Firesheep: il nostro account di Facebook alla portata di tutti

Firesheep

Da alcuni giorni si fa un gran parlare di una nuova estensione di Firefox, Firesheep, che consente di accedere agli account di Facebook, Twitter, Dropbox, Tumblr e simili di tutti gli utenti connessi alla medesima rete WiFi che si sta utilizzando. L'estensione, gratuita e, quel che è peggio, facilmente utilizzabile anche dalle persone più inesperte, è stata creata da Eric Butler, uno sviluppatore di software il quale dice di averla realizzata per far si che finalmente i servizi web capiscano quanto sono vulnerabili e inizino a lavorare su questo serio problema che troppo a lungo hanno ignorato:

Websites have a responsibility to protect the people who depend on their services. They've been ignoring this responsibility for too long, and it's time for everyone to demand a more secure web. My hope is that Firesheep will help the users win.

Tutto questo sarebbe possibile in quanto Facebook e la restante gran parte dei siti utilizzano un sistema criptato al momento del login, affinché la password (almeno quella) sia al sicuro, ma lo abbandonano per ogni altra sessione, per la maggior parte della navigazione, rendendo così vulnerabili tutti i dati all'interno del servizio. Questo fa si che Firesheep vi permetta di vedere a quali servizi fra quelli a lui noti gli utenti connessi alla rete WiFi hanno fatto accesso e accedervi a vostra volta con le loro credenziali.

Facebook, parlo di lui perché è anche il più noto, offre degli strumenti per difendersi, seppur non molto efficaci. Per esempio sotto le impostazioni è possibile far si che i computer debbano essere registrati e conosciuti per accedere al proprio account, così che quanto un nuovo computer vi entri sia possibile identificarlo e forzarne il "logout". Ovviamente non può essere la soluzione ma solamente un rimedio a posteriori. Come fa notare Butler, è inutile che Facebook introduca giorno dopo giorno nuove funzioni per migliorare la privacy quando in modo rapido e semplice è possibile leggere tutti i messaggi privati di un utente.

L'unica soluzione per impedire che i nostri dati vengano rubati è far si che la navigazione all'interno dei siti in questione avvenga in HTTPS (o SSL), una soluzione che i servizi non adottano di default poiché richiederebbe troppe risorse (ma a dire il vero è in corso una discussione molto ampia in merito: se ciò sia vero oppure no). Purtroppo, non per tutti è possibile. Per quanto riguarda Facebook è sufficiente modificare manualmente l'indirizzo (non di sicuro un procedimento "comodo"), per quanto riguarda Gmail fortuna vuole che Google sia più attenta ai proprio utenti e ne fornisca l'opzione (attivabile da Settings sotto la voce Browser connection). Se poi si utilizza Chrome o Firefox esistono due rispettive estensioni, KB SSL e HTTPS Everywhere, che di volta in volta forzano il sito ad utilizzare una connessione criptata, se disponibile. Butler stesso indica altri possibili rimedi nel suo ultimo post, "Firesheep a day later", non tutti però alla portata degli utenti più profani.

Resta il fatto che nemmeno questa è, o può essere, LA soluzione definitiva: se utilizzate un client, un software, una applicazione su computer o device (iPhone, per citarne uno), per accedere ai suddetti servizi la vostra connessione avverrà in maniera del tutto scoperta e sarà ancora possibile per Firesheep accedere ai vostri dati. Così come sarà possibile rubarvi i dati di Facebook ogni volta che visiterete un sito che all'interno abbia un widget collegato a Facebook (e vi ricordo che il bottone per il Like è oramai diffuso su ogni blog e sito). La soluzione, l'unica, è che i siti in questione decidano definitivamente di utilizzare per ogni loro pagina l'HTTPS. Speriamo che una diffusione del problema ne velocizzi l'adozione.

UPDATE: è uscito oggi FileShepherd, “a small console program that floods the nearby wireless network with packets designed to turn off FireSheep”. In altre parole dovrebbe non tanto risolvere il problema della sicurezza quanto piuttosto rendere Firesheep inutilizzabile. Lo si scarica qua: http://notendur.hi.is/~gas15/FireShepherd/ (ma purtroppo funziona solo su Windows: niente Mac).

Via | Friendfeed

  • shares
  • +1
  • Mail
4 commenti Aggiorna
Ordina: