Il furto di accounts e informazioni personali non è mai stato così semplice, soprattutto sui social networks, grazie a Firesheep, il nuovo add-on per Firefox disponibile su Mac e Windows (e in dirittura d’arrivo anche su GNU/Linux). Questa allarmante (volutamente) estensione è stata rilasciata Domenica alla ToorCon di San Diego, una delle principali conferenze hacker riguardanti, ovviamente, la sicurezza informatica, al fine di dimostrare quanto e come siano in pericolo i dati sensibili di decine di milioni di ignari naviganti in giro per il mondo, e noi non vogliamo essere fra quelli, o sbaglio?
Il concetto è semplicissimo: quando effettui il login su un qualsiasi sito internet, infatti, nome utente e password vengono inviati in formato criptato, il server controlla nel database degli utenti se le informazioni siano corrette e, se sì, risponde inviandoti un “cookie”, file temporaneo che serve al browser per memorizzare le credenziali di accesso della sessione corrente. Questo meccanismo comporta una gravissima vulnerabilità, dato che il “cookie” può essere facilmente intercettato tramite “hijacking” della sessione HTTP non criptata, specialmente se si è connessi a un hotspot pubblico, o se la nostra WLAN casalinga non è a prova di bomba. Una volta che il “cookie” si trova nelle mani dell’intruso, egli è in grado di agire indisturbato sull’account, in quanto il server verifica semplicemente che il file sia presente, senza richiedere ulteriori autenticazioni.
Firesheep automatizza questo procedimento, rendendo l’hijacking alla portata di tutti. Dopo un solo giorno dalla pubblicazione era stato infatti scaricato ben 129.000 volte, come confessa Eric Butler, l’autore, sul suo sito, andando ben oltre ogni più rosea aspettativa.
Ma quali contromisure stanno adottando blasonate compagnie come, per esempio, Facebook, Twitter, Amazon e Dropbox? E, soprattutto, che cosa possiamo fare noi per proteggere i nostri account?
Per garantire un livello di sicurezza sufficiente, sarebbe necessario mantenere criptata l’intera sessione come quando accedi al tuo conto bancario on-line o fai acquisti e vedi un lucchetto accanto all'indirizzo del browser (si usa un protocollo di criptaggio asincrono collaudato come HTTPS), ma questo servizio, evidentemente, appesantirebbe troppo i server dei siti social che devono gestire milioni di connessioni contemporaneamente. Al momento fanno finta di niente e ignorano questa pericolosissima falla.
Non potendo contare su di loro, quindi, possiamo “arrangiarci” in modo un po' complicato, ovvero cercando sul web un server sicuro che abbia la connessione "col lucchetto" da cui far passare il nostro traffico web (in pratica effettuando il tunneling SSH verso un proxy sicuro).
Oppure, molto più semplicemente, puoi installare il programmino HTTPS Everywhere per Firefox, altro interessante add-on in grado di proteggere i tuoi dati da e verso Facebook, Twitter, Wikipedia e di eseguire ricerche in modo più sicuro. E senza gravare troppo sulla lentezza della connessione.
