aver chiesto l'intervento delle autorità americane già da tempo, quando cioè aveva capito che qualcuno riusciva ad entrare ed uscire a proprio piacimento da sistemi che dovrebbero essere protetti.
T-Mobile in queste ore getta acqua sul fuoco, dichiarando che ha già da tempo intrapreso azioni per assicurare "la massima tutela" ai dati dei propri clienti e spiegando che tutti coloro i cui dati sono stati messi a rischio sono già stati avvertiti singolarmente di quanto avvenuto. Difficile però minimizzare la portata di quanto accaduto, visto che Cavicchia si sarebbe messo sulle tracce del cracker solo ad ottobre e dopoché questi aveva pubblicato su alcune chat IRC documenti riservati dell'intelligence statunitense, forse sottratti all'account di Cavicchia, sebbene ciò non sia stato confermato.

Tutta la vicenda sarebbe emersa nel corso di una recente operazione dei cybercop statunitensi contro una serie di cracker, tra cui Jacobsen. Il 15 febbraio è prevista la prima udienza del processo contro il giovane che secondo le leggi americane rischia grosso. Per ora è libero su cauzione di 25mila dollari versati dallo zio a cui è stato imposto di chiudere a chiave il computer del nipote fino a nuovo ordine.

Su SecurityFocus è disponibile (in inglese) una gustosa e completa ricostruzione delle indagini che hanno portato all'individuazione di Jacobsen in un hotel di Buffalo, nello stato di New York, da dove il cracker faceva partire le proprie incursioni.

Al momento né l'avvocato di Jacobsen né l'intelligence hanno voluto rilasciare dichiarazioni relative al caso.
19 Commenti alla Notizia T-Mobile minimizza il mega-cracking
Ordina

  • Ora e' questo il nostro mondo... il mondo dell'elettrone e dello switch, la bellezza del baud. Noi facciamo uso di un servizio gia esistente che non costerebbe nulla se non fosse controllato da approfittatori ingordi, e voi ci chiamate criminali. Noi esploriamo... e ci chiamate criminali. Noi cerchiamo conoscenza... e ci chiamate criminali. Noi esistiamo senza colore di pelle, nazionalita', credi religiosi e ci chiamate criminali. Voi costruite bombe atomiche, finanziate guerre, uccidete, ingannate e mentite e cercate di farci credere che lo fate per il nostro bene, e poi siamo noi i criminali.

    Si, io sono un criminale. Il mio crimine e' la mia curiosita'. Il mio crimine e' quello che i giurati pensano e sanno non quello che guardano. Il mio crimine e' quello di scovare qualche vostro segreto, qualcosa che non vi fara' mai dimenticare il mio nome. Io sono un hacker e questo e' il mio manifesto. Potete anche fermare me, ma non potete fermarci tutti... dopo tutto, siamo tutti uguali.
    Senza dubbio questo Hacker, Nicholas, è un criminale, ma sottoponetevi ad un'esame di coscenza: Non ci sono criminali molto più pericolosi ed attivi in giro? E se li beccano, la giustizia italiana li rimette in circolo dopo al massimo un anno..perchè Nicholas dovrebbe scontarli tutti e 5??
    non+autenticato
  • ...informazioni, in primo luogo non conserverei l'accoppiata nome utente e password da nessuna parte sul server: una buona hash al posto della password, intendo. E poi critterei i dati accessibili per ogni account con una chiave crittografica anch'essa legata alla hash di, diciamo, un'altra password che solo l'utente conoscerebbe. Se anche uno potesse accedere ai dati registrati sul server, dovrebbe fare diversi tentativi (brute forcing) per arrivare a qualcosa di concreto, e questo per ogni account.

    Ma d'altronde, io non sentirei il bisogno, da amministratore di simili reti di server, di ficcare il naso negli affari altrui, e indirettamente di garantire questa possibilita` a chi trovasse un bug che lo lascia passare, o a qualche altro amministratore della stessa rete.

    Poi, loro facciano quel che gli pare, ma e` una mia impressione o non mi sembra si siano sforzati molto di tutelare la privacy dei propri utenti?
    non+autenticato

  • > ...informazioni, in primo luogo non
    > conserverei l'accoppiata nome utente e
    > password da nessuna parte sul server: una
    > buona hash al posto della password, intendo.
    > E poi critterei i dati accessibili per ogni
    > account con una chiave crittografica
    > anch'essa legata alla hash di, diciamo,
    > un'altra password che solo l'utente
    > conoscerebbe.

    ehm... scusa la mia ignoranza... ma potresti tradurre?

    no, perchè mi interesserebbe informarmi sulla sicurezza, ma ci capisco davvero il giusto

    grazie
    non+autenticato
  • - Scritto da: Anonimo
    >
    > > ...informazioni, in primo luogo non
    > > conserverei l'accoppiata nome utente e
    > > password da nessuna parte sul server:
    > una
    > > buona hash al posto della password,
    > intendo.

    Cioe`: in partenza, al momento in cui un tizio digita nome e utente e password per registrarli in un database, entrambe le cose sono delle stringhe di testo. Se vengono salvate cosi` come sono, rimangono visibili nel file che fa parte del database che le conserva, cosi` come un testo rimane visibile in un file di testo che uno crea col, che so... col blocco note. Anche se le due stringhe venissero codificate in qualche forma binaria, magari con un algoritmo di compressione, questo le renderebbe a prima vista irriconoscibili, ma usando un decompressore adatto le si potrebbe comunque ricostruire.

    L'hashing, invece, e` un processo per cui da una stringa di testo si estrae un numero, in genere molto grande, che identifica quella stringa (quasi) univocamente, anche se mai del tutto, perche` essendo l'hashing un processo che "perde informazioni" durante la traduzione della stringa in un numero, e` in teoria possibile che due stringhe diverse generino la stessa hash, lo stesso numero. Ma e` molto raro e servirebbe molto tempo per "forzare" un sistema del genere, per trovare una combinazione di lettere, cioe` una stringa, che corrisponda alla hash di un'altra stringa sconosciuta (la password), a forza di tentativi.

    Io scrivo, cioe`, metti caso:
    nome utente: Alex
    password: alakazam

    il browser spedisce queste informazioni, originariamente in chiaro, al server, ma poi il server registra solo il nome utente come "Alex". Per la password, tratta la stringa trasformandola che so, nella hash: 1C67B09964DDF971 (questa sarebbe di 64 bit, o 16 cifre decimali). La parola "alakazam" e` insomma una specie di ricetta che, trattata matematicamente con un dato algoritmo, produce come risultato quel grosso numero. Pero`, dal suo prodotto, il numero, non e` possibile ricostruire la stringa originaria, perche` i dati inclusi nel numero non sono sufficienti per farlo, quindi anche chi entrasse in possesso del numero, non potrebbe conoscere la mia password e non potrebbe usarla per accedere, con la mia identita`, al sistema.

    D'altra parte, se il sistema codificasse con un procedimento crittografico i dati che rappresentano la mia posta, non ci sarebbe modo di accedere a quei dati senza usare il mio account applicato all'infrastruttura software che li ha codificati, cioe` senza conoscere la mia password. E conoscerla sarebbe impossibile a meno di procedere per tentativi.

    Non dico che poi sarebbe impossibile aggirare questi accorgimenti, ma di certo sarebbe molto piu` difficile.
    non+autenticato
  • > (quasi) univocamente

    ROTFLA bocca apertaA bocca aperta
    non+autenticato
  • bè... molte grazie!

    è proprio ganzo fare il crittogtafo.. Occhiolino
    non+autenticato
  • ma è più o meno la stessa cosa che fa emule con il file?
    non+autenticato
  • > ma è più o meno la stessa cosa
    > che fa emule con il file?

    si, vieni qui:

    http://punto-informatico.it/p.asp?i=51122

    che così esci confuso come non mai Occhiolino
    non+autenticato
  • qui dicono hacker
    http://www.securityfocus.com/news/10271

    la notizia dice cracker, quindi...
    non+autenticato
  • Quindi sarà un biscotto
    non+autenticato
  • - Scritto da: Anonimo
    > qui dicono hacker
    > www.securityfocus.com/news/10271
    >
    > la notizia dice cracker, quindi...

    E un hacker che si è comportato da cracker. E' entrambe le cose.
    non+autenticato
  • > E un hacker che si è comportato da
    > cracker. E' entrambe le cose.

    No e' un cracker ma in inglese ormai dicono tutti hacker
    non+autenticato
  • Questa gente comunque è criminale ci sta poco da dire...
    clonavano carte di credito su traccia passaporti europei
    social security number e chisa cosaltro.
    secondo me l'account dell'agente FBI serviva come copertura di depistaggio o roba del genere.
    mi rifiuto di credere che murder e skully xfiles utilizzino
    dei banali canali di comunicazione come noi poveri mortali.
    :)
    non+autenticato
  • Mah, tempo fa, bufala o no, salto` fuori che avevano perso una testata nucleare per via di un bug di MS SQL server, col quale candidamente gestivano quegli archivi. Se e` depistaggio gli e` riuscito benissimo, l'impressione infatti e` che quei fantomatici geekyssimi sistemi operativi che fanno in quattro e quattr'otto qualsiasi cosa esistano solo nei films.

    Vedi "S.Y.N.A.P.S.E", per altri versi credibile, quando quel tizio copia su 2 CD il codice sorgente del sistema: 4-5 secondi e via, il CD e` pronto. Ma dove l'ha trovato il fantomatico masterizzatore da 4-5 secondi, uno si chiede?

    Zac, zac, mai un crash nei film eh?A bocca aperta

    Comunque, ribadisco come tante altre volte:
    loro saranno criminali, ma dall'altra parte son coglioni.
    non+autenticato

  • - Scritto da: Alex¸tg
    > Mah, tempo fa, bufala o no, salto` fuori che
    > avevano perso una testata nucleare per via
    > di un bug di MS SQL server, col quale
    > candidamente gestivano quegli
    > archivi. Se e` depistaggio gli e` riuscito
    > benissimo, l'impressione infatti e` che quei
    > fantomatici geekyssimi sistemi operativi che
    > fanno in quattro e quattr'otto qualsiasi
    > cosa esistano solo nei films.

    Si, mi ricordo quella storia. Il software era usato dal DOD americano e gentilmente lo avevano fornito ai Russi. Questi in una fase di verifica cartacea delle loro testate nucleari, riscontrarono delle differenze e subito si diede risalto al fatto che usassero MSSQL. In realtà non era un baco di MSSQL ma semplicemente i russi lavoravano su una versione più vecchia di SQL Server (6.5 contro la 7).

    M.
    non+autenticato
  • peccato che se usi outlook express nessuno ti aiuta ... magari tutti a dire "usare gpg/pgp!!!" però poi se non usi linuxeria varia nessuno ti caga, e pgp/gpg resta per pochi, ovvero chi ha pgp commerciale che si integra con i programmi di posta, oppure chi usa linuxeria ...

    e quindi la maggior parte del mondo non viene cagata da chi dice "tutti dovrebbero usarlo!!"

    e continuiamo così allora, ognuno guarda quello che gli pare, tutti si lamentano , nessuno aiuta.
    non+autenticato
  • > peccato che se usi outlook express nessuno
    > ti aiuta ...

    c'é un pulg-in
    non+autenticato

  • - Scritto da: Anonimo
    > peccato che se usi outlook express nessuno
    > ti aiuta ... magari tutti a dire "usare
    > gpg/pgp!!!" però poi se non usi

    Ciao,
    non ho ancora letto il post cui ti riferisci quindi potrei ripetere (che comunque giovaSorride.

    Su windows, mac os x o linux installi Thunderbird ha un sistema molto simile ad OE anzi migliore, poi scarichi e installi con pochi click GnuPG e poi c'è il plug-in per GnuPG da caricare in Thunderbird.

    Non ho i link ma cerca con google Thunderbird, Gnupg, e cerca la extension sul sito gnupg che è anche in italiano se non ricordo male.
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)