Il gruppo degli Anonymous ha colpito ancora. Questa volta sarebbero stati rastrellati ben 90.000 indirizzi e-mail, oltre alle rispettive password (hash MD5), appartenenti a personale in forza presso vari enti militari degli Stati Uniti. Il furto dei dati sarebbe avvenuto sulla rete gestita da Booz Allen Hamilton, azienda che mette a disposizione servizi web a diverse autorità ed organizzazioni statali del Paese guidato da Barack Obama.
Secondo quanto riferito da fonti d’Oltreoceano, gli aggressori di Anonymous avrebbero preso possesso non soltanto di un pingue elenco di indirizzi di posta elettronica ma anche di altre informazioni che potrebbero consentire l’accesso ai sistemi di agenzie governative e di altre società appaltatrici.
La lista dei 90.000 indirizzi rubati è stata resa pubblicata, dai membri di Anonymous sulla rete Torrent insieme con alcune osservazioni relative all’attacco. Gli autori del raid hanno dichiarato che Booz Allen Hamilton non avrebbe utilizzato la benché minima misura di sicurezza per proteggere le preziose informazioni.
Proseguono quindi le azioni dimostrative di Anonymous che, insieme al gruppo LulzSec, si è più volte reso protagonista di attacchi nei confronti di organismi governativi di tutto il mondo in quella che è stata battezzata “battaglia Antisec”.
L’Internet Storm Center (ISC) di SANS ricorda come oggi sia assolutamente insicuro l’utilizzo dell’algoritmo crittografico di hashing MD5. Per memorizzare le password in forma cifrata, quindi, è meglio ricorrere, ove possibile, ad una variante di SHA-2. Nel caso di Booz Allen Hamilton, secondo quanto trapelato, le password erano salvate sotto forma di hash MD5 senza ricorrere alla tecnica del salting. Essa consiste nell’aumentare forzosamente la lunghezza e la complessità della passsword: in questo modo è possibile rendere molto più complicati oppure del tutto vani gli attacchi che sfruttano le cosiddette rainbow tables.