Cerca nel blog

2007/08/07

Gmail, Myspace, Hotmail e altri siti bucabili via Wifi

Usi il Wifi in giro? Occhio agli spioni, ti rubano la posta e l'identità


Questo articolo vi arriva grazie alle gentili donazioni di "pietrom****" e "flzgrl".

La conferenza di sicurezza informatica Defcon tenutasi pochi giorni fa a Las Vegas ha visto riuniti alcuni dei migliori smanettoni del mondo per presentare le loro scoperte. Son dolori per tutti: una delle segnalazioni più clamorose è la facilità con la quale si può non soltanto intercettare una connessione a Internet effettuata in un luogo pubblico tramite i tanti siti Wifi di alberghi, locali e Internet café, ma addirittura assumere l'identità dell'intercettato, raccogliere le sue informazioni personali, leggere la sua posta e sostituirsi a lui o lei in tutto e per tutto, senza conoscere alcuna password.

Robert Graham, della Errata Security, ha dimostrato spettacolarmente l'efficacia della propria tecnica d'intrusione prendendo il controllo di una sessione Web di Gmail e leggendo la posta della vittima durante la sua presentazione. Ha poi ripetuto la dimostrazione per i giornalisti rubando l'account di posta sacrificale di George Ou di ZDNet. Le foto sono qui.

L'attacco si basa sul fatto che la maggior parte degli accessi Wifi pubblici o a pagamento lavora senza cifratura, per semplicità, per cui il flusso di dati grezzo trasmesso via radio è intercettabile da chiunque sia dotato di un normale laptop con scheda Wifi e di un apposito programma sniffer che legge e decifra i dati che girano in chiaro nell'etere. Graham ha usato Ferret su Windows, ma ci sono moltissimi altri programmi analoghi, quasi tutti gratuiti e per tutti i principali sistemi operativi.

In sé questa non è una novità: da anni si sa che usare un Wifi non cifrato è un rischio. La novità è che Graham ha dimostrato che pescando dal flusso di dati i cookie (file temporanei mandati dai vari siti per gestire le sessioni), basta immettere questi cookie nel proprio browser (usando un apposito programma scritto da Graham, di nome Hamster, mostrato in azione nella foto tratta da TGdaily.com) per assumere l'identità della vittima o spiarne l'attività e la corrispondenza presso qualsiasi sito che gestisca le sessioni tramite cookie non cifrati: Gmail, Google Maps (per sapere dove abita la vittima rubandone i luoghi preferiti), Myspace, Hotmail, Facebook e tanti altri. Non occorre conoscere né nome utente, né password.

La falla, secondo Graham, sta nel fatto che le sessioni di questi siti non sono cifrate completamente: lo sono soltanto all'inizio, quando ci si collega e si immettono i propri codici d'accesso. Da quel punto in poi, le sessioni proseguono in chiaro, sfruttando i cookie come chiavi di sessione per "garantire" (si fa per dire) l'identità dell'utente.

I rimedi sono di vario genere. Chi sa usare una shell protetta (Secure Shell, SSH) o una rete privata virtuale (Virtual Private Network, VPN) è bene che la usi: evitare gli accessi Wifi non cifrati è comunque altamente consigliabile; e in ogni caso la sessione andrebbe cifrata interamente ove possibile. Per esempio, Gmail non cifra la sessione se vi si accede digitando http://mail.google.com, ma lo fa se si digita https:// al posto di http://.

Purtroppo la maggior parte degli utenti non sa neppure di essere esposta a questo genere di rischio e quindi dissemina infinite tracce della propria identità che chiunque può raccogliere. Non sapendolo, non sa neanche di dover prendere delle contromisure, e i siti hanno la loro parte di responsabilità nel non gestire di default le sessioni usando la cifratura.

16 commenti:

Unknown ha detto...

Grazie per informazione e che dire
come hai detto tu
sono dolori...

dyk74 ha detto...

se la comunicazione WiFi in chiaro non e' affatto sicura ricordiamoci di NON usare la cifratura WEP! E' solo un palliativo visto che e' altrettanto inutile. Usiamo piuttosta la cifratura WPA, WPA2 o altre.

CIAO CIAO

Exodus68 ha detto...

Ci vorra' ancora una generazione abbondante prima che tutti i nuovi nati (a parte ovviamente gli abitanti di zone represse come il terzo mondo o bidonville varie intorno a grandi citta' soprattutto del sud america) acquisiscano una naturale coscienza di quello che fanno in ambito informatico/internet.

Vedo mia nipote, 17 anni, che un computer sa cos'e', lo sa usare, ci si muove anche bene... io a 17 anni ne sapevo meno di lei* sebbene i computer di allora fossero molto piu semplici (parliamo di 22 anni fa).

Ivo - Modena

*Pero' devo dire che chi, come me, e' nato con la nascita degli Home Computer, oggi ha una reale conoscenza del "modo di pensare" di un PC. I concetti di base Bit, Byte, File... a molti sono piuttosto ostici, mentre sanno molto bene come accendere un PC, spegnerlo, scaricare file, posta,e cc...

Valerio ha detto...

segnalo che l'estensione per Firefox CustomizeGooogle ha una comoda opzione, nel menù GMail, per usare automaticamente la sessione cifrata.

mattia ha detto...

Mi sa che dorvò studiare molto di più questa faccenda. Io in effetti una connessione con un WISP. Comodissima, non vi lascio immaginare il piacere di connettersi a 1 Mbps senza dovere pagare il balzello del canone telefonico.
Però, cavoli... la rete non è protetta! L'unico controllo che esiste (anche per non far scroccare la connessione ad altri che non pagano) è che devi avere un determinato IP, con subnetmask, gateway e dns che ti danno loro.
Però non c'è niente altro, niente WEP, niente username o password...
Io poi ridistribuisco a casa mia la connessione su rete protetta... ma da casa mia al WISP???
Dite che mi devo limitare a cose "non importanti" quando uso questa connessione???

Fabio Ranghiero ha detto...

Ne approfitto per chiedere.... nella mia rete wifi non ho nessuna wep o wpa però ho abilitato il mac address perchè, mi han detto, è l'unico che garantisce l'accesso ai soli pc a cui ho dato il permesso. E' vero?
Grazie, ciao!

Gibbone ha detto...

@Fabio: no, in realtà è abbastanza facile impostare un MAC address a piacimento sul proprio pc, quindi il tuo sistema di protezione è facilmente bucabile. Certo, se usi il wifi per una rete domestica non penso che in molti abbiano interesse a bucartela...

Dan ha detto...

Ma il MAC address non era specifico dell'hardware di ogni interfaccia rete? Può essere emulato e falsificato anche quello?

Gibbone ha detto...

Esatto. L'unica "difficoltà" a quel punto diventa reperire lista (ma anche uno solo) degli indirizzi MAC consentiti. Certo, nessuno si smazzerà mai per rubare un po' di banda a una rete domestica, magari con adsl 2Mbit, ma il responsabile informatico dell'azienda in cui lavoro (e tieni presente che abbiamo dati sensibili di migliaia di persone ni nostri db) è ancora convinto dell'efficacia di questa soluzione di pseudosicurezza... mah

Unknown ha detto...

Se ho capito bene l'articolo si riferisce a sessioni wi-fi non cifrate. Usando cifrature che vanno dalla blanda wep alla più robusta wpa2 gli sniffer raccolgono dati poco comprensibili giusto?

gigiv ha detto...

Gmail ha un accesso httpS, usatelo!

da wikipedia:
L'HTTPS è un URI (Uniform Resource Identifier) sintatticamente identico allo schema http:// ma con la differenza che gli accessi vengono effettuati sulla porta 443 e tra il protocollo TCP e HTTP si interpone un livello di crittografia/autenticazione.

Fabio Ranghiero ha detto...

Grazie. Ma da quel che ho capito wep wpa & soci sono facilmente aggirabili nel giro di una mezzoretta (non lo faccio io ma me l'ha confermato sempre un tecnico di rete).

Invece per il mac bisogna appunto avere la lista dei pc ammessi, e questi devono pure essere spenti giusto?

E come si fa ad avere la lista se non si riesce ad avere accesso al router?

Unknown ha detto...

Si può sniffare i pacchetti che circolano tra access point e pc per sapere quali indirizzi mac stanno utilizzando.

Dan ha detto...

"Certo, nessuno si smazzerà mai per rubare un po' di banda a una rete domestica, magari con adsl 2Mbit, ma il responsabile informatico dell'azienda in cui lavoro (e tieni presente che abbiamo dati sensibili di migliaia di persone ni nostri db) è ancora convinto dell'efficacia di questa soluzione di pseudosicurezza... mah"
Il "nessuno lo farà mai" è abbastanza relativo, perchè anche se non ti rubano banda o il numero della carta di credito, c'è sempre il vandalismo per il gusto di farlo... quindi meno entrano meglio è.
Quanto al "tecnico" della tua azienda, forse una dimostrazione in diretta di quanto basti per superare la sicurezza del MAC address potrebbe convincerlo...

"Grazie. Ma da quel che ho capito wep wpa & soci sono facilmente aggirabili nel giro di una mezzoretta (non lo faccio io ma me l'ha confermato sempre un tecnico di rete)."
Occorre fare una distinzione: WEP ormai può essere aggirato in un minuto circa; WPA e successivi hanno ancora un tempo di decriptazione troppo lungo e quindi rimangono sicuri a quel che so. Se si usa una buona password e la si cambia di tanto in tanto non ci sono problemi.

Barbuz ha detto...

Ma le poste non hanno la cifratura? Quando accedo alla mia casella con le poste (non uso la Whifi ma la LAN) per svuotare la cartella spam la connessione è protetta dal momento in cui gli do user e password praticamente finché non vado a chiudere la pagina o non decida di tornare alla homepage del sito.
Ovviamente accetto risposte dagli esperti!

Dan ha detto...

Basta che controlli che in ogni pagina l'inizio dell'indirizzo sia https anzichè http, come ha detto Paolo. Questo ti assicura che la connessione sia cifrata.