Gli sviluppatori di Firesheep, un’estensione gratuita per Mozilla Firefox (nelle versioni destinate ai sistemi Windows e Mac OS X) che consente di “spiare” agevolmente il traffico dati su una connessione wireless pubblica, sono ormai da giorni protagonisti di incessanti discussioni. Come avevamo illustrato in questa precedente notizia, Firesheep consente a chiunque di analizzare i dati in transito attraverso un access point od un “hot spot” Wi-Fi condiviso con altri utenti esponendo gli altrui dati di accesso a famosi siti web come Facebook, Twitter, Flickr, Amazon, Windows Live ed ai servizi di Google.
Come hanno ricordato nella presentazione del loro lavoro (ved. questo materiale) Eric Butler e Ian Gallagher – questi i nomi degli autori dell’estensione Firesheep -, nella maggior parte delle applicazioni web, una volta portata a termina la procedura di login, il contenuto dei cookie creati sul sistema dell’utente (utilizzati per evitare, ogni volta, un nuovo inserimento di nome utente e password personali) viene scambiato tra client e server in chiaro.
Con un semplice comando è cosa immediata, per un malintenzionato, porsi in ascolto su una connessione Wi-Fi “aperta” ed attendere la trasmissione di un cookie contenente username e password appartenenti ad altri utenti.
Per i detrattori, Firesheep avrebbe reso tremendamente più semplice per un malintenzionato accaparrarsi l’altrui identità, ad esempio, per compiere operazioni illecite o per sottrarre informazioni personali. Per gli altri, invece, l’estensione messa a punto dal duo Butler-Gallagher ha il merito di aver riacceso l’attenzione pubblica su un tema troppo spesso sottovalutato.
E le prime reazioni cominciano già ad arrivare. Microsoft, ad esempio, ha dichiarato che presto (probabilmente entro la fine di novembre, secondo fonti non ufficiali) convertirà i suoi servizi Hotmail e Windows Live all’utilizzo di SSL. Nell’impostazione correntemente utilizzata, infatti, solamente i dati di login vengono crittografati mentre i cookie sono trasmessi come testo in chiaro.
Anche i vertici di Facebook hanno dichiarato che il social network si prenderà carico del problema cifrando per intero le connessioni nel corso dei mesi a venire.
Nei giorni scorsi è stato messo a punto, da un universitario islandese, un software battezzato FireSheperd. Il suo obiettivo consiste nel mettere “i bastoni tra le ruote” a Firesheep veicolando, attraverso la connessione Wi-Fi, false richieste che provocano il crash dell’estensione. Si tratta di un approccio che comunque non risolve il problema alla radice.