FireSheep, accedere a facebook e ad altri siti web senza credenziali d’accesso
Se c’è una cosa che da sempre ci preoccupa e che si cerca sempre di migliorare è sicuramente la sicurezza sul web. Ormai la maggior parte dei siti web per accedere richiede l’utilizzo di un username ed una password e tanti sono i sistemi creati per proteggere quest’ultimi.
Ma oggi vengo a conoscenza di un add-on per firefox che in un certo senso riesce a “scavalcare” l’autenticazione di diversi siti web e ci permette di accedere ad informazioni “private” di altri account. No, non sono ubriaco, ho solo da poco utilizzato FireSheep. Vi spiego meglio di cosa si tratta:
Quando effettuiamo l’accesso ad un determinato sito web tramite username e password, questo verifica se i dati inseriti corrispondono a quelli contenuti nel database e ci risponde con un “cookie” che viene utilizzato dal browser per tutte le richieste successive. Ovviamente è molto comune per i siti web proteggere username e password tramite la crittografia del login iniziale, ma sorprendentemente non comune crittografare tutto il resto. Infatti la navigazione successiva, dove l’autenticazione avviene attraverso cookie, non è crittografata e quando un utente malintenzionato entra in possesso del nostro cookie, può avere pieno accesso al “nostro sito” ovviamente restando sempre sullo stesso indirizzo IP. In una rete wireless aperta, l’IP assegnato dal provider è lo stesso ed i cookie volano liberamente nell’aria, rendendo il nostro account vulnerabile. Questo è un problema noto che si è parlato fino alla morte, eppure siti web molto popolari continuano a non riuscire a proteggere i loro utenti. L’unica correzione efficace per questo problema è la piena crittografia end-to-end, conosciuta sul web come HTTPS o SSL. Anche Facebook che è in continuo cambiamento per questioni di “privacy” non ha ancora risolto questo tipo di problema, per non parlare di twitter ecc.
Ecco che nasce Firesheep, un’estensione per Firefox creata apposta per dimostrare quanto sia grave questo problema. FireSheep è un ladro di questi famosi “biscotti”. Una volta installato Firesheep sul nostro firefox, basta connetterci ad una rete wifi aperta, iniziare la scansione, attendere che qualche altro utente connesso alla stessa rete effettua l’accesso ad uno dei tanti siti web “vulnerabili” e come per magia vedremo nella nostra finestra di firefox l’icona del nuovo utente; basterà cliccarci sopra ed avremo pieno accesso su quel determinato sito web a nome della nostra “vittima”.
Per utilizzare FireSheep basta scaricare il file .xpi, trascinarlo su una qualsiasi finestra di firefox ed installare l’estensione. Una volta pronto, basterà configurare la scheda di rete sulla quale “sniffare” cookie ed abilitare la finestra di FireSheep in Visualizza. FireSheep per funzionare richiede winpcap.