Con Firesheep sottrarre le credenziali di accesso al social network è un gioco da ragazzi.
[ZEUS News - www.zeusnews.it - 26-10-2010]
Eric Butler è uno sviluppatore preoccupato per la sicurezza: sa bene che in troppi casi le informazioni che inviamo ai siti Internet (a partire da username e password) hanno un livello di protezione insufficiente.
Prendiamo un esempio fin troppo frequente: l'utilizzo di una rete Wi-Fi aperta (magari in un hot spot pubblico), ovvero non crittografata e quindi non protetta.
Chi fa login su Facebook da un computer collegato a una rete senza fili di questo tipo inizia col piede giusto poiché invia le proprie credenziali in maniera sicura, essendo l'invio crittografato; tutto ciò che avviene dopo l'autenticazione, però, non è criptato: per riconoscere l'utente Facebook si basa sul cookie che ha depositato sul computer di questi al momento del login.
Ora la situazione è anche peggiore: per dimostrare quanto sia concreto il pericolo appena descritto, Butler ha realizzato un'estensione per Firefox - che ha chiamato Firesheep - il cui scopo è automatizzare il processo di "sottrazione".
In pratica, quindi, se qualcuno in una rete Wi-Fi aperta si connette a Facebook e se all'interno della stessa rete c'è un utente con Firesheep, questi potrà sottrarre senza sforzo le credenziali del primo e utilizzarle con un doppio clic.
Firesheep infatti è in grado di trovare all'interno della rete wireless i cookie che consentono di accedere ai siti insicuri, e presenta al proprio utente un'agevole schermata con tutte le credenziali di accesso scovate.
Butler ha usato Facebook come esempio, anche perché contiene una moltitudine di informazioni personali che nessuno vorrebbe vedersi sottratte, ma Firesheep funziona con una gran quantità di siti, tra cui Amazon, Flickr, Google, Windows Live, Twitter, Wordpress, Yahoo e molti altri ancora.
Proteggersi dal furto delle credenziali (e di tutto ciò a cui si può avere accesso grazie a esse) richiede uno sforzo sia da parte degli utenti che da parte dei gestori dei siti.
I primi faranno bene a proteggere quanto prima le proprie reti wireless e a preferire sempre una connessione via SSL (indicata dal prefisso https anziché http nella barra degli indirizzi) magari tramite le apposite estensioni di Firefox; i secondi, ovviamente, dovranno concedere questa possibilità per tutte le loro pagine, come Google, almeno per alcuni servizi, ha deciso di fare.
Firesheep è al momento disponibile per Mac OS X e Windows, mentre la versione per Linux arriverà a breve.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|