Alfonso Maruccia

Firesheep, il ruba-cookie open

Uno sviluppatore mette a punto un add-on per Firefox in grado di rendere estremamente facile il furto di identità da utenti collegati su uno stesso network. La falla è strutturale, avverte lo sviluppatore

Roma - Si chiama Firesheep, è un add-on per Mozilla Firefox funzionante su sistemi Windows e Mac OS X e rappresenta l'ennesima dimostrazione del fatto che Internet non fa rima con riservatezza. Una volta installato sul browser del panda rosso, Firesheep "cattura" le credenziali di accesso degli utenti presenti su una stessa rete. Basta un semplice login e il cookie corrispondente viene catturato dall'estensione che lo mette a disposizione per l'accesso in una comoda barra laterale del browser.

Firesheep non ha bisogno di "trucchi" particolarmente ingegnosi e nemmeno di rubare password e user ID: tutto quello che l'estensione fa è intercettare i cookie salvati dalle sessioni aperte su popolari siti web, sfruttando il fatto che una volta stabilita la connessione il "broadcasting" dei suddetti cookie su una rete avviene generalmente in chiaro.

Basta "ascoltare" per sequestrare la sessione aperta su un sito, dice lo sviluppatore di Firesheep, e chiunque è in grado di aggiungere nuovi siti oltre a quelli già compatibili con l'estensione (Facebook, Twitter, Flickr, Amazon, Windows Live e Google) con gli opportuni script.
La "falla" strutturale sfruttata da Firesheep non è una novità, e si basa sul fatto che l'adozione del protocollo HTTPS (che previene la trasmissione in chiaro dei cookie su una rete e quindi il loro furto) è al momento soltanto una possibilità, un'opzione non obbligata né da parte del browser né da parte dei server remoti.

Alfonso Maruccia
21 Commenti alla Notizia Firesheep, il ruba-cookie open
Ordina
  • Un rimedio (palliativo) per firesheep è Fireshepherd, un add-on che invia pacchetti "a randa" e fa andare in crash lo sniffer... provare x credere!
    Ciao a tutti
    non+autenticato
  • In realtà alcuni "ovvi" dettagli sono stati omessi, sia nell'articolo di PI che nella pagina di FireSheep (ma ben discussi nei commenti sottostanti).

    Intanto, il funzionamento di FireSheep si basa sull'utilizzo di reti WiFi non crittografate (o di alcune particolari reti Ethernet cablate). Da notare che il termine "Non crittografate" non necessariamente corrisponde a "Non pubbliche".
    Il problema, quindi, non si pone affatto sulle reti WiFi private (protette da WPA/WPA2) ma neanche sulla maggior parte delle reti WiFi pubbliche (in cui tipicamente si adopera WPA/TKIP con chiave fornita automaticamente dall'Access Point).

    In secondo luogo, il plug-in può funzionare solo ammettendo di disporre di una scheda WiFi capace di funzionare in "Monitor Mode" (ovvero capace di catturare il traffico WiFi delle altre stazioni over-the-air). Non tutte le schede (e non tutti i driver) supportano tale modalità. (http://en.wikipedia.org/wiki/Monitor_mode)

    In ogni caso, si tratta di problemi assolutamente noti ed affrontati da decenni, per i quali sono sempre esistiti tool a riguardo (Cain per Windows, o Ettercap per Linux sono solo alcune delle soluzioni disponibili da diversi lustri).
    Tuttavia, mi sembra di capire che fomentare di tanto in tanto isterismi collettivi rappresenti, al giorno d'oggi, il metodo migliore per ricevere l'attenzione.

    Primiano Tucci,
    http://www.primianotucci.com
    non+autenticato
  • Se firesheep ruba le credenziali all'interno di una rete significa che l'utente "malandrino" sia già connesso con quella rete e che possa essere già a conoscenza di username e password. Di sicuro se andassi in giro con il notebook non potrò comunque accedere alle reti wifi protette.
    Certo, se poi voglio rubare le credenziali della rete di un amico o conoscente che mi lascia connettere alla sua wireless be'...
    Se il mio ragionamento non è errato, credo quindi che firesheep non sia così malvagio. O posso accedere alle credenziali di altre reti alle quali non sono connesso? In questo caso, il problema non è marginale.
    Grazie.
    non+autenticato
  • Ma infatti credo che il problema sia prettamente estero (grazie al decreto pisanu che vieta il wifi libero in italia) quando ti connetti a reti condivise da "tutti" od open negli aeroporti, certi alberghi ecc. se uno fa entrare nella sua rete privata una persona dovrebbe perlomeno fidarsi o conoscerla o cambiare le credenziali subito dopo (non si sa mai nemmeno tra gli amici ) sulle lan cablate credo sia più facile (ma potrei sbagliarmi non sono molto ferrato) adottare contromisure.

    Scusate ma sono utonto volevo domandare a solo titolo informativo e di difesa come funzionano i cookie, ma i cokkie di per se con controllo hashmd5 e scadenza, non si rinnovano continuamente? nel senso un eventuale malintenzionato non potrebbe entrare nell'account xy solo per poco tempo? (a meno che non cambi la password una volta loggato al sito ovvio) se il ladro di biscotti ruba il cookie mentre l'utente è collegato e lo usa subito i siti non si accorgono di doppio login da due sistemi diversi o fanno caso solo all'ip di rete? e se l'utente si disconnette prima del malintenzionato non invalida il cookie?

    Magari ho fatto domande sceme ma è per capire.
    non+autenticato
  • Io la uso come una "feature"...
    No non è una battuta!
    Hai da vedere come si incrokkiano i siti di advertising quando in due o tre si scambiano qualche cookie.
    L'importante è non fidarsi delle password in "chiaro"...

    Del resto di cosa stiamo parlando?
    Da quando non è possibile sniffare le connessioni in chiaro (e quindi anche lo scambio dei cookies)?

    Avete presente wireshark e il suo predecessore ethereal?
    Non c'è difesa da questo!

    Salvo criptare tutto!
    Mah... mi pare che il tutto lascia il tempo che trova!
    non+autenticato
  • se non sbaglio da qualche tempo GMAIL usa forzatamente http.
    forse non lo usa al momento del login, dovrei controllare
    non+autenticato
  • gmail.com: Thawte SGC CA [128 bit]
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)