Da alcuni giorni si fa un gran parlare di una nuova estensione di Firefox, Firesheep, che consente di accedere agli account di Facebook, Twitter, Dropbox, Tumblr e simili di tutti gli utenti connessi alla medesima rete WiFi che si sta utilizzando. L’estensione, gratuita e, quel che è peggio, facilmente utilizzabile anche dalle persone più inesperte, è stata creata da Eric Butler, uno sviluppatore di software il quale dice di averla realizzata per far si che finalmente i servizi web capiscano quanto sono vulnerabili e inizino a lavorare su questo serio problema che troppo a lungo hanno ignorato:
Websites have a responsibility to protect the people who depend on their services. They’ve been ignoring this responsibility for too long, and it’s time for everyone to demand a more secure web. My hope is that Firesheep will help the users win.
Tutto questo sarebbe possibile in quanto Facebook e la restante gran parte dei siti utilizzano un sistema criptato al momento del login, affinché la password (almeno quella) sia al sicuro, ma lo abbandonano per ogni altra sessione, per la maggior parte della navigazione, rendendo così vulnerabili tutti i dati all’interno del servizio. Questo fa si che Firesheep vi permetta di vedere a quali servizi fra quelli a lui noti gli utenti connessi alla rete WiFi hanno fatto accesso e accedervi a vostra volta con le loro credenziali.
Facebook, parlo di lui perché è anche il più noto, offre degli strumenti per difendersi, seppur non molto efficaci. Per esempio sotto le impostazioni è possibile far si che i computer debbano essere registrati e conosciuti per accedere al proprio account, così che quanto un nuovo computer vi entri sia possibile identificarlo e forzarne il “logout”. Ovviamente non può essere la soluzione ma solamente un rimedio a posteriori. Come fa notare Butler, è inutile che Facebook introduca giorno dopo giorno nuove funzioni per migliorare la privacy quando in modo rapido e semplice è possibile leggere tutti i messaggi privati di un utente.
L’unica soluzione per impedire che i nostri dati vengano rubati è far si che la navigazione all’interno dei siti in questione avvenga in HTTPS (o SSL), una soluzione che i servizi non adottano di default poiché richiederebbe troppe risorse (ma a dire il vero è in corso una discussione molto ampia in merito: se ciò sia vero oppure no). Purtroppo, non per tutti è possibile. Per quanto riguarda Facebook è sufficiente modificare manualmente l’indirizzo (non di sicuro un procedimento “comodo”), per quanto riguarda Gmail fortuna vuole che Google sia più attenta ai proprio utenti e ne fornisca l’opzione (attivabile da Settings sotto la voce Browser connection). Se poi si utilizza Chrome o Firefox esistono due rispettive estensioni, KB SSL e HTTPS Everywhere, che di volta in volta forzano il sito ad utilizzare una connessione criptata, se disponibile. Butler stesso indica altri possibili rimedi nel suo ultimo post, “Firesheep a day later“, non tutti però alla portata degli utenti più profani.
Resta il fatto che nemmeno questa è, o può essere, LA soluzione definitiva: se utilizzate un client, un software, una applicazione su computer o device (iPhone, per citarne uno), per accedere ai suddetti servizi la vostra connessione avverrà in maniera del tutto scoperta e sarà ancora possibile per Firesheep accedere ai vostri dati. Così come sarà possibile rubarvi i dati di Facebook ogni volta che visiterete un sito che all’interno abbia un widget collegato a Facebook (e vi ricordo che il bottone per il Like è oramai diffuso su ogni blog e sito). La soluzione, l’unica, è che i siti in questione decidano definitivamente di utilizzare per ogni loro pagina l’HTTPS. Speriamo che una diffusione del problema ne velocizzi l’adozione.
UPDATE: è uscito oggi FileShepherd, “a small console program that floods the nearby wireless network with packets designed to turn off FireSheep”. In altre parole dovrebbe non tanto risolvere il problema della sicurezza quanto piuttosto rendere Firesheep inutilizzabile. Lo si scarica qua: http://notendur.hi.is/~gas15/FireShepherd/ (ma purtroppo funziona solo su Windows: niente Mac).
Via | Friendfeed
Seguici
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
egoalesum
29 ott 2010 - 13:27 - #1Purtroppo è un problema molto serio, e difficilmente è risolvibile, in quanto è quasi intrinseco nel protocollo HTTP (che essendo, come noto, state-less, richiede che vengano utilizzati dei “trucchi” per mantenere attiva una sessione).
L’uso di SSL “risolve” il problema, criptando i cookie inviati dal browser (i quali contengono la session key), ma non è sicuramente definitivo:
SSL richiede molta più potenza di calcolo, sia nel client che nel server. Quindi, può rallentare la navigazione in dispositivi meno potenti (es. telefonini) e fa sì che il server si saturi molto più velocemente. Tanto per fare un esempio, la chat di Facebook è disabilitata quando si sta navigando nel sito usando SSL (accedendo a https://www.facebook.com )
SSL mantiene al sicuro la session key durante la trasmissione, ma non fornisce alcuna protezione negli altri punti “a rischio”.
Tra gli altri rischi ci sono ad esempio tutte le tecniche di session hijacking. Una, per esempio, è molto facile da attuare, se il sito web supporta gli ID di sessione negli url: l’utente malintenzionato si collega al sito in modo da ottenere un id di sessione, nella forma http://miosito.com/?sid=aabbcc . Passa quindi questo URL (ad esempio via IM) a qualche altro utente, che effettua il login. A questo punto, anche l’utente malintenzionato che ha a disposizione una sessione come utente loggato. Chiaramente, esistono modi per proteggersi da questo tipo di attacchi (uno, ad esempio, è rigenerare l’id di sessione ad intervalli regolari, e ogni volta che c’è un cambio nei privilegi), ma non tutti i siti web lo fanno.
Un altro punto di rischio è il database locale dei cookie: se qualcuno riesce ad accedervi (ad esempio con un malware) è in grado di rubare tutte le session keys, anche se i siti utilizzano SSL.
nickos
29 ott 2010 - 20:40 - #2io l’ho provata all’uni ma non sembra funzionare. Qualcuno l’ha provata e funziona?
GabrieleIII
30 ott 2010 - 09:58 - #3Beh funziona solo su reti aperte a quanto pare.
Domenico Paparo
02 nov 2010 - 08:40 - #4Sembra che sia una novità fottere le password di facebook ,a me in tre anni hanno rubato diversi gruppi e pagine.Adesso dovrò fare pure un processo … voi direte x cosa ? semplice impossesandosi dell’account si sono divertiti a minacciare Massimo Tartaglia e altri facendo ricadere la colpa sul sottoscritto :-(
Cordialità
Paparo Domenico