Wi-Fi: spopolano i programmi spioni come Firesheep. Dati a rischio, ma la colpa è dei siti poco sicuri

Non sono soltanto i famigerati hacker o le agenzie governative gli unici pericoli per la riservatezza delle nostre attività su internet. Basta un semplice software e chiunque può prendere visione non soltanto di quello che facciamo su internet, ma anche usurpare la nostra identità online. Una situazione che Darren Kitchen, amministratore di sistema in un'azienda aeronautica americana ed esperto in sicurezza definisce da "romanzo cyberpunk": "Quando le persone capiscono quanto sia facile banale e semplice prendere visione e anche modificare quanto gli altri fanno online restano quasi scioccate", ha aggiunto.

Un semplice programmino

Non servono più, infatti, fantasiosi strumenti, determinazione e tante ore libere a disposizione: per trasformarsi in 'spioni della rete' basta infatti un semplice programmino, chiamato Firesheep, e chiunque potrà vedere cosa gli utenti di una rete Wi-Fi non sicura stanno facendo, ripercorrendo per filo e per segno le loro orme digitali e anche loggandosi al loro posto sui siti visitati. Senza bisogno di tanta pubblicità, il software, facilissimo da usare e quindi senza necessità di particolari competenze 'piratesche', è stato scaricato un milione di volte negli ultimi tre mesi. E tutto questo senza che la maggior parte degli amministratori di siti web ne abbiano neanche sentito parlare. Firesheep, ha spiegato lo sviluppatore di software Eric Butler, "mette ancora più in evidenza la mancanza di crittografia end-to-end": in parole povere, la password che inseriamo per accedere a siti come Facebook, Twitter, Flickr, Amazon, eBay ecc., è crittografata, ma non così sono i cookies, cioè quei pezzi di codice che permettono di identificare il Pc, le impostazioni e altre informazioni private.

Il cookie

Firesheep 'afferra' il cookie, permettendo in pratica a chi ne viene in possesso di navigare al posto nostro e avere accesso ai nostri account personali. La colpa, ci tengono comunque a sottolineare gli analisti, è dei siti web poco sicuri, non della vulnerabilità delle reti Wi-Fi. Gli unici siti sicuri sono quelli che utilizzano il protocollo crittografico Transport Layer Security (TLS) o il suo predecessore Secure Sockets Layer (SSL) per tutta la durata della sessione. Questi protocolli - che cifrano la comunicazione dalla sorgente alla destinazione (end-to-end) sul livello di trasporto - sono utilizzati da PayPal e da molte banche, ma tantissimi altri siti che si spacciano per ultra-sicuri non lo fanno per evitare di rallentare la navigazione o di spendere troppo. Per averne la certezza, bisogna verificare che vi sia un piccolo lucchetto nell'angolo in basso del browser o che la Url inizi con “https” invece che con “http.” Facebook - dopo la beffa ai danni prima del presidente francese Nicolas Sarkozy, poi proprio del fondatore del sito, Mark Zuckerberg, il cui profilo è stato violato dai pirati informatici - ha introdotto la possibilità, al momento limitata a pochi utenti, di criptare la navigazione sul sito, ma non ancora come impostazione di default, così come Google ha fatto con la posta di Gmail. Il chief security officer di Facebook, Joe Sullivan. spera che questo succederà entro le prossime settimane. Fino a quando tutti i siti non avranno l'https, gli esperti consigliano di non usare le connessioni Wi-Fi se si devono inserire in rete informazioni sensibili come le coordinate bancarie o della carta di credito o i propri dati sanitari.

La rete Wi

Usare la rete Wi-Fi di casa è certo più sicuro, ma non del tutto, sempre a causa di programmi come Gerix WiFi Cracker, Aircrack-ng e Wifite, in grado di raccogliere le cosiddette 'chiavi deboli' per risalire alle password del legittimo proprietario della rete in pochi secondi e con un processo completamente automatizzato. Usando questi programmi, insieme a delle antenne Wi-Fi ad alta potenza - che costano circa 90 dollari - gli hacker possono spingere i segnali delle reti domestiche a chilometri di distanza ed esistono, inoltre, dispositivi di cracking computerizzati come WifiRobin (156 dollari). Come proteggersi, dunque? Gli esperti consigliano di cambiare il Service Set Identifier o SSID della rete wireless dal nome di default del router (come Linksys o Netgear) in qualcosa di meno prevedibile. Aiuta anche scegliere una password alfanumerica lunga e complessa. Vreare una rete privata virtuale (VPN) che cripta tutte le comunicazioni trasmesse in modalità wireless o dalla rete di casa a un hot spot è anche più sicuro, poichè i dati viaggiano dal Pc a un server sicuro prima di essre trasmessi su internet.

(18 febbraio 2011)

© 2002-2012 Key4biz