martedì 26 ottobre 2010

Una estensione per Firefox sniffa le password di Facebook e Twitter


Firesheep è una estensione per Firefox, sviluppata da Eric Butler, che è in grado di recuperare i cookie di sessione degli utenti connessi tramite una rete WiFi aperta, mettendo di fatto un numero imprecisato di account a forte rischio di intrusioni non autorizzate. Firesheep ha come obiettivi 26 servizi on-line, e comprende molti siti tra i quali: Amazon, Facebook, Foursquare, Google, The New York Times, Twitter, Windows Live, Wordpress, Yahoo e Flirk. Firesheep è stata creata dallo sviluppatore software Eric Butler di Seattle, che ha detto di aver creato l'estensione per evidenziare i rischi di sicurezza associati al dirottamento di sessione, conosciuto anche come sidejacking.

Quando si avvia la registrazione in un sito web di solito viene presentata la vostra username e password. Il server verifica quindi se corrisponde a questa informazione un account esistente e così, risponde di nuovo a voi con un "cookie" che viene utilizzato dal browser per tutte le richieste successive. E' molto comune per i siti proteggere la propria password tramite la crittografia del login iniziale, ma sorprendentemente non è comune per i siti web crittografare tutto il resto. Questo lascia il cookie (e l'utente) vulnerabili al dirottamento di sessione HTTP (a volte chiamata "sidejacking"). 

Il sidejacking avviene quando un utente malintenzionato entra in possesso dei cookie di un utente, consentendogli di fare qualsiasi cosa che l'utente può fare su un particolare sito web. In una rete wireless aperta, i cookie sono fondamentalmente liberi, rendendo questi attacchi estremamente facili. Firesheep è fondamentalmente uno sniffer in grado di analizzare tutto il traffico Web in chiaro su una connessione Wi-Fi aperta tra un router Wi-Fi e il personal computer nella stessa rete. 

L'estensione aspetta che qualcuno acceda ad uno dei qualsiasi 26 siti elencati nel database di Firesheep. Con Firesheep basterà infatti essere collegati ad una rete WiFi non protetta per visualizzare foto e nome degli altri utenti connessi alla stessa rete, con la conseguenza che sarà a quel punto sufficiente un doppio click sul nome dell’utente per accedere direttamente ai cookie ad esso relativi, riuscendo in tal modo ad accreditarsi con le sue credenziali ed entrare così sui vari account di social network e non solo. 

Questo è un problema noto di cui si parla all'infinito, eppure siti web molto popolari continuano a non riuscire a proteggere i loro utenti. L'unica correzione efficace per questo problema è la piena crittografia end-to-end, conosciuto sul web come HTTPS o SSL. Facebook è in continua evoluzione per creare nuovi strumenti per la "privacy" che funzionino, nel tentativo di sedare le urla degli utenti scontenti, ma non renderà mai sicuro del tutto l'account dei suoi iscritti. Quando si accede a Facebook, per esempio, il browser scambia informazioni e comunica avanti e indietro con il sito web di Facebook, contenendo informazioni di identificazione personale come il vostro nome utente e un numero ID Facebook di sessione.

In genere, il cookie non conterrà la vostra password. Ma anche senza la password, il fatto che Firesheep ha portato a casa il cookie di sessione significa che un hacker può, almeno in teoria, accedere al vostro account e ottenere l'accesso virtualmente illimitato. Se l'hacker ha il vostro cookie di Yahoo Mail potrebbe inviare una e-mail, se è Facebook potrebbe essere in grado di inviare un messaggio e così via. Non tutte le operazioni che richiedono la vostra password, tuttavia, come accedere ai vostri dati di carta di credito su Amazon non dovrebbero essere possibili utilizzando Firesheep.

L’estensione, infatti, prende di mira potenzialmente tutti i siti che non utilizzano connessioni protette HTTPS per far accedere i propri utenti, quindi compresi i principali social network come Facebook, o siti di microblogging come Twitter, tanto per riportarne alcuni dei più frequentati tra quelli già citati in precedenza. Appena la notizia è stata diffusa in Rete, il numero di download di Firesheep si è ovviamente alzato, anche alla luce del fatto che le prime testimonianze riportate dagli utenti che hanno avuto modo di testarlo mostrano che l’estensione sembra funzionare perfettamente.

Non c'è dubbio che Firesheep evidenzia una importante falla di sicurezza nel web browsing, che potrebbe esporre il vostro account ad un hacker malintenzionato. Ma è anche importante tenere a mente che il sidejacking ha i suoi limiti. Utilizzando Firesheep non è possibile esporre la propria password utente. Quindi, un hacker può essere in grado di utilizzare Firesheep in modo da agire per suo conto, come inviare una e-mail di posta, un aggiornamento di stato, o inviare un tweet. Ma è improbabile che Firesheep potrebbe essere utilizzato per rubare il vostro account cambiando la vostra password.

A meno che, naturalmente, si utilizza un servizio che vi permette di cambiare la password senza entrare nell'account - un evento raro attualmente. Tuttavia, Firesheep e sidejacking in generale, è ancora una grave minaccia per la sicurezza se vi capita di usare connessione Wi-Fi aperta o non protetta. I siti web hanno la responsabilità di proteggere le persone che dipendono dai loro servizi. Per troppo tempo hanno ignorato questa responsabilità, ed è il momento per tutti di ottenere un web più sicuro. La speranza è che Firesheep aiuterà gli utenti in questo.

2 commenti:

  1. si ma un bel keylogger e poi messo anche il lista eccezzioni dell'antivirus crea delle soddisfazioni anche remunerative e pecuniarie, basta solo un po di confidenza con il malcapitato senza sta a creare ingegnosi programmi che ne dite?

    RispondiElimina
  2. Siamo d'accordo, ma un keylogger devi poterlo installare sul Pc vittima

    RispondiElimina