da Giuda – 13 maggio 2002: parte il nuovo servizio di posta elettronica di mtv.it, annunciato con la solita pompa magna. L’indecenza che sul sito non viene accennata è che fino ad ora la posta di mtv.it, per l’inaudita stravaganza di qualche amministratore di sistema, è stata quasi una mail “pubblica”. E che il nuovo servizio di posta elettronica di mtv non migliora affato questa situazione.
Come avere un hard disk online e conservarvi la propria privacy del tutto indifesa : lettere di lavoro, spamming selvaggio, facezie, qualunque cosa a dispozione di impiccioni o di corrispondenti con una conoscenza davvero irrisoria di Internet ma con un po’ di materia grigia.
Con il 13 maggio, con il lancio del nuovo servizio, niente è cambiato.
E’ risaputo (con perspicacia persino ovvia) che all’atto di iscrizione ad un servizio di mail è prevista l’eventualità che l’utente dimentichi la password. I password reminder servono a questo, ad aiutare chi abbia perso o dimenticato la propria password a ritornarne in possesso, di solito mediante una domanda la cui risposta dovrebbe essere nota soltanto all’utente che si è registrato con un dato account e certi dati.
Il caso è semplice quanto tragicomico: fino a pochi giorni fa all’indirizzo http://www.mtv.it/community/comm2002_index.asp, cliccando sul password reminder ed inserendo lo username di un qualunque account mtv.it esistente, ci si trovava di fronte ad una balorda finestra javascript in cui si poteva scegliere tra quattro opzioni che corrispondono alle stesse tra cui si è selezionata la domanda cosiddetta segreta, breviter quella che, dopo aver fornito la risposta esatta, restituisce la password corretta.
Il punto critico è che la prima di queste domande era (ed è anche adesso ndr):
“Qual è il tuo segno zodiacale?”
Come è noto, i segni zodiacali sono soltanto 12 ed il servizio di password reminder lascia pure comodamente sbagliare la risposta fintanto che non si azzecchi il segno zodiacale giusto (chiaro che con un po’ di attenzione il massimo dei tentativi necessari sia appunto 12).
A margine riportiamo anche le altre tre domande sagaci (o salaci?) del password reminder:
– Come si chiama il tuo ragazzo/a?
– In quale città sei nato?
– Qual è il nome di tua madre?
Come si può intuire, basta scambiare qualche mail con un utente di mtv.it ed avere qualche informazione neppure riservata per potere accedere al suo account. Quando il genio agisce con disciplina.
Cosí si rivoluziona il concetto di attacco combinatorio, altrimenti detto “brute force”, ben noto a tutti gli hacker (bravi o maldestri, prodi o infami, bimbi in cerca di emozioni adulte o adulti rimbambiti che siano): poiché i computer adatti a violare i codici “seri” con questo tipo di attacco sono spesso troppo costosi per la tasca del nullafacente medio (devono infatti possedere una velocità di elaborazione non indifferente per completare il lavoro in un tempo dignitoso), orsù, abbassiamo la difficoltá di hacking, cosí da assecondare anche i possessori di calcolatrici solari, magari collegati ad internet tramite una delle prime telescriventi Olivetti!
Benvenuti nel Free-Hacking, una variante trasfigurata dell’open source dove gli stenti del lamer non esistono più! Che sia una strategia per portare al tracollo Astalavista?
Magari qualche arguto esperto di sistemi proporrà di passare allo zodiaco celtico? celtico? Ebbene sí, pare che nell’astrologia celtica si associno addirittura 21 alberi ai giorni dell’anno, invece dei soliti, meschini, 12 segni zodiacali. Chissà, è plausibile che questo accorgimento possa aumentare la sicurezza del nostro fedele account di posta su mtv.it: ma immaginatevi al posto dello sciagurato utente quando, giá imbufalito per aver smarrito la password della mailbox e per avere una casella di posta pubblica anziché privata, veda spuntare a video una finestrella Javascript che, ammiccante, domandi:
“E tu, di che albero sei?”
Immagino che il salice piangente sarebbe gettonatissimo.
Ti potrebbe interessare
20 mag 2002