Non utilizzate le reti wireless pubbliche per navigare nel social network (e non solo)
In altre note avevamo avvisato della scarsa sicurezza delle reti wireless non protette (parliamo di quelle “aperte” a qualunque accesso, presenti in aeroporti, stazioni di servizio, alberghi, ma anche raggiungibili dalla propria abitazione).
Vi sono infatti (in verità ci sono sempre state) delle procedure in grado di “intercettare” le credenziali di accesso, inserite da chi le sta usando, per entrare in siti quali Facebook, Twitter, Flickr, Amazon, Windows Live e Google.
Il fenomeno si è ultimamente sviluppato in modo abnorme a causa della pubblicazione in rete di un plug-in per Firefox, liberamente scaricabile e installabile su qualunque pc, che permette anche al più sciocco dei lamer di accedere a tali dati, semplicemente mettendosi “in ascolto” (e in agguato) all’interno di tali reti.
Come funziona il meccanismo
Quando accediamo a un sito tramite l’inserimento di username e password, queste informazioni vengono inviate al server in maniera criptata e ci permettono di farci riconoscere. Ma tali siti, per continuare a comunicare con noi, ci rispondono installando sul nostro pc uno o più cookies (biscotti), dei piccoli file contenenti le nostre informazioni, ma NON in maniera criptata. Questa risposta può appunto essere intercettata e decodificata facilmente da chi utilizza questi programmi.
Schema (molto semplificato) del funzionamento delle “procedure di ascolto” su reti wireless pubbliche.
Non si tratta di una novità
Chi si occupa di sicurezza conosce tali procedure, e le utilizza per effettuare test di rete. E’ chiaro come possano essere sfruttate anche da malintenzionati, che per lo meno SANNO a quali rischi legali e penali possano andare incontro.
La pubblicazione di un plug-in (che in poche minuti ha raggiunto oltre mezzo milione di download) per uno dei più diffusi browser in circolazione ha purtroppo dato tale strumento in mano a tanti, tantissimi “piccoli” aspiranti hacker.
Il nostro consiglio
Le reti pubbliche wireless NON SONO MAI STATE SICURE. Il loro utilizzo va sempre LIMITATO alla navigazione in siti che NON PREVEDANO inserimenti di username e password.
NON vanno utilizzate per accedere alla propria casella postale, ai social network e a tutti quei siti che non prevedano una procedura di accesso criptata e sicura (nella barra del browser, riconoscibili per la presenza del prefisso https – e non mi soffermo sui particolari tecnici).
Anche se contromisure sono state adottate (altri plug-in, naturalmente), è meglio NON CORRERE RISCHI.
Il problema è di tipo strutturale, e risolvibile in modo efficace solo da chi gestisce i siti, e mediante l’uso di procedure di sicurezza adatte.
(Abbiamo scelto di rimanere sul vago proprio per evitare l’ulteriore diffusione di tali programmi)
P.S. Se gradite le nostre note, cliccate cortesemente su MiPiace: capita infatti che alcuni individui le segnalino come offensive e le facciano sparire. Questa brutta abitudine è contrastabile SOLO manifestando il proprio gradimento tramite il MiPiace e la condivisione (se il gradimento è reale, naturalmente).
SeeYouSoon
Nota a cura di Claudio Cerroni (Hunch – Assistenza e Consulenza Informatica).
Iscriviti alla nostra PaginaAggiornamenti per essere sempre aggiornato sui problemi di Facebook. Se vuoi ricevere le nostre note anche nella posta (per non fartele sfuggire), iscriviti anche al gruppo CheckOnLine.
CheckBlackList | PaginaAggiornamenti | News | Facebook | Toolbar | WorkingOn
