Uno sviluppatore americano rilascia un’applicazione che permette a chiunque, tramite il browser, di captare i dati di accesso ai più famosi siti e social network quando si naviga tramite wi-fi aperto. Allarme in rete, ma proteggersi è possibile
IL RISCHIO che sconosciuti si impossessino del nostro profilo su Facebook, Twitter o altri siti web non è mai stato così alto. Tutta colpa di Firesheep, il primo software che consente a tutti, anche utenti inesperti, tramite il semplice browser Firefox, di rubare le password di numerosi siti molto popolari.
In termini tecnici, Firesheep è un’estensione gratuita di Firefox. Gli utenti possono installarla con un clic sul proprio browser, quindi, e cominciare la caccia di password altrui. Le potenziali vittime sono tutti quelli che utilizzano una rete wi-fi aperta, cioè non protetta da crittografia, in casa o in un luogo pubblico. Al pirata dotato di Firesheep basterà connettersi alla nostra stessa rete (può farlo, visto che è aperta) e aspettare che accediamo a uno dei siti monitorati dall’estensione. Per esempio, Facebook, Twitter, Amazon, Google, Flickr e altri ancora che possono essere aggiunti dagli utenti. Su Firefox, nella barra dell’estensione, compare quindi l’account dell’utente spiato. Al pirata basterà cliccarci per entrare nel sito al posto suo.
Rubare l’identità dell’utente, spiarne le e-mail e fare danni diventa un gioco da ragazzi. Su Facebook ci sono profili anche di aziende, del resto. Il funzionamento alla base di Firesheep in realtà è molto semplice. Il sito a cui ci connettiamo fa viaggiare le informazioni dell’account in “chiaro“, cioè non protette da crittografia, all’interno di un file (“cookie”). Gli utenti nella stessa rete possono intercettare e leggere questo cookie. Il trucco non è una novità: i pirati sanno da tempo come intercettare i cookie, con i propri strumenti. I quali però finora sono stati alla portata solo di utenti con un po’ di esperienza informatica. La rivoluzione di Firesheep, e il motivo per cui ha gettato l’allarme sul web, è che rende il tutto alla portata di qualsiasi utente. L’autore dell’estensione, Eric Butler, sviluppatore freelance di Seattle, dice di averla creata appunto per sollevare il problema della scarsa sicurezza di molti siti web. Che però così ha reso ancora meno sicuri.
Proteggersi dal pericolo è possibile, tuttavia. E’ sufficiente chiudere le proprie reti wi-fi casalinghe, impostando una chiave crittografica (una specie di password). Bisogna collegarsi via browser all’indirizzo del router 1 e poi navigare tra i menu fino alla sezione dedicata alla sicurezza wi-fi. Nei luoghi pubblici, inoltre, evitiamo le reti aperte, cioè che non ci richiedono password. Ci sono inoltre estensioni del browser, come Force-Tls 2, che obbligano il sito a proteggere meglio le nostre informazioni tramite protocollo sicuro “https”. Purtroppo, non tutti i siti, anche i più famosi, gesticono a dovere questo protocollo.
Fonte: Repubblica