Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCP. Amo spaccare e ricostruire il codice in maniera più robusta, cintura nera di taekwon-do, marito e papà. Ranger Caotico buono, scrivo su @codiceinsicuro e @the_armoredcode.

Forum di bittorrent compromesso: credenziali in pericolo

Forum di bittorrent compromesso: credenziali in pericolo
416 parole - Lo leggerai in 2 minuti

Il ricercatore Troy Hunt ha rilanciato nel pomeriggio di oggi, la notizia che il forum di BitTorrent è stato compromesso e numerose credenziali di utenti sono state trafugate e sono da considerarsi compromesse.

In questo advisory, viene data anche una raccomandazione importante. Gli utenti che usano le stesse password su più servizi, tra cui BitTorrent, sono incoraggiati seriamente a cambiarle.

La vulnerabilità, come scrive il team di uTorrent (parte di BitTorrent Inc), sembra debba essere ricercata in uno dei tanti client di BitTorrent, se ho interpretato bene visto che l’advisory non brilla per cristallinità.

Motherboard, nel suo articolo parla di 34.000 record di utenti contenenti username, indirizzo email, indirizzo IP (presumibilmente dell’ultima login) e la password offuscata con SHA1.

L’articolo sottolinea come sia stato usato un salt per perturbare la password, rendendo così vana la ricerca del valore in chiaro con le rainbow tables. Non sapendo Motherboard come faccia ad avere questa informazione, prendiamola per ora con le pinze.

Sembre Motherboard, indica come il software IP.Board sia da mettere sul banco degli imputati. Sembrerebbe che IP.Board, sul quale si basa il forum di BitTorrent, abbia già sofferto in passato di numerose vulnerabilità.

Sarebbe interessante sapere, se la versione utilizzata sul forum compromesso, fosse vulnerabile o siamo di fronte a qualcosa di nuovo.

Cosa devo fare

  • Vai su Have I Been Pwned e controlla se la tua login è presente;
  • Se usavi la stessa password che usavi su BitTorrent anche per altri siti, cambiala. Considerala compromessa;
  • Cambia la password anche su BitTorrent, ovviamente.

2 regole d’oro per vivere sereni

  • Cambia spesso le tue password. Lo so, è un reale sbattimento, sopratutto perché i servizi online sono in costante aumento e spesso lasciamo credenziali in ogni dove;
  • Usa password diverse, semplici da memorizzare e regola la complessità in funzione della criticità del sito;

4 regole d’oro per scrivere software sereno

  • Applica sempre le patch di security alle librerie e al software di terze parti che usi per sviluppare;
  • Usa accorgimenti per scrivere software robusto e sicuro;
  • Fai un penetration test applicativo ogni tanto;
  • Non usare SHA1 per offuscare le password. Usa BCrypt, SHA512 o SHA256 come strumenti alternativi per offuscare le password in maniera robusta.

Parlano di questa compromissione

(Updated: )

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla newsletter