Dalla teoria alla pratica: come usare il conto in banca del vicino

/ Articolo / Dalla teoria alla pratica: come usare il conto in banca del vicino
  • Condividi
Marcello Urbani

Le istruzioni, in inglese, le trovate qui, mentre qui si discute della diffusione del programma incriminato. Le vulnerabilità di cui ho scritto mesi fa richiedevano capacità non comuni, per questa basta uno studentello un po' sveglio.

Non ho provato il giochetto, sia per motivi pratici che legali, ma la spiegazione linkata è credibile, ed il risulatto finale è che spiare connessioni ritenute sicure è relativamente semplice e decisamente difficile da rilevare.

Il programma in questione infatti è in grado di riprodurre gran parte dei segnali che distinguono un sito autentico da uno fasullo, addirittura tutti per gli utenti che usano Internet Explorer o Konqueror.

Gli utenti di firefox stanno solo un po' meglio, visto che per verificare l' autenticità di un sito devono controllare:

  • che sia in https e non http
  • che il sito sia esattamente quello previsto e non contenga caratteri "strani"
  • che in basso a destra sia visibile un lucchetto con il nome del sito e solo quello (uno dei trucchi è creare un sito con un nome tipo:https://mail.google.com/vihofregati.cn )

Ovviamente questo vale per i siti cifrati, ma per molti (quasi tutte le webmail ed i social network per esempio) la crittografia è opzionale. Inoltre moltissimi hanno una pagina di login non cifrata da cui poi si accede a quella sicura, dando al programmino in questione la possibilità di interporsi, leggere quello che interessa, e poi rimandare al sito autentico senza darne segno all' utente.

Ma c'è di peggio: per esempio fineco,una delle magiori banche online italiane, ha non solo il login da una pagina http, ma nasconde tutte le connessioni cifrate in una pagina che non lo è, l' equivalente informatico di passare una mano di catrame su tutte le spie di sicurezza.

Identificare un cracker che cerca di rubare le nostre credenziali fineco è quasi impossibile: conosco un metodo ma è quasi più complicato che rubare la password del vicino di casa.

In sintesi vi consiglio caldamente di:

  1. stare alla larga da siti che chiedono di inserire password in chiaro (http:// , senza la s), e specialmente da quelli che mischiano pagine protette e non
  2. usare firefox
  3. tener d' occhio la barra in fondo a destra e non fidarsi del lucchetto in alto

Una  precisazione: quando dico che usare questi trucchetti è relativamente semplice mi riferisco principalmente a reti relativamente aperte, tipo quelle wireless, aziendali/universitarie o gli internet point; con una rete domestica senza wi-fi la cosa è di regola più complicata, ma non sempre.

Mi rendo conto che sono discorsi un po' esoterici per nFA, credo sia utile parlarne perchè sono rischi cui sono esposti tutti e su cui la stampa è tradizionalmente incompetente.

Indietro

Commenti

Ci sono 22 commenti

Marcello, e Chrome? Come andiamo con Chrome? Torno a Firefox?

Non ne ho idea: potrebbe essere meglio o peggio, io mi son basato solo su quanto pubblicato dai "produttori" del software.Io non l' ho ancora provato.

Il documento è credibile, sia per il contenuto in se sia perchè è stato pubblicizzato su slashdot giorni fa e non è diventato una barzelletta.Il programma gira da troppo poco perchè gli abbiano fatto le pulci con calma, ma in linea di massima quel che sostiene di fare è ragionevole e, come dicono dalle tue parti, non è rocket science.

Beh, vediamo, dato che chrome si basa sullo stesso motore che fa girare Konqueror e Safari non dovrebbero esserci differenze.

Leggendo le slide del talk si puo' capire che tutti i browser attuali sono esposti a questo attacco, basta nascondersi dentro ad un link abbastanza lungo da non essere completamente visibile nella barra degli indirizzi.

Il punto fondamentale dell' intervento e': http e' insicuro, la gestione della catena delle certificazioni non e' verificata in modo impeccabile dai browser, quindi si possono fare le peggio porcate.

Inoltre c'e' il solito problema del supporto unicode, dei simboli grafici di lingue strane che assomigliano ad altri per cui qualcuno potrebbe registrare www.paypai.com (o qualcosa di simile) e mostrare il lucchetto, facendo cosi' cadere nel tranello un sacco di persone che pensano di essere su www.paypal.com

 

mail.google.com/vihofregati.cn

Scusa Marcello, ma come fa a funzionare questo trucco? mail.google.com.vihofregati.cn funziona ma non credo quello che dici

Anche quello che dico, basta usare un carattere unicode a forma di '/' che non è il '/': firefox è già abbastanza furbo da nasconderlo su vihofregati.com, ma su siti giapponesi/cinesi/coreani/... non è possibile farlo senza rendere illeggibili degli url legittimi.

In realtà poi un pirata userebbe una cosa tipo:

"https://mail.google.com/?qualcosa di illeggibile e decisamente più lungo della barra del browser che non ti faccia vedere il vero nome del sito/vihofregati.cn"

Alcuni browser sono meno furbi e si fanno fregare da cose stile "paypal.com" con la a che non è una vera a.

Io sono abbastanza ignorante ma fin quì ci arrivavo.

quello che scrivi è molto importante, ma farlo entrare nella testa di utenti che se usano windows non si curano neanche di avere un antivirus ed un firewall (in entrata ed in uscita) e che nella migliore delle ipotesi persevera a non usare il campo ccn per mandare mail multiple, spargendo così indirizzi in lungo e in largo, come gli fai capire queste semplici regole di sicurezza?

 

 

grazie per averne parlato.

E giusto per aggiungere, per chi usa gmail, se andate su settings, sulla cartella "general" l'ultima riga e' "browser connection", selezionare https

Cerco di usare sempre Firefox per motivi di sicurezza, ma purtroppo molti servizi di home banking funzionano solo con Explorer, in particolare quando si tratta di atti di disposizione (bonifici, F24 ecc). Due su tutti: Poste Italiane e UbiBanca. Lo so perchè me l'ha confermato espressamente il customer care, per entrambi. Se utilizzi Firefox su Poste on line addirittura non riesci neanche a visualizzare le informazioni minime (movimenti, estratto conto).

E' un peccato. Va detto che firefox non è l' unico browser attento alla sicurezza (e magari nemmeno il più attento,ma personalmente lo trovo soddisfacente) e che explorer è migliorato molto negli ultimi anni, da quando ha il fiato di firefox sul collo.

Nessuno però è perfetto: in particolare non conosco nessun browser che evidenzi il destinatario effettivo di una pagina di login, che è appunto uno dei motivi per cui è difficile accorgersi di modifiche alle pagine di login non cifrate.

Inoltre in queste cose non ci sono certezze: molti malware oggi vengono da file pdf o oggetti flash, e non mancano quelli specifici per firefox.

Boh, per quello che devo fare io sul sito di PosteItaliane, ovvero controllare lista movimenti, varie ed eventuali con firefox e anche con safari non ho nessun problema :)

 

Ultime novità dal fronte: un paio di certificati che Safari, Chrome e IE prendono per buoni (uno per paypal ed uno, non utilizzabile, per *).Firefox ed Opera sono immuni a questo attacco.

Utilizzano un'altro trucchetto scovato dallo stesso autore citato sopra,Moxie Marlinspike, che è appena stato bannato da paypal per aver diffuso la notizia.

Resta vero, come molti hanno osservato, che attacchi meno sofisticati sono di gran lunga più diffusi.Ma anche che è meglio essere aggiornati sui rischi che corriamo in rete.

ciao Marcello

grazie della dritta, sono molto interessato all'argomento in quanto possessore di un conto Paypal. Fortunatamente, da tempo uso Firefox per questo genere di transazioni.

buona giornata e buon lavoro

 

Alessio