Logo Tom's Hardware

Firesheep: entrare nel Facebook altrui è un attimo

Una nuova estensione per Firefox permette di analizzare il traffico di una rete wireless pubblica ed eventualmente sottrarre i dati di accesso ad altri utenti, per poi entrare nei loro account Facebook, Twitter e altri.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Firesheep per Firefox rende il furto d'identità semplice come rubare caramelle a un bambino. Basta installare quest'estensione e collegarsi a una rete Wi-Fi pubblica per sottrarre i dati degli altri utenti in modo indolore e senza che nessuno si accorga di nulla.

Firefox

Firesheep è stata creata da Eric Butler, che ne ha dato annuncio lunedì a una conferenza di sviluppatori. L'estensione permette di esaminare i dati in transito sulle reti pubbliche, per estrarne diversi dati personali.

Lo sviluppatore, che si dice sorpreso del successo, ha creato questa estensione per esporre pubblicamente la scarsa sicurezza di numerosi siti Web, come Facebook, Twitter, Foursquare, ma anche banche e servizi più sensibili. Nella maggior parte dei casi questi servizi usano connessioni sicure (HTTPS/SSL) solo per la trasmissione dei dati d'accesso.

Una volta inseriti login e password però tutto il traffico è trasparente e facile da intercettare. Proprio quello che fa Firesheep: l'estensione analizza i dati in transito e ne estrae i cookie; ancora prima di usarli mostra a schermo immagine e nome dell'utente colpito. Una volta ottenuti questi piccoli file di testo si può entrare nei servizi citati con l'identità di un altro utente.

"[…] Su una rete Wi-Fi aperta i cookie sono sostanzialmente lanciati per aria, quindi è molto facile portare a compimento questo tipo di attacco", scrive Butler sul suo blog.

Come fa giustamente notare lo sviluppatore ha poco senso lavorare e sudare su nuove misure per proteggere la privacy, se poi si trascura un elemento come questo. L'unica soluzione è l'uso costante di connessioni sicure HTTPS o SSL da parte dei servizi web.

Resta il fatto che Firesheep permette a chiunque, esperto o no, di entrare in Facebook con l'account di un altro utente. Una situazione piuttosto pericolosa, e che forse spingerà questi servizi a cambiare approccio per quanto riguarda il tipo di connessione usata. In questo momento l'estensione è stata scaricata 250.000 volte circa, a meno di 48 ore dalla sua pubblicazione.

L'unica consolazione è che nella maggior parte dei casi Firesheep servirà a fare scherzi, magari di cattivo gusto ma innocui. Speriamo.

Leggi altri articoli