Alfonso Maruccia

USA, risolto il mistero cifrato

Lo stendardo del nuovo Cyber-Comando istituito dalla Casa Bianca nasconde in bella vista uno strano codice alfanumerico. Un enigma non particolarmente complesso e soprattutto niente affatto segreto

Roma - L'istituzione, da parte della Casa Bianca, del discusso Cyber-Comando a difesa della salvaguardia dei network telematici statunitensi, ha portato con sé una specie di "gioco di società" a base di finti segreti, codici misteriosi e t-shirt in omaggio. L'enigma alla fine è stato risolto ma, t-shirt e viaggi premio a parte, non si è rivelato essere eccitante come poteva sembrare all'inizio.

Il simbolo identificativo del Cyber-Comando contiene al suo interno la combinazione alfanumerica "9ec4c12949a4f31474f299058ce2b22a", fatto subito notato da Wired che ha ben pensato di organizzare una sorta di contest per chi avrebbe "crackato" per primo il codice - a quel punto - segreto. In palio c'erano nientemeno che qualche T-shirt a tema e un biglietto per visitare l'International Spy Museum sito in Washington D.C.

Non c'è voluto naturalmente molto tempo perché il codice venisse prima identificato come un hash crittografico MD5 di una stringa testuale e poi decifrato in tutta la sua... gloria noia. Il testo nascosto nel cyber-vessillo recita testualmente: "USCYBERCOM pianifica, coordina, integra, sincronizza e conduce attività per: dirigere le operazioni e la difesa di specifici network informativi del Dipartimento della Difesa e; si prepara, e quando richiesto, a condurre operazioni militari a pieno spettro nel cyberspazio con l'obiettivo di permettere l'azione su tutti i domini, assicurarsi la libertà d'azione per gli USA e gli alleati nel cyberspazio e impedire ai nostri avversari di fare lo stesso".
Banalità del "messaggio segreto" a parte, il piccolo puzzle premeditato dal Cyber-Com ha raggiunto il suo scopo principale vale a dire fare pubblicità alla nuova organizzazione governativa. Con risposte magari non particolarmente significative o allineate alle questioni seriose di cui si occupa il Cyber-Com ma quantomeno utili - polemiche sullo spreco di soldi pubblici a parte - a spargere la notizia dell'esistenza dell'organizzazione.

Alla caccia al codice ha partecipato almeno un militare statunitense, anche se nel caso specifico il sottufficiale Elliott Fabrizio non si è dimostrato particolarmente entusiasta di ricevere la maglietta messa in palio da Wired.

Alfonso Maruccia
Notizie collegate
  • AttualitàUSA, cybercomando con cyberproblemiIn un'audizione presso il Senato statunitense, l'attuale responsabile della coordinazione in caso di cyberattacco militare fornisce numeri allarmanti ed esemplifica scenari. La privacy dei netizen sarÓ comunque salva, dice
27 Commenti alla Notizia USA, risolto il mistero cifrato
Ordina
  • contenuto non disponibile
  • .. che ha fatto il militare citato in fondo all'articolo... avete letto tutto il suo post?

    farebbe meglio a prendersi la maglietta di Wired e ringraziare pure.
    non+autenticato
  • ...se leggete l'articolo su theregister vedrete che l'hash e' calcolato su una stringa di testo nota, ovvero la "mission" del nuovo dipartimento.
    La notizia non e' una "bufala", e' solo riportata in maniera imprecisa.

    Bye!
    Max
    non+autenticato
  • Mi domando come sia possibile decifrare un hash md5.
    Se fosse vero sarebbe possibile decifrare con semplicità ogni password e firma digitale del pianeta.
    non+autenticato
  • Effettivamente non è possibile fare il decrypt di un hash MD5, e i commenti all'articolo originale (linkato nell'articolo) lo dicono chiaramente.
    non+autenticato
  • - Scritto da: Diego
    > Mi domando come sia possibile decifrare un hash
    > md5.
    > Se fosse vero sarebbe possibile decifrare con
    > semplicità ogni password e firma digitale del
    > pianeta.
    1) md5 è vulnerabile e anziano
    2) il testo (plain text) era scritto nel documento stesso (bastava provarci).
    non+autenticato
  • > 1) md5 è vulnerabile e anziano

    Non sono d'accordo
    non+autenticato
  • - Scritto da: Hash
    > > 1) md5 è vulnerabile e anziano
    >
    > Non sono d'accordo
    è pluricraccato (nel senso che è troppo facile generare collisioni) e quindi non sicuro se si deve ricavare una impronta per la firma digitale.
    Che tu sia d'accordo poco importa è un fatto.
    non+autenticato
  • - Scritto da: ullala
    > 1) md5 è vulnerabile e anziano

    ok, ma non puoi comunque risalire al testo di partenza se non testandolo contro un dizionario noto.
    L'unica "vulnerabilità" o "anzianità" può riferirsi alla velocità con cui si calcola l'md5 sugli attuali computer, e quindi alla velocità con cui puoi testare suddetto dizionario... ed è efficace solo se il testo di cui è stato calcolato l'hash è relativamente corto/semplice, altrimenti...

    > 2) il testo (plain text) era scritto nel
    > documento stesso (bastava
    > provarci).

    infatti, senza andare a cercare l'articolo originale anch'io ho subito pensato che si dovesse trattare di un testo già noto.
    Che poi il codice fosse un md5 è la prima cosa a cui pensi solo guardandoloOcchiolino
  • - Scritto da: ephestione
    > - Scritto da: ullala
    > > 1) md5 è vulnerabile e anziano
    >
    > ok, ma non puoi comunque risalire al testo di
    > partenza se non testandolo contro un dizionario
    > noto.
    > L'unica "vulnerabilità" o "anzianità" può
    > riferirsi alla velocità con cui si calcola l'md5
    > sugli attuali computer, e quindi alla velocità
    > con cui puoi testare suddetto dizionario... ed è
    > efficace solo se il testo di cui è stato
    > calcolato l'hash è relativamente corto/semplice,
    > altrimenti...

    No l'anzianità è data dal fatto che non è poi così difficile trovare più sequenze che risultino nello stesso hash!
    (aka collisioni)
    Proprietà fondamentale per un hash one-way (che non è un algoritmo di crittografia bensì una cosa molto diversa).
    non+autenticato
  • - Scritto da: ullala
    > No l'anzianità è data dal fatto che non è poi
    > così difficile trovare più sequenze che risultino
    > nello stesso
    > hash!
    > (aka collisioni)

    d'accordo, adesso ho capito cosa intendi, per gestire un login è un difetto d'accordoOcchiolino Il salting dovrebbe in parte ridurlo o no?

    > Proprietà fondamentale per un hash one-way (che
    > non è un algoritmo di crittografia bensì una cosa
    > molto
    > diversa).

    e fin qui era intesoSorride
    L'articolo piuttosto era "frasato" poco bene visto che sembrava significasse proprio quello
  • ...sbaglio o c'è qualcosa che non va con gli smileys?
  • - Scritto da: ephestione
    > ...sbaglio o c'è qualcosa che non va con gli
    > smileys?
    si pare funzionare solo il
    Rotola dal ridere
    non+autenticato
  • Mi domando come sia possibile decifrare un hash md5.
    Se fosse vero sarebbe possibile decifrare con semplicità ogni password e firma digitale del pianeta.
    non+autenticato
  • brute force, rainbow tables, md5 è vecchio e con un po' di tempo e abbastanza potenza di calcolo è possibile forzarlo
    non+autenticato
  • - Scritto da: I did it for the lulz
    > brute force, rainbow tables, md5 è vecchio e con
    > un po' di tempo e abbastanza potenza di calcolo è
    > possibile
    > forzarlo
    stronzate. Tutto dipende dalla stringa hashata: se è pippo123 allora ok ma se è un'alfanumerica+segni+speciali ecc. hai voglia a lavorarci su
    non+autenticato
  • Inoltre le funzioni hash crittografiche come md5 non sono matematicamente invertibili... quindi ci possono essere più stringhe con la stessa firma. Se, come nel testo dato, la stringa è molto più lunga della sua hash, allora è pressoché certo che non sia l'unica a dare quell'hash... anche se magari le altre non hanno significato in nessuna lingua umana Sorride
    Comunque mi puzza di bruciato...
    non+autenticato
  • - Scritto da: I did it for the lulz
    > brute force, rainbow tables, md5 è vecchio e con
    > un po' di tempo e abbastanza potenza di calcolo è
    > possibile
    > forzarlo

    si ma hai visto la frase segreta? non e' una password di 8-10 lettere, sono 450 caratteri! Puoi avere la potenza di calcolo che vuoi ma tutte le possibili combinazioni di una stringa composta da 450 caratteri non le calcoli in un tempo umano... gia' con una 20-30 caratteri e' praticamente impossibile, 450 non stanno ne in cielo ne in terra...
    non+autenticato
  • ok mistero risolto, nessun bruteforce, si tratta di una frase presa pari pari dal pdf di presentazione dell'USCYBERCOM

    http://www.defense.gov/home/features/2010/0410_cyb...

    "Mission Statement: USCYBERCOM plans, coordinates, integrates, synchronizes, and conducts activities
    to: direct the operations and defense of specified Department of Defense information networks and; prepare
    to, and when directed, conduct full-spectrum military cyberspace operations in order to enable actions in all
    domains, ensure US/Allied freedom of action in cyberspace and deny the same to our adversaries"
    non+autenticato
  • - Scritto da: giuffre
    > ok mistero risolto, nessun bruteforce, si tratta
    > di una frase presa pari pari dal pdf di
    > presentazione
    > dell'USCYBERCOM
    >
    > http://www.defense.gov/home/features/2010/0410_cyb
    >
    > "Mission Statement: USCYBERCOM plans,
    > coordinates, integrates, synchronizes, and
    > conducts
    > activities
    > to: direct the operations and defense of
    > specified Department of Defense information
    > networks and;
    > prepare
    > to, and when directed, conduct full-spectrum
    > military cyberspace operations in order to enable
    > actions in
    > all
    > domains, ensure US/Allied freedom of action in
    > cyberspace and deny the same to our
    > adversaries"

    infatti molto probabilmente colui che ha decifrato l'arcano ha con furbizia trovato la risposta a deduzione.

    gli è bastato codificare la presunta frase e l'hash è risultato uguale.

    probabilmente è stato banale il testo da codificare, ma al tempo per trovare la soluzione era necessario una specie di "salto mentale" tipico dei pensieri laterali! chissà
  • - Scritto da: Diego
    > Mi domando come sia possibile decifrare un hash
    > md5.
    > Se fosse vero sarebbe possibile decifrare con
    > semplicità ogni password e firma digitale del
    > pianeta.
    Md5 è vulnerabile e anzianotto come metodo di hash solo i pirla lo userebbero con disinvoltura e per di più in una firma digitale....
    non+autenticato
  • - Scritto da: Diego
    > Mi domando come sia possibile decifrare un hash
    > md5.
    > Se fosse vero sarebbe possibile decifrare con
    > semplicità ogni password e firma digitale del
    > pianeta.

    Per la precisione si tratterebbe di individuazione di una preimmagine (input tale che l'output sia quello dato) dell'hash, non esiste "decifratura" per le funzioni di hash crittografiche perchè il processo di hashing perde informazione.
    In ogni caso MD5 è un colabrodo da un pò ormai, ed il suo uso è fortemente sconsigliato; in particolare per le firme digitali...


    Incollo anche qui il link, se qualcuno vuole leggersi i rischi che si corrono usando MD5
    http://www.win.tue.nl/hashclash/rogue-ca/