Ieri sera ero in macchina quando sul Blackberry sono iniziate ad arrivare in rapida sequenza decine di mail: incuriosito, ho accostato per verificare e mi sono accorto che si trattava soprattutto di notifiche di mancata consegna a svariati contatti della mia rubrica, tutte relative ad una fantomatica mail dal titolo "Sharing happiness" inviata dal mio account Gmail.
Ho subito pensato che un virus stesse mandando quella mail a tutti i miei contatti: intuizione confermata da un paio di sms di amici che mi avvertivano tempestivamente della cosa, avendo ricevuto anche loro il messaggio incriminato.
Ma un virus dove? Non sul mio computer di casa (su cui uso Ubuntu), né su quello di studio (nel quale, per motivi di software, sono inchiodato a Windows), perché in quel momento erano entrambi spenti, e anche se fossero stati accesi non avrebbero potuto mandare alcunché, visto che uso Gmail solo dal web e non ho mai inserito i dati di quell'account su un client di posta.
Evidentemente, ed era l'unica spiegazione possibile, qualcuno o qualcosa mi aveva sgamato la password e stava usando il mio account per fare i propri comodi.
Non potendo fare altro, perché non avevo un computer davanti, ho telefonato a Luca chiedendogli la cortesia di provvedere lui a cambiarmi la password al volo, ed in effetti appena portata a termine l'operazione il flusso di mail si è subito fermato; a quel punto Luca ha controllato non so quale dettaglio tecnico, confermandomi che era proprio come pensavo: tutte quelle mail erano state mandate attraverso il mio account da qualcuno che mi aveva "rubato" la password.
Oggi sembra tutto a posto: a parte il fatto che ci ho messo un paio d'ore buone a trovare il menu nel quale cambiare la password anche sul Blackberry, e che oggi pomeriggio mi sono improvvisamente ritrovato senza connessione a casa (ma questa è un'altra storia che magari vi racconto più tardi o domani).
Però non vi nascondo che la vicenda mi ha impressionato un po': è davvero così facile fottere la password di Google (badate, ho detto Google, mica Metilparaben) a qualcuno? E' così facile, oltre a mandare in giro centinaia di messaggi con il suo account, poter leggere tutte le sue mail, comprese quelle di lavoro, e impicciarsi nei suoi fatti personali?
E inoltre: gli amici di Google non hanno colpe, oppure questa gente sfrutta qualche bug del loro sistema?
Chi ne capisce mi illumini: sono un tantino preoccupato.
ma per caso avevi password tipo la tua data di nascita, o "qwerty", o "password" o roba simile?
RispondiEliminao la stessa password di un altro tuo account?
o hai salvato la pass in un file sul tuo pc che si trova in una cartella condivisa?
Nell'ordine: no, sì, no.
RispondiEliminaNel caso che digiti la password ogni volta che ti connetti, fossi in te controllerei che win e linux siano protetti da spyware: basta un programmino che catturi i caratteri digitati su tastiera per rubare delle credenziali.
RispondiEliminaNel caso le tue credenziali siano memorizzate nel browser, svuota tutte le cache, cronologia e quant'altro, per esempio è stato dimostrato che molti add-on di firefox contengono bachi che pregiudicano la sicurezza dell'intero browser.
Per quanto riguarda Gmail, puoi stare sicuro al 99% che non è stata colpa loro, il protocollo https è molto sicuro.
Buona indagine ;)
già questo potrebbe essere un problema...
RispondiEliminachiaramente più le cose si fanno complicate più è difficile che ti freghino la password ma più è facile che te la dimentichi anche tu... fatto sta che in teoria dovresti avere pw lunghe almeno 8 caratteri, con maiuscole minuscole segni di interpunzione e numeri, possibilmente prive di senso in qualsiasi lingua e da cambiare di frequente. ovviamente usando ogni pw per un solo account e non facendola vedere a nessuno né segnandola da qualche parte. ah, meglio se i login sono in https (ormai tutti quelli seri lo sono) e ovviamente non scegliere mai "ricorda le password").
pensi di riuscire a viverci? io credo di aver trovato un compromesso vagamente accettabile ma non si sa mai :P
Mi stai dicendo: password senza senso e complicate, diverse per ciascuno dei cento o giù di lì servizi che uno usa, senza farle ricordare dal computer e senza metterle in un file per consultarle? Ci vuole Pico della Mirandola, per gestire a memoria un inferno del genere...
RispondiEliminaComincia ad escludere che il problema sia nato dalla macchina ove gira Ubuntu se, naturalmente, non è in dual boot con windows. Sai meglio di me che niente va in esecuzione in linux che tu non abbia autorizzato.
RispondiEliminaUn banalissimo brute-force, un man in the middle (e questo sarebbe parecchio grave) o una password troppo facile (appunto basata su vocabolario, o interessi facilmente ricavabili da rete)
RispondiEliminaL'unico metodo sicuro è quello di Lucio e armarsi di un bel blocco note da reporter ;)
Consiglio: se usi Firefox puoi anche dirgli di salvare le password, purché tu gli dica di proteggerle con una password (in pratica facendo così le password vengono salvate criptate).
RispondiEliminaInoltre ti consiglio di usare un gestore di password, per esempio Keepass su windows, revelation su linux. Puoi dirgli di generare una password complicata per te (ovviamente sempre diversa) e lui la salva in un database criptato. L'unico problema è che devi essere sicuro di fare frequenti backup del file delle password (se no perdi tutto)
sei terrorizzato dall'idea di dover tenere a mente centinaia di password diverse, tutte di più di 8 caratteri e nessuna di senso compiuto?
RispondiEliminasudo apt-get install keepassx
http://www.keepassx.org/
IN FONDO A GMAIL PUOI VEDERE GLI ULTIMI IP CHE SONO ENTRATI...
RispondiEliminaTi hanno già detto tutto. Comunque recentemente il sistema che gestisce le password di google è stato attaccato dai cinesi che erano incazzati per la storia della censura.
RispondiEliminahttp://keepass.info/
E' stato attaccato ma non violato. I cracker hanno avuto accesso ad alcuni account con altri sistemi più banalotti, come pagine finte d'accesso e link tramite mail..
RispondiEliminaSe non vuoi ricordarti tutte le password, puoi anche provare http://openid.net, sono molti i siti con accesso openid..
ma secondo voi la colpa ricade su google che ha una piattaforma colabrodo oppure si tratta di episodi isolati hackeraggio selvaggio..?
RispondiEliminaSbagliato non solo l'hanno violato ma si sono portati via il codice sorgente del login.
RispondiEliminahttp://www.megalab.it/5983/i-cracker-hanno-rubato-il-log-in-di-google
come suggerisce Mattia uso estremo di keepass c'è anche per il blackbarry.
io non trascurerei il fatto che per leggerle sul BlackBerry devi consegnare loro le chiavi di accesso. Sono convinto che il sistema di Google sia sicuro.
RispondiEliminaChi può dire la stessa cosa di BlackBerry?
Propenderei per la seconda ipotesi, episodi più o meno isolati.
RispondiElimina@Tambu Vino
RispondiEliminaSe leggi attentamente il link, scoprirai che non è stato violato il servizio login, ma usato un sistema tradizionale quale il falso link e la pagina web che sfrutta un bug del browser. Non ha nulla a che vedere con il furto della pass di metil.
E soprattutto avere in mano il codice non comporta il potervi accedere: molti sistemi crittografici hanno codice libero, ma sono perfettamente sicuri...
Ciò che hai descritto è successo con gli account hotmail.
RispondiEliminaA molti proprietari di account hotmail è stata rubata la password perché l'hanno digitata su un sito truffaldino simile a hotmail. Credendo di fare log in su hotmail hanno rivelato la loro password e dal loro account sono partite delle e-mail di spam.
Come già altri ti hanno consigliato, usa KeePassX che trovi nei repo di Ubuntu: in questo modo devi ricordare una sola password. Potrai così usare password complesse e tutte diverse per tutti i tuoi servizi.
RispondiEliminaSul mio BlackBerry, poi, uso la stessa applicazione: la trovi qui http://www.keepass.info/download.html
Prendi la versione "compat. with KeePass 1.x" in modo da poter scambiare il file cifrato con le password tra Ubuntu e BB.
Per me KeePassX è diventato indispensabile.
Il discorso Ubuntu/Windows non ha senso: se vieni attaccato con un attacco di tipo Man In The Middle, l'OS conta poco o nulla, idem dicasi per un plugin exploitabile di Firefox ed in generale, del browser,per cui non dare per scontato che il PC con Ubuntu sia sicuro e quello con Windows no. Detto questo, sei perfettamente certo di non essere caduto in qualche pagina di phishing negli ultimi giorni?
RispondiEliminaMa soprattutto, hai verificato che le mail siano nelle inviate di googlemail? Una miriade di virus inviano mail con l'header SMTP modificato per far sembrare che arrivino da altri indirizzi memorizzati nella rubrica del software di posta ed in questo caso le notifiche di reject arrvano al tuo indirizzo anche se non le hai inviate tu.
Da qualche parte ho letto che ci sono stati dei problemi con Xmark, il plugin per sincronizzare i preferiti in particolare se si sincronizzano le password, pare che qualcuno ne sia rimasto scottato.
RispondiElimina(avevo letto su un forum qualche tempo fa, però non riuscirei a ripescarlo..sorry)
Saluti
Luca M
Se sei un maniaco dei plugin di firefox, presumo che possa essere un plugin truffaldino.Ne hanno scoperti due qualche tempo fa.
RispondiEliminaComunque il consiglio migliore è controllare gli accessi di gmail.
Per farlo accedi a gmail,in alto a destra impostazioni e poi scorri tutta la pagina fino in fondo e clicca dettagli.Comunque Gmail ti dovrebbe informare se l'indirizzo ip dal quale si accede è all'estero.
Da utente Ubuntu confermo gli strumenti consigliati da altri.
L'ho ricevuta anche io l'e-mail "Sharing happiness", ma è finita nella cartella spam.
RispondiElimina(Ogni tanto controllo la cartella spam, perché qualche volta l'antispam di google sbaglia. Stavolta non ha sbagliato).
Ho ricevuto messaggi del genere altre due o tre volte, ma da persone con account hotmail. Stavo anche io per diventare inviatore di spam, perché distrattamente ho digitato i miei dati d'accesso in un sito simile alla home page di hotmail. Essendomi accorto della cazzata che avevo fatto, ho cambiato la password.
Anche a me è successa la stessa cosa, colpa di tutto la "domanda di riserva" di un altro account che non usavo più (ma di cui stupidamente mi ero tenuta la password, pigrizia mia)
RispondiEliminaIn pratica avevo settato la domanda anni fa quando ho registrato il primo indirizzo di posta, era una domanda stupidissima, di quelle suggerite dal provider: "quale è il nome del tuo animale domestico?" e io all'epoca avevo messo il nome di uno dei miei gatti, visto che nessuno avrebbe potuto saperlo al di fuori della mia cerchia di amici, io ero alle primissime armi con la rete e non mi sono resa conto di quale grave vulnerabilità fosse...
Poi me ne sono completamente dimenticata, ho fatto un account su gmail e sono arrivati i social network e chiunque poteva sapere il nome dei miei gatti, recuperare la password dall'account tin.it ed entrare in quello nuovo.
Quindi consiglio spassionato: evitare le domande di riserva e cambiare password per ogni account, altrimenti bucato uno, bucati tutti.
E la PEC di Brunetta? Non ci son forse tre domande di riserva una più insulsa dell'altra? Se poi ci fregano la PEC non è peggio ancora forse? Metil, le password si possono mettere anche in altro formato se vengon accettate, ad esempio se devo scrivere "metilparaben" come password potrei scrivere: m€tilp@r@b€n (eccetera, lavorate in questi termini almeno...); dopotutto hai un blog e ci sono parecchie informazioni su di te in rete (prendi l'esempio di sarah palin qualche tempo fa... gli hanno fregato così l'account di posta)
RispondiElimina