Se c’è una cosa che da sempre ci preoccupa e che si cerca sempre di migliorare è sicuramente la sicurezza sul web. Ormai la maggior parte dei siti web per accedere richiede l’utilizzo di un username ed una password e tanti sono i sistemi creati per proteggere quest’ultimi.
Ma oggi vengo a conoscenza di un add-on per firefox che in un certo senso riesce a “scavalcare” l’autenticazione di diversi siti web e ci permette di accedere ad informazioni “private” di altri account. No, non sono ubriaco, ho solo da poco utilizzato FireSheep. Vi spiego meglio di cosa si tratta:
Quando effettuiamo l’accesso ad un determinato sito web tramite username e password, questo verifica se i dati inseriti corrispondono a quelli contenuti nel database e ci risponde con un “cookie” che viene utilizzato dal browser per tutte le richieste successive. Ovviamente è molto comune per i siti web proteggere username e password tramite la crittografia del login iniziale, ma sorprendentemente non comune crittografare tutto il resto. Infatti la navigazione successiva, dove l’autenticazione avviene attraverso cookie, non è crittografata e quando un utente malintenzionato entra in possesso del nostro cookie, può avere pieno accesso al “nostro sito” ovviamente restando sempre sullo stesso indirizzo IP. In una rete wireless aperta, l’IP assegnato dal provider è lo stesso ed i cookie volano liberamente nell’aria, rendendo il nostro account vulnerabile. Questo è un problema noto che si è parlato fino alla morte, eppure siti web molto popolari continuano a non riuscire a proteggere i loro utenti. L’unica correzione efficace per questo problema è la piena crittografia end-to-end, conosciuta sul web come HTTPS o SSL. Anche Facebook che è in continuo cambiamento per questioni di “privacy” non ha ancora risolto questo tipo di problema, per non parlare di twitter ecc.
Ecco che nasce Firesheep, un’estensione per Firefox creata apposta per dimostrare quanto sia grave questo problema. FireSheep è un ladro di questi famosi “biscotti”. Una volta installato Firesheep sul nostro firefox, basta connetterci ad una rete wifi aperta, iniziare la scansione, attendere che qualche altro utente connesso alla stessa rete effettua l’accesso ad uno dei tanti siti web “vulnerabili” e come per magia vedremo nella nostra finestra di firefox l’icona del nuovo utente; basterà cliccarci sopra ed avremo pieno accesso su quel determinato sito web a nome della nostra “vittima”.
Per utilizzare FireSheep basta scaricare il file .xpi, trascinarlo su una qualsiasi finestra di firefox ed installare l’estensione. Una volta pronto, basterà configurare la scheda di rete sulla quale “sniffare” cookie ed abilitare la finestra di FireSheep in Visualizza. FireSheep per funzionare richiede winpcap.
#1Davide Vittorio Gozzini
non vorrei dire una stupidata ma… il progetto è open source? non è che sfruttano noi per raccogliere informazioni e quindi rubare account?
#2Giacomo Margarito
Il progetto è opensource. Poi sta al buon senso di chi lo usa, usarlo per scopi leciti o meno.
#3Gianni Puglisi
Per proteggersi, è consigliabile utilizzare il plugin Force-TLS: http://goo.gl/c1Mo
#4jjj
tralasciamo che quel che suggerite e invitate a fare e' illegale e quindi siete denunciabili
come si fa a fidarsi ad installare certi software sul proprio pc non lo capisco, come sniffano la connessione di altri cosi possono sniffare anche la vostra
#5RETI
Non è vero, loro non ci incitano a compiere atti illegali. Sta al tuo buonsenso fare uso di questo programma e tutta la responsabilità è tua.
#6DeST
Non mi stancherò mai di consigliarvi questi addon se usate firefox…
BetterPrivacy (migliora la gestione dei cookie)
CS Lite (cookie safe) (permette di creare regole e permesi per i cookie)
Ghostery (blocca i siti traccianti durante la navigazione)
HTTPS-Everywhere (forza connessioni crittate con i siti più diffusi)
RefControl (migliora la gestione dei referrer)
PhishTank (Avverte se un sito è sicuro o è falso-> phishing)
Redirect Remover (rimuove connessioni intermedie)
NoScript (permette di attivare a scelta i contenuti attivi di un sito)
Wot (fornisce statistiche di sicurezza sui siti visitati)
Secure Login (permette di usare in automatico password salvate con un click)
#7Esse
Come si fa a configurare la scheda di rete?
#8Alfredinik
Sì, c'é questo http://goo.gl/4WP0t
#9Piero
Firesheep è una piccola applicazione che consente di verificare se qualcuno sta cercando di attaccare o forzare il tuo account nelle reti sociali, come Facebook o Twitter. Con l'espansione delle reti sociali, aumenta anche il rischio di attacchi alla nostra privacy, soprattutto quando utilizziamo reti Wi-Fi aperte.
Questo plugin per Firefox permette di scoprire se qualcuno cerca di rubare i dati di accesso alla rete sociale. È molto importante sapere se i servizi che utilizziamo sono sicuri e, se scopriamo che non lo sono, eseguire l'accesso sempre tramite connessioni cifrate. Firesheep funziona quando siamo connessi a una rete Wi-Fi pubblica e aperta. Appena istallato, comparirà una scheda in cui potremo leggere i dati degli utenti connessi a questa rete non sicura. Semplicemente cliccando su ognuno di loro, potremo ottenere nomi utenti e password usate recentemente per accedere alle loro reti sociali.
Salve, gradirei sapere se la recensione da me trovata sulla rete è "perfetta" per Firesheep o, è un attimino fuorviante? Non mi sembra che dicano esattamente la stessa cosa
#10daniele
ma funziona si firefox 12.0?? quando provo a installarlo mi dice che la versione di ff nn è compatibile