Pensateci due volte prima di accedere a Facebook con accesso WiFi gratuito – a meno che non ti dispiaccia ficcanaso lettura e potenzialmente alterare il tuo profilo.
Uno sviluppatore di software spera di educare gli utenti sui pericoli dell’utilizzo di reti WiFi non protette con un programma per computer che rende facile hackerare gli account Facebook e Twitter.
Con un download di Firesheep, un plug-in per il browser web Mozilla FireFox, tutto ciò che serve è pazienza e un paio di clic per accedere al profilo di qualcuno su una varietà di siti web, tra cui anche il sito di condivisione di foto Flickr e la piattaforma di blogging WordPress.
La storia continua sotto pubblicità
Il programma annusa i log-on sulla rete e collega gli utenti Firesheep con quegli account.
“I siti web hanno la responsabilità di proteggere le persone che dipendono dai loro servizi. Hanno ignorato questa responsabilità per troppo tempo, ed è tempo per tutti di chiedere un web più sicuro”, ha scritto Eric Butler di Seattle in un post sul blog che spiega il suo programma.
Butler, che ha rifiutato le richieste di intervista, ha detto che non tutti i siti Web sono vulnerabili a Firesheep, ma troppi siti non sono abbastanza sicuri per contrastare gli hacker. Mentre le informazioni di accesso digitate possono essere protette, le informazioni di identificazione dell’utente nei cookie-piccoli file di testo a cui i siti Web accedono sul computer di un utente – non lo sono.
“Su una rete wireless aperta, i cookie sono fondamentalmente urlati attraverso l’aria, rendendo questi attacchi estremamente facili”, ha scritto Butler.
” L’unica soluzione efficace per questo problema è la crittografia completa end-to-end, nota sul web come HTTPS o SSL.”
In poco più di 24 ore, Firesheep è stato scaricato più di 129.000 volte. Tra gli utenti c’era Ian Robertson, un professionista IT di Ottawa che ha portato il suo laptop in un paio di caffetterie locali per dare al programma un test drive con un collega.
“Sono stato in grado di vedere circa una mezza dozzina di account su Facebook ed è stato in grado di accedere effettivamente ai loro account, visualizzare tutte le loro foto, tutte le loro informazioni private, i loro numeri di telefono – qualsiasi cosa”, ha detto Robertson.
La storia continua qui sotto pubblicità
“Solo per un test con uno dei miei colleghi ho effettuato l” accesso al suo profilo e sono stato in grado di cambiare il suo stato di singolo. E nel giro di circa 10 minuti la sua ragazza ha commentato e ha detto, ‘ Perché??'”
Robertson si è detto sorpreso di quanto fosse facile da usare ed era preoccupato che altri potessero scaricarlo per scopi molto più dannosi di lui.
“Ti senti un po’ potente, immagino, come se potessi andare lì e spammare via se lo volessi”, ha detto.
Firesheep è sul radar del commissario per la privacy del Canada, ma non ci sono state richieste pubbliche sul programma e non vi è alcuna indagine in corso, ha detto la portavoce Anne-Marie Hayden.
Ha fatto notare la protezione delle informazioni personali e documenti elettronici Act richiede che le aziende utilizzano garanzie per proteggere i dati personali.
” Le informazioni personali sono protette da misure di sicurezza adeguate alla sensibilità delle informazioni. Le garanzie di sicurezza proteggono le informazioni personali contro la perdita o il furto, nonché l’accesso non autorizzato, la divulgazione, la copia, l’uso o la modifica”, si legge nella Sezione 7 della legge, che afferma anche che la protezione dovrebbe includere misure fisiche e tecnologiche “ad esempio, l’uso di password e crittografia.”
” Poiché non abbiamo indagato su questo problema, non possiamo dire se un particolare sito abbia violato la disposizione di salvaguardia di (the act)”, ha detto Hayden.
In una dichiarazione, Facebook ha detto che sta lavorando a rafforzare la sua crittografia e ha messo in guardia sui rischi di utilizzare il sito tramite WiFi.
“Abbiamo fatto progressi testando l’accesso SSL a Facebook e speriamo di fornirlo come opzione nei prossimi mesi”, si legge nella dichiarazione.
” Come sempre, consigliamo alle persone di usare cautela quando inviano o ricevono informazioni su reti Wi-Fi non protette.”
Kris Constable, fondatore della società con sede a Victoria PrivaSecTech, ha detto che i problemi di sicurezza posti dalle reti wireless non sicure potrebbero essere una notizia per il grande pubblico, ma sono stati a lungo sfruttati dagli hacker.
Firesheep toglie solo la barriera all’ingresso per gli hacker aspiranti.
“La cosa che ha fatto è reso l’attacco molto più bello … è un po ‘come appare l’hacking nei film”, ha detto Constable.
Spera che Firesheep possa finalmente esercitare una pressione sufficiente sui leader aziendali per investire in una migliore crittografia.
“Quando aggiungi qualcosa come la crittografia a qualsiasi tecnologia, le aziende costeranno di più da implementare, quindi non sono motivate a farlo, anche se renderà le persone più sicure”, ha detto.
” Ma si spera (Firesheep) costringerà le aziende a utilizzare più crittografia e penso con più consapevolezza … la gente sta per iniziare a pensare in realtà, ‘ Beh, forse quando ho intenzione di parlare di cose sensibili ho bisogno di iniziare a crittografare le mie e-mail.’La gente inizierà a pensare con ogni sito web che vanno a e ogni e-mail che inviano, ‘È criptato o no?'”
Per la protezione contro ottenere violato durante l’utilizzo di open WiFi, Butler raccomanda un altro plug-in di FireFox chiamato HTTPS-Everywhere, creato dalla Electronic Frontier Foundation. Protegge contro la fuoriuscita di dati durante l’utilizzo di siti come Facebook, Twitter, Amazon, WordPress.com blog e PayPal.