Non ho provato il giochetto, sia per motivi pratici che legali, ma la spiegazione linkata è credibile, ed il risulatto finale è che spiare connessioni ritenute sicure è relativamente semplice e decisamente difficile da rilevare.
Il programma in questione infatti è in grado di riprodurre gran parte dei segnali che distinguono un sito autentico da uno fasullo, addirittura tutti per gli utenti che usano Internet Explorer o Konqueror.
Gli utenti di firefox stanno solo un po' meglio, visto che per verificare l' autenticità di un sito devono controllare:
- che sia in https e non http
- che il sito sia esattamente quello previsto e non contenga caratteri "strani"
- che in basso a destra sia visibile un lucchetto con il nome del sito e solo quello (uno dei trucchi è creare un sito con un nome tipo:https://mail.google.com/vihofregati.cn )
Ovviamente questo vale per i siti cifrati, ma per molti (quasi tutte le webmail ed i social network per esempio) la crittografia è opzionale. Inoltre moltissimi hanno una pagina di login non cifrata da cui poi si accede a quella sicura, dando al programmino in questione la possibilità di interporsi, leggere quello che interessa, e poi rimandare al sito autentico senza darne segno all' utente.
Ma c'è di peggio: per esempio fineco,una delle magiori banche online italiane, ha non solo il login da una pagina http, ma nasconde tutte le connessioni cifrate in una pagina che non lo è, l' equivalente informatico di passare una mano di catrame su tutte le spie di sicurezza.
Identificare un cracker che cerca di rubare le nostre credenziali fineco è quasi impossibile: conosco un metodo ma è quasi più complicato che rubare la password del vicino di casa.
In sintesi vi consiglio caldamente di:
- stare alla larga da siti che chiedono di inserire password in chiaro (http:// , senza la s), e specialmente da quelli che mischiano pagine protette e non
- usare firefox
- tener d' occhio la barra in fondo a destra e non fidarsi del lucchetto in alto
Una precisazione: quando dico che usare questi trucchetti è relativamente semplice mi riferisco principalmente a reti relativamente aperte, tipo quelle wireless, aziendali/universitarie o gli internet point; con una rete domestica senza wi-fi la cosa è di regola più complicata, ma non sempre.
Mi rendo conto che sono discorsi un po' esoterici per nFA, credo sia utile parlarne perchè sono rischi cui sono esposti tutti e su cui la stampa è tradizionalmente incompetente.
Marcello, e Chrome? Come andiamo con Chrome? Torno a Firefox?
Non ne ho idea: potrebbe essere meglio o peggio, io mi son basato solo su quanto pubblicato dai "produttori" del software.Io non l' ho ancora provato.
Il documento è credibile, sia per il contenuto in se sia perchè è stato pubblicizzato su slashdot giorni fa e non è diventato una barzelletta.Il programma gira da troppo poco perchè gli abbiano fatto le pulci con calma, ma in linea di massima quel che sostiene di fare è ragionevole e, come dicono dalle tue parti, non è rocket science.
Beh, vediamo, dato che chrome si basa sullo stesso motore che fa girare Konqueror e Safari non dovrebbero esserci differenze.
Leggendo le slide del talk si puo' capire che tutti i browser attuali sono esposti a questo attacco, basta nascondersi dentro ad un link abbastanza lungo da non essere completamente visibile nella barra degli indirizzi.
Il punto fondamentale dell' intervento e': http e' insicuro, la gestione della catena delle certificazioni non e' verificata in modo impeccabile dai browser, quindi si possono fare le peggio porcate.
Inoltre c'e' il solito problema del supporto unicode, dei simboli grafici di lingue strane che assomigliano ad altri per cui qualcuno potrebbe registrare www.paypai.com (o qualcosa di simile) e mostrare il lucchetto, facendo cosi' cadere nel tranello un sacco di persone che pensano di essere su www.paypal.com