Dalla teoria alla pratica: come usare il conto in banca del vicino

24 febbraio 2009 marcello urbani

Le istruzioni, in inglese, le trovate qui, mentre qui si discute della diffusione del programma incriminato. Le vulnerabilità di cui ho scritto mesi fa richiedevano capacità non comuni, per questa basta uno studentello un po' sveglio.

Non ho provato il giochetto, sia per motivi pratici che legali, ma la spiegazione linkata è credibile, ed il risulatto finale è che spiare connessioni ritenute sicure è relativamente semplice e decisamente difficile da rilevare.

Il programma in questione infatti è in grado di riprodurre gran parte dei segnali che distinguono un sito autentico da uno fasullo, addirittura tutti per gli utenti che usano Internet Explorer o Konqueror.

Gli utenti di firefox stanno solo un po' meglio, visto che per verificare l' autenticità di un sito devono controllare:

  • che sia in https e non http
  • che il sito sia esattamente quello previsto e non contenga caratteri "strani"
  • che in basso a destra sia visibile un lucchetto con il nome del sito e solo quello (uno dei trucchi è creare un sito con un nome tipo:https://mail.google.com/vihofregati.cn )

Ovviamente questo vale per i siti cifrati, ma per molti (quasi tutte le webmail ed i social network per esempio) la crittografia è opzionale. Inoltre moltissimi hanno una pagina di login non cifrata da cui poi si accede a quella sicura, dando al programmino in questione la possibilità di interporsi, leggere quello che interessa, e poi rimandare al sito autentico senza darne segno all' utente.

Ma c'è di peggio: per esempio fineco,una delle magiori banche online italiane, ha non solo il login da una pagina http, ma nasconde tutte le connessioni cifrate in una pagina che non lo è, l' equivalente informatico di passare una mano di catrame su tutte le spie di sicurezza.

Identificare un cracker che cerca di rubare le nostre credenziali fineco è quasi impossibile: conosco un metodo ma è quasi più complicato che rubare la password del vicino di casa.

In sintesi vi consiglio caldamente di:

  1. stare alla larga da siti che chiedono di inserire password in chiaro (http:// , senza la s), e specialmente da quelli che mischiano pagine protette e non
  2. usare firefox
  3. tener d' occhio la barra in fondo a destra e non fidarsi del lucchetto in alto

Una  precisazione: quando dico che usare questi trucchetti è relativamente semplice mi riferisco principalmente a reti relativamente aperte, tipo quelle wireless, aziendali/universitarie o gli internet point; con una rete domestica senza wi-fi la cosa è di regola più complicata, ma non sempre.

Mi rendo conto che sono discorsi un po' esoterici per nFA, credo sia utile parlarne perchè sono rischi cui sono esposti tutti e su cui la stampa è tradizionalmente incompetente.

22 commenti (espandi tutti)

Marcello, e Chrome? Come andiamo con Chrome? Torno a Firefox?

Non ne ho idea: potrebbe essere meglio o peggio, io mi son basato solo su quanto pubblicato dai "produttori" del software.Io non l' ho ancora provato.

Il documento è credibile, sia per il contenuto in se sia perchè è stato pubblicizzato su slashdot giorni fa e non è diventato una barzelletta.Il programma gira da troppo poco perchè gli abbiano fatto le pulci con calma, ma in linea di massima quel che sostiene di fare è ragionevole e, come dicono dalle tue parti, non è rocket science.

sarebbe carino provarle le cose prima di farci degli articoli. Cosi', giusto per.

Abbi pazienza, ma si trattava di:

  • scaricare e compilare il programmino in questione
  • registrare un dominio ed un' autorità certificatrice
  • cercarsi un' amico che faccia da cavia o cercare davvero di fregare il vicino
  • smanettare finchè il tutto funziona

Non ho ne il tempo ne la voglia di farlo, tanto più che il programma è pubblicato e pubblicizzato su slashdot, per la prova sul campo aspetto il responso di chi ha più tempo ed esperienza in queste cose.Non me ne occupo per lavoro.

Beh, vediamo, dato che chrome si basa sullo stesso motore che fa girare Konqueror e Safari non dovrebbero esserci differenze.

Leggendo le slide del talk si puo' capire che tutti i browser attuali sono esposti a questo attacco, basta nascondersi dentro ad un link abbastanza lungo da non essere completamente visibile nella barra degli indirizzi.

Il punto fondamentale dell' intervento e': http e' insicuro, la gestione della catena delle certificazioni non e' verificata in modo impeccabile dai browser, quindi si possono fare le peggio porcate.

Inoltre c'e' il solito problema del supporto unicode, dei simboli grafici di lingue strane che assomigliano ad altri per cui qualcuno potrebbe registrare www.paypai.com (o qualcosa di simile) e mostrare il lucchetto, facendo cosi' cadere nel tranello un sacco di persone che pensano di essere su www.paypal.com

 

In https Firefox il nome del sito lo ripropone in basso a destra, se è lungo lo vedi immediatamente.E non si fa fregare dai certificati farlocchi.

Da che dicono questi visualizza in modo non standard i siti unicode per domini .com e simili (se lo fa non funziona quando i link non son validi, prova il falso paypal linkato prima).

Il grosso dei problemi vengono dall' interfaccia utente e dal controllo dei certificati, per cui usare lo stesso motore potrebbe essere irrilevante.

https://mail.google.com/vihofregati.cn

Scusa Marcello, ma come fa a funzionare questo trucco? https://mail.google.com.vihofregati.cn/ funziona ma non credo quello che dici

Anche quello che dico, basta usare un carattere unicode a forma di '/' che non è il '/': firefox è già abbastanza furbo da nasconderlo su vihofregati.com, ma su siti giapponesi/cinesi/coreani/... non è possibile farlo senza rendere illeggibili degli url legittimi.

In realtà poi un pirata userebbe una cosa tipo:

"https://mail.google.com/?qualcosa di illeggibile e decisamente più lungo della barra del browser che non ti faccia vedere il vero nome del sito/vihofregati.cn"

Alcuni browser sono meno furbi e si fanno fregare da cose stile "paypal.com" con la a che non è una vera a.

quello che dici non e' corretto, se l'URL comincia con https://mail.google.com finirai SEMPRE nei server di google, ammenocche' gmail non abbia vulnerabilita' di tipo cross-site scripting che ti consentono di essere rediretti su un altro sito; in genere questo tipo di problemi sono molto gravi e vengono risolti dopo poche ore.

Il fatto che sia unicode, illegibile o meno non conta, conta l'inizio dell'url.

Riguardo la furbizia del browser, non e' questione di essere furbi o meno, si tratta di rispettare quello a cui l'utente viene rediretto, paypal.com sara' sempre paypal.com, ti risulta che un browser possa visualizzare l'URL in UTF8? se la a non e' una "a" nella mail o qualche altro carattere nella barra del browser risultera' come %qualchenumero.

 

 

Non hai capito: il carattere dopo la .com non e' la slash, ma un qualche unicode strano che conoscono solo gli amici di marcello :-), per esempio #FF0F (vedi qui). Non so bene cosa mostri il browser se fai una cosa del genere.

 

quello che dici non e' corretto, se l'URL comincia con https://mail.google.com finirai SEMPRE nei server di google

Vero, ma se tu ci arrivi da un link contenuto in una pagina http o tramite reindirizzamento da http://mail.google.com il programmino in questione ti cambia l' indirizzo al volo e finisci su quello chilometrico.

Il fatto che sia unicode, illegibile o meno non conta, conta l'inizio dell'url.

Il giochetto dell' URL lungo serve a non farti notare che il sito certificato con cui sei collegato non è google.com ma tihofregato.com.
Digitando da subito https://mail.google.com bypassi il tutto ed arrivi sul sito giusto senza che nessuno possa spiarti.

Riguardo la furbizia del browser, non e' questione di essere furbi o meno, si tratta di rispettare quello a cui l'utente viene rediretto, paypal.com sara' sempre paypal.com, ti risulta che un browser possa visualizzare l'URL in UTF8? se la a non e' una "a" nella mail o qualche altro carattere nella barra del browser risultera' come %qualchenumero.

Non sempre.Per esempio nei siti cinesi i caratteri cinesi li vedi come tali.E qui vedi un link a paypal non fuunzionante: dopo averci clickato scambia la prima a con una vera e vedrai che funziona.

Da che dicono firefox modifica questi url (e da qui non sembrerebbe, ma resta da vedere che succede se il sito esiste) per i domini .com, ma per altri domini tipo .cn o .jp non lo fa.

Io sono abbastanza ignorante ma fin quì ci arrivavo.

quello che scrivi è molto importante, ma farlo entrare nella testa di utenti che se usano windows non si curano neanche di avere un antivirus ed un firewall (in entrata ed in uscita) e che nella migliore delle ipotesi persevera a non usare il campo ccn per mandare mail multiple, spargendo così indirizzi in lungo e in largo, come gli fai capire queste semplici regole di sicurezza?

 

 

grazie per averne parlato.

E giusto per aggiungere, per chi usa gmail, se andate su settings, sulla cartella "general" l'ultima riga e' "browser connection", selezionare https

Ottimo consiglio, però... il diavolo sta nei dettagli.

I settaggi utente hanno senso solo dopo il login: il programma in questione vi farebbe fare il login su un sito fasullo intercettato da lui, e solo dopo aver rubato la password vi manderebbe a quello vero.

Come diceva Antonio sopra (ed al netto dei trucchi esoterici di cui parlavo tempo fa), il contenuto di una pagina https è inviolabile, ma se passate da una connessione non protetta (http) può capitare di tutto.

Si parla spesso di "catena" della sicurezza perchè è l'anello più debole (quasi sempre l' utente) a determinare la resistenza dell' insieme.

Cerco di usare sempre Firefox per motivi di sicurezza, ma purtroppo molti servizi di home banking funzionano solo con Explorer, in particolare quando si tratta di atti di disposizione (bonifici, F24 ecc). Due su tutti: Poste Italiane e UbiBanca. Lo so perchè me l'ha confermato espressamente il customer care, per entrambi. Se utilizzi Firefox su Poste on line addirittura non riesci neanche a visualizzare le informazioni minime (movimenti, estratto conto).

E' un peccato. Va detto che firefox non è l' unico browser attento alla sicurezza (e magari nemmeno il più attento,ma personalmente lo trovo soddisfacente) e che explorer è migliorato molto negli ultimi anni, da quando ha il fiato di firefox sul collo.

Nessuno però è perfetto: in particolare non conosco nessun browser che evidenzi il destinatario effettivo di una pagina di login, che è appunto uno dei motivi per cui è difficile accorgersi di modifiche alle pagine di login non cifrate.

Inoltre in queste cose non ci sono certezze: molti malware oggi vengono da file pdf o oggetti flash, e non mancano quelli specifici per firefox.

Segnalo ai lettori di NfA questo utilissimo addon per FireFox che senza occupare spazio (schermo o memoria) in modo significativo svolge una funzione semplicissima e molto utile: consente di verificare  chi ha registrato l'indirizzo su cui ci si trova. In caso del benche' minimo indirizzo sospetto "whois" (o altro servizio equivalente) immediatamente smaschera i truffatori.

Questo e' il record di noisefromAmerika, ad esempio.

Questo e' il record di noisefromAmerika, ad esempio.

Non molto utile, pero', dato che come spesso accade per ragioni di privacy i dettagli del registrant sono quelli di un nominee:

Registrant ID:GODA-018419707
Registrant Name:Registration Private
Registrant Organization:Domains by Proxy, Inc.
Registrant Street1:DomainsByProxy.com
Registrant Street2:15111 N. Hayden Rd., Ste 160, PMB 353
Registrant Street3:
Registrant City:Scottsdale
Registrant State/Province:Arizona
Registrant Postal Code:85260
Registrant Country:US
Registrant Phone:+1.4806242599

 

Le grosse società si registrano come tali, quindi il tool è utile.

Stavamo parlando di banche; io non mi fiderei molto di una banca che fa registrare da un nominee il proprio sito web, ammesso che questo si verifichi.

Boh, per quello che devo fare io sul sito di PosteItaliane, ovvero controllare lista movimenti, varie ed eventuali con firefox e anche con safari non ho nessun problema :)

 

Ultime novità dal fronte: un paio di certificati che Safari, Chrome e IE prendono per buoni (uno per paypal ed uno, non utilizzabile, per *).Firefox ed Opera sono immuni a questo attacco.

Utilizzano un'altro trucchetto scovato dallo stesso autore citato sopra,Moxie Marlinspike, che è appena stato bannato da paypal per aver diffuso la notizia.

Resta vero, come molti hanno osservato, che attacchi meno sofisticati sono di gran lunga più diffusi.Ma anche che è meglio essere aggiornati sui rischi che corriamo in rete.

ciao Marcello

grazie della dritta, sono molto interessato all'argomento in quanto possessore di un conto Paypal. Fortunatamente, da tempo uso Firefox per questo genere di transazioni.

buona giornata e buon lavoro

 

Alessio

Inizia una nuova discussione

Login o registrati per inviare commenti