Nei giorni scorsi abbiamo abbondantemente parlato di Firesheep, una “provocatoria” estensione per Mozilla Firefox (supportati i sistemi operativi Windows e Mac OS X) che consente a chiunque, con uno sforzo praticamente nullo, di intercettare il traffico dati diretto verso famosi siti web (Facebook, Twitter, Flickr, Amazon, Windows Live, i vari servizi di Google) e di assumere immediatamente l’identità di un altro inconsapevole utente. L’attacco è particolarmente pericoloso, ad esempio, se sferrato su reti wireless pubbliche. In questi casi, infatti, il malintenzionato può sottarre username e password di altre persone e consultare i dati personali, relativi agli utenti presi di mira, memorizzati sui vari siti web.
In questi articoli abbiamo spiegato come avviene l’aggressione evidenziando come il problema risieda nello scambio, tra client e server, dei cookie contenenti i dati di autenticazione dell’utente.
Zscaler, azienda statunitense che si occupa di sicurezza, ha rilasciato in queste ore un’estensione battezzata Blacksheep (la “pecora nera“; il download è effettuabile facendo riferimento a questa pagina). Una volta installata in Mozilla Firefox, l’estensione è in grado di smascherare l’attività di Firesheep all’interno della medesima rete Wi-Fi. Blacksheep effettua, ogni cinque minuti, delle “connessioni civetta” verso i vari siti web “monitorati” da Firesheep. Le richieste HTTP inviate da Blacksheep sono basate sull’impiego di cookie contenenti username e password “fasulli”. L’estensione messa a punto da Zscaler si mette contemporaneamente in ascolto avviando, essa stessa, un’attività di “sniffing” sull’interfaccia wireless: nel caso in cui dovesse rilevare richieste di connessione verso Facebook, Twitter o gli altri siti controllati che utilizzino i falsi dati di autenticazione precedentemente “lanciati” sulla rete, Blacksheep esporrebbe all’utente un messaggio d’allerta. Si tratterebbe della prova inconfutabile della presenza di uno “spione” connesso alla medesima rete Wi-Fi.