Volete ottenere la password di un utente? Il modo più semplice per farlo è: chiedergliela.
Su questo principio si basa la “disciplina” del social engineering, cioè l’arte di aggirare degli sprovveduti per ottenere l’accesso ai loro dati sensibili.
Sembra incredibile, eppure spesso funziona meglio di un qualsiasi script.
Ora, la forma più banale di social engineering prevede l’accesso diretto alla macchina del malcapitato, o comunque al suo account su un determinato computer. Se questa può sembrare un’ipotesi remota per un utente “casalingo medio” (”mica lascio il mio pc in mano agli sconosciuti!”), non lo è in un contesto lavorativo o di accesso pubblico alla rete, come gli internet point.
Un esempio banale è fare un salto all’Apple Store, controllare la posta, e poi dimenticarsi di fare il logout (ehm..): addio account di posta! Per fortuna che in Italia l’utente medio ancora fatica a capire il concetto di autenticazione..
Ci sono una serie di accorgimenti che è bene avere presenti per la sicurezza dei nostri dati, ed in particolare bisogna prestare un occhio in più se abbiamo l’abitudine di far salvare le nostre password a Firefox.
Vediamo come.
La premessa fondamentale è che: nessuno ti chiederà mai la tua password.
Questo è un principio che si può applicare sostanzialmente in ogni contesto, perchè è alla base del concetto di autenticazione. Le password, anche le più stupide o che danno accesso a servizi di cui ci interessa poco, sono comunque degli strumenti preziosi, che andrebbero sempre custoditi con un occhio di riguardo, a prescindere dal contesto.
In teoria andrebbero imparate a memoria, o nel caso siano in numero esorbitante, annotate su qualche foglio (cartaceo e reale!) e messe in un posto sicuro. Hai visto mai dovessi perdere la memoria!
E’ però vero che spesso è noioso inserire ad ogni accesso i propri dati, per cui normalmente si ha l’abitudine di spuntare l’opzione “ricorda i miei dati ad ogni accesso”. Che è cosa buona e giusta, come negarlo. Ma bisogna capire bene la faccenda.
Come fa il sito a ricordarsi la password inserita? Con i cookie, i biscotti. Sono dei minuscoli filetti che contengono delle informazioni sul navigatore, la password ma anche altre cose, che vengono salvati in una directory specifica del proprio sistema, di solito in corrispondenza dell’installazione del browser.
Quindi sono nient’altro che dati scritti dal sito che stiamo navigando sul nostro computer, in un processo trasparente all’utente. Nel senso che non ce ne accorgiamo. Normalmente il risultato è costruttivo, ma spesso tra questi biscotti si annidano simpatici spyware ed altra robaccia.
Nel browser linuxiano Konqueror c’è una fantastica opzione che chiede all’utente di autorizzare la ricezione dei cookie per ogni singolo dominio, con varie opzioni interessanti. E’ il miglior metodo per tenerli sotto controllo che ho visto finora, anche se forse può risultare un po’ tediante.
mostra i cookie
Firefox non implemente questo meccanismo (ha un’opzione generale tra le impostazioni) ma permette di vederli: basta andare nel menù Strumenti, poi Opzioni, controllare nella sezione Privacy e Cookie. Lì c’è il pulsante Mostra i cookie, con cui è possibile rendersi conto di quanta robaccia riceviamo mentre navighiamo normalmente. Si può notare che alcuni sono dichiaratamente biscottini che contengono dati importanti come le password.
E se non volessi che questi signori scrivano informazioni sul mio pc? Beh, si può disabilitare la ricezione dei cookie, anche se non in generale non è un’operazione consigliata, dato che ormai l’interazione tramite cookie è una pratica consolidata. Però Firefox offre un metodo alternativo per salvare le password: le ricorda lui. Con l’ultima versione, ogni volta che inseriamo una coppia user/password compare un avviso che ci chiede se vogliamo salvare le informazioni per un più agevole accesso futuro.
Ci tengo a precisare che, nel caso in cui spuntassimo “Ricorda i miei dati” e nel contempo permettessimo a Firefox di salvare quegli stessi dati, avremmo una copia ridondante degli stessi. Scegliete: o l’uno, o l’altro.
Se optate per Firefox, c’è però un importante avviso da fare. Ricordate lo scenario presentato all’inizio, quello in cui un utente malizioso ha accesso al vostro computer o al vostro account? Bene, vediamo cosa può fare: tornate nel menù Strumenti, poi Opzioni. Questa volta sezione Sicurezza e Password. Ci sono due spunte: Ricorda le password dei siti e Utilizza una password principale. La prima di solito è attiva (altrimenti tutto il gioco non funziona), mentre la seconda è per default non spuntata. A questo punto il simpatico infiltrato può cliccare su Password salvate, aprendo una finestra in cui vengono elencati tutti i siti per cui Firefox ricorda i nostri dati, con tanto di nome utente in bella vista. E poi c’è il meraviglioso bottone Mostra password. Clickate. Voilà!
mostra password
Ecco, questa evenienza è a dir poco spiacevole. Forse è meglio fare qualcosa.
Semplice: basta spuntare l’opzione che abbiamo visto prima, Utilizza una password principale, e scegliere una password (anche stupida) che tenga al sicuro le ben più preziose password custodite da Firefox. In questo modo non si potranno visualizzare le password se non si conosce quella principale. E’ un meccanismo stupido, presente anche nel Portachiavi dei sistemi Mac OS ed in generale nei sistemi Unix/Linux (che danno molta più importanza ai meccanismi di autenticazione..), ma che non va sottovalutato se vogliamo stare sicuri al 100%.
Insomma, o Firefox ricorda le vostre password, ma con una password principale, oppure demandate il tutto ai cookie.
E ricordate che cambiare utente quando qualcun’altro utilizza il vostro pc non è una scocciatura perdi-tempo…
Tags: Firefox, Guide, Password, Sicurezza, social engineering, Spyware
Recent Comments