Cerca nel blog

2007/08/07

Gmail, Myspace, Hotmail e altri siti bucabili via Wifi

Usi il Wifi in giro? Occhio agli spioni, ti rubano la posta e l'identità


Questo articolo vi arriva grazie alle gentili donazioni di "pietrom****" e "flzgrl".

La conferenza di sicurezza informatica Defcon tenutasi pochi giorni fa a Las Vegas ha visto riuniti alcuni dei migliori smanettoni del mondo per presentare le loro scoperte. Son dolori per tutti: una delle segnalazioni più clamorose è la facilità con la quale si può non soltanto intercettare una connessione a Internet effettuata in un luogo pubblico tramite i tanti siti Wifi di alberghi, locali e Internet café, ma addirittura assumere l'identità dell'intercettato, raccogliere le sue informazioni personali, leggere la sua posta e sostituirsi a lui o lei in tutto e per tutto, senza conoscere alcuna password.

Robert Graham, della Errata Security, ha dimostrato spettacolarmente l'efficacia della propria tecnica d'intrusione prendendo il controllo di una sessione Web di Gmail e leggendo la posta della vittima durante la sua presentazione. Ha poi ripetuto la dimostrazione per i giornalisti rubando l'account di posta sacrificale di George Ou di ZDNet. Le foto sono qui.

L'attacco si basa sul fatto che la maggior parte degli accessi Wifi pubblici o a pagamento lavora senza cifratura, per semplicità, per cui il flusso di dati grezzo trasmesso via radio è intercettabile da chiunque sia dotato di un normale laptop con scheda Wifi e di un apposito programma sniffer che legge e decifra i dati che girano in chiaro nell'etere. Graham ha usato Ferret su Windows, ma ci sono moltissimi altri programmi analoghi, quasi tutti gratuiti e per tutti i principali sistemi operativi.

In sé questa non è una novità: da anni si sa che usare un Wifi non cifrato è un rischio. La novità è che Graham ha dimostrato che pescando dal flusso di dati i cookie (file temporanei mandati dai vari siti per gestire le sessioni), basta immettere questi cookie nel proprio browser (usando un apposito programma scritto da Graham, di nome Hamster, mostrato in azione nella foto tratta da TGdaily.com) per assumere l'identità della vittima o spiarne l'attività e la corrispondenza presso qualsiasi sito che gestisca le sessioni tramite cookie non cifrati: Gmail, Google Maps (per sapere dove abita la vittima rubandone i luoghi preferiti), Myspace, Hotmail, Facebook e tanti altri. Non occorre conoscere né nome utente, né password.

La falla, secondo Graham, sta nel fatto che le sessioni di questi siti non sono cifrate completamente: lo sono soltanto all'inizio, quando ci si collega e si immettono i propri codici d'accesso. Da quel punto in poi, le sessioni proseguono in chiaro, sfruttando i cookie come chiavi di sessione per "garantire" (si fa per dire) l'identità dell'utente.

I rimedi sono di vario genere. Chi sa usare una shell protetta (Secure Shell, SSH) o una rete privata virtuale (Virtual Private Network, VPN) è bene che la usi: evitare gli accessi Wifi non cifrati è comunque altamente consigliabile; e in ogni caso la sessione andrebbe cifrata interamente ove possibile. Per esempio, Gmail non cifra la sessione se vi si accede digitando http://mail.google.com, ma lo fa se si digita https:// al posto di http://.

Purtroppo la maggior parte degli utenti non sa neppure di essere esposta a questo genere di rischio e quindi dissemina infinite tracce della propria identità che chiunque può raccogliere. Non sapendolo, non sa neanche di dover prendere delle contromisure, e i siti hanno la loro parte di responsabilità nel non gestire di default le sessioni usando la cifratura.

Nessun commento: