Alcuni professori di sicurezza informatica della scuola che frequento ci hanno detto che una delle maggiori debolezze di internet sono i forum (come questo, per esempio) perché la maggior parte sono ancora in http e visto che i dati in http passano tutti in chiaro, è facile trovare la password degli utenti. E dal momento che pare che circa il 70% degli utenti nel mondo utilizza la stessa password per tutte le cose (per ricordarsela) con la password del forum si può accedere facilmente a moltri altri account ben più sensibili e importanti.

E' vera la cosa? Se si, potreste mostrarmi qualche fonte (scritta) su internet che ne parli? Anche in inglese.

Grazie in anticipo :)

up :)

i "professori" di sicurezza informatica non sanno nulla di sicurezza informatica.

http è a rischio essenzialmente in due casi (...cuttone sui dettagli, vado a cena...)

1) hai la possibilità di intercettare il traffico, ad esempio con un wireshark piazzato sulla tua rete locale. oppure mettendoti d'accordo col provider (l'equivalente di una intercettazione telefonica dell'autorità giudiziaria)
2) utilizzi una rete wifi insicura, ovvero vai col portatile alla stazione, trovi la rete wifi gratis "sticazzi", ti colleghi inviando i dati in chiaro. Ma se il gestore della rete "sticazzi" è un bricconcello, può intercettare il tuo traffico e pigliarti i dati

per il resto se utilizzi un tuo computer, collegato al tuo router, e non sei così idiota da scambiare i siti "veri" per quelli di "phising", i rischi sono modesti.


PS per un normale esperto di sicurezza le password NON vengono inviate in chiaro, con un minimo di js lato client per calcolarne l'hash, proprio per il caso (2).
chiaramente se uno vuole js disattivato (ma è praticamente impossibile trovare un sito di questo genere), pazienza.

quindi secondo te non è necessario, o almeno "meglio" far girare anche i forum su protocolli HTTPS?

e usando un network sniffer su una rete pubblica (tipo quella di un bar) non si dovrebbe riuscire a vedere le password digitate in chiaro passate su protocolli HTTP?

in generale https è cosa buona e giusta ma...
1 costa
2 rende difficile più siti stesso ip (Cuttone sui vari casi)

il vero rischio è proprio quello che paventi.
chiaramente si può evitare, ma bisogna saperlo fare e lavorare un pochino in più

bè, il mio professore di sicurezza informatica mi ha fatto vedere quanto è facile per lui fare l'analisi dei pacchetti su HTTP ed entrare su account facebook e simili :D ma per l'appunto lo faceva sulla stessa rete ed era solo per fare una dimostrazione.

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

Ti risulta possibile che qualche estraneo possa collegarsi via LAN al tuo router di casa o via wifi con WPA2?

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?
L'http non è mica solo dentro casa tua.

E comunque la vulnerabilità non è nell'http, ma nell'utilizzo della stessa password ovunque.

L'http non è mica solo dentro casa tua.

E comunque la vulnerabilità non è nell'http, ma nell'utilizzo della stessa password ovunque.

Ha scritto reti private, quindi a casa.
Che poi la gente usa password ridicole o la stessa password sono d'accordo ma è un'altro discorso e non c'entra nulla con l'argomento HTTP/HTTPS.

Ti risulta possibile che qualche estraneo possa collegarsi via LAN al tuo router di casa o via wifi con WPA2?

quello si, senza dubbio :D ci hanno spiegato i metodi e ho ben capito che non esiste niente di sicuro al 100% e che quelli davvero bravi (come il mio professore, che è un mostro) possono entrare praticamente ovunque. Aveva spiegato anche qualche sistema per entrare sulle reti private casalinghe, anche protette, senza conoscere la password.


Più che altro la mia domanda era se non ci fosse un altro modo per vedere le password in chiaro, anche non essendo collegati sulla stessa rete. O anche semplicemente qualche altra debolezza dei protocolli http che io non conosco.

L'http non è mica solo dentro casa tua.

E comunque la vulnerabilità non è nell'http, ma nell'utilizzo della stessa password ovunque.

bè, se è vero che l'http manda i dati non criptati, direi che la debolezza sia anche in questo protocollo. Poi certo non è molto intelligente usare la stessa password per tutti gli account :D


cosa intendi con "l'http non è solo dentro casa tua"? E' un protocollo su cui si basano i siti web, no?

cosa intendi con "l'http non è solo dentro casa tua"? E' un protocollo su cui si basano i siti web, no?

Intendo che lo sniffing può non venire necessariamente dentro casa tua.

Ha scritto reti private, quindi a casa.
Che poi la gente usa password ridicole o la stessa password sono d'accordo ma è un'altro discorso e non c'entra nulla con l'argomento HTTP/HTTPS.
Rileggi il primo post.
La lezione di sicurezza informatica non era rivolta a intercettare la password di un forum dove il massimo danno che puoi fare è mandare a cagare un utente.
Se vuoi la mia password qui te la do, anche senza sniffare il traffico http.

quello si, senza dubbio :D ci hanno spiegato i metodi e ho ben capito che non esiste niente di sicuro al 100% e che quelli davvero bravi (come il mio professore, che è un mostro) possono entrare praticamente ovunque. Aveva spiegato anche qualche sistema per entrare sulle reti private casalinghe, anche protette, senza conoscere la password.


Partendo dal presupposto "tutto è possibile e niente è sicuro" credo non avresti dovuto manco aprire questa discussione visto che manco l'HTTPS allora sarebbe sicuro.
A me non risulta che abbiano bucato la WPA2 del wifi protetto da una buona password o bucato la crittografia dell'HTTPS.
Che poi ci siano tecniche di phishing, social engineering e quan'altro non c'è dubbio ma con la crittografia e un minimo di esperienza si può affermare che nelle rete private, quanto meno, la sicurezza esiste.

Rileggi il primo post.
La lezione di sicurezza informatica non era rivolta a intercettare la password di un forum dove il massimo danno che puoi fare è mandare a cagare un utente.
Se vuoi la mia password qui te la do, anche senza sniffare il traffico http.

Non devo rileggere nessun tuo post visto che stavo rispondendo a Giant Lizard. E, ripeto, ha chiesto esplicitamente su reti private. Non ci sono dubbi che per sniffare c'è anche la rete pubblica.

Non devo rileggere nessun tuo post visto che stavo rispondendo a Giant Lizard. E, ripeto, ha chiesto esplicitamente su reti private. Non ci sono dubbi che per sniffare c'è anche la rete pubblica.

Non il mio primo post, il primo post del thread.
E li il professore non parlava di reti private.

Non il mio primo post, il primo post del thread.
E li il professore non parlava di reti private.

Guarda che io ho riposto alla domanda di questo ed esclusivamente post:

bè, il mio professore di sicurezza informatica mi ha fatto vedere quanto è facile per lui fare l'analisi dei pacchetti su HTTP ed entrare su account facebook e simili :D ma per l'appunto lo faceva sulla stessa rete ed era solo per fare una dimostrazione.

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

La domanda è: RETI PRIVATE

La mia risposta è SOLO per questo POST.

Guarda che io ho riposto alla domanda di questo ed esclusivamente post:
La domanda è: RETI PRIVATE
La mia risposta è SOLO per questo POST.
E la mia risposta era relativa a questo post:
Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?
Visto che Giant Lizard stava facendo un po' di confusione tirando in ballo le reti private.

A me invece, per casi particolari, risulta (per la verità non si "buca" un bel nulla; per quanto riguarda https sono i certificati il punto possibilmente debole, e la libreria openssl usata ovunque e scritta coi piedi da un dilettante studente delle medie o poco più. per wpa2 c'è tutto il problema - oltre a TKIP in re ipsa - dei dispositivi, ovvero i buchi giganteschi spesso presenti nel firmware degli access point)
.

Ma per la WPA2 ormai usano tutti AES e mi risulta sia sicura.

Peccato che il 99% degli user-home usa WPA2 con sù attivo WPS.
Ed il pasticcio è fatto.

Peccato che il 99% degli user-home usa WPA2 con sù attivo WPS.
Ed il pasticcio è fatto.

Vero anche se ormai è un vecchio bug, molti router sono stati aggiornati.

Vero anche se ormai è un vecchio bug, molti router sono stati aggiornati.

Sì e no.
Il bug noto che ti dà la chiave in 1-2min su molti dispositivi non funge più.
Ma i brute force continuano a funzionare.
Massimo massimo 2-3 ad esagerare 4 giorni e si ha la chiave.
Impostando un timeout tra un tentativo e l'altro.

:stordita:

Sì e no.
Il bug noto che ti dà la chiave in 1-2min su molti dispositivi non funge più.
Ma i brute force continuano a funzionare.
Massimo massimo 2-3 ad esagerare 4 giorni e si ha la chiave.
Impostando un timeout tra un tentativo e l'altro.

:stordita:

Si beh ma chi lo fa, a parte averne le competenze, lo esegue su obiettivi sensibili e di valore. Non credo che ci sia gente che si mette a fare brute force per 4 giorni sulla wifi di un vicino a caso.
Il caso clamoroso era la facilità e l'immediatezza di esecuzione di quel bug che hanno risolto.

Partendo dal presupposto "tutto è possibile e niente è sicuro" credo non avresti dovuto manco aprire questa discussione visto che manco l'HTTPS allora sarebbe sicuro.

bè, mi risulta che l'HTTPS sia comunque più sicuro dell'HTTP. Non dubito che anche in presenza del primo qualcuno bravo riesca comunque a trovare qualche dato importante (magari usando altri metodi) però da quello che mi è stato detto è molto più complicato che con l'HTTP.

A me non risulta che abbiano bucato la WPA2 del wifi protetto da una buona password o bucato la crittografia dell'HTTPS.
Che poi ci siano tecniche di phishing, social engineering e quan'altro non c'è dubbio ma con la crittografia e un minimo di esperienza si può affermare che nelle rete private, quanto meno, la sicurezza esiste.

ecco, a noi hanno fatto studiare l'esatto opposto :D ovvero che l'80% delle reti casalinghe non sono affatto sicure e che l'unica garanzia è che quelli veramente bravi e capaci ad entrare semplicemente non hanno l'interesse a farlo su reti di cittadini privati.

Esiste... esiste......

e cosa? Avevo letto che erano riusciti a buttare giu perfino alcuni root server anni fa, che dovrebbero essere quelli più sicuri al mondo.


magari...

io ne sono convinto. Da come parla e fa vedere le cose si capisce che ha sistemi davvero fuori dal comune. Sarei pronto a fare una scommessa sulla sua riuscita, su praticamente qualsiasi sistema.

Mi fai un esempio?

eh mi piacerebbe poter rispiegare quello che ci ha detto in classe, purtroppo non me lo ricordo...né l'ho capito, onestamente :asd: le mie conoscenze non sono ancora così elevate.

Nulla vieta di farlo lato-client.
Io, ad esempio, nei miei programmi lo faccio.


in che modo? Con programmi tipo "HTTPS Anywhere"?

Il mio professore di sicurezza ha insistito su pochi punti particolari:

-Il gioco deve valere la candela
-A parità di valore, l'attaccante sceglie chi è meno protetto

Quindi:
- Se sei l'AD di una multinazionale chiedi ai consulenti di sicurezza, e comunque non usare siti che non offrono autenticazione a 2 fattori
- se sei una persona normale, alza le tue difese sopra la media e sarai al sicuro

- se devi fare un forum, nulla ti vieta di sfruttare HTTPS solo per l'autenticazione e ricevere il gettone e fare la navigazione normale in HTTP per non massacrare il server

Trasmettere un hash della password ha (quasi) lo stesso valore che trasmettere la password in chiaro, ma almeno chi ottiene l'hash deve prima invertirlo per ottenere la password

e, per l'amor del cielo, password diversa per i siti importanti (ovvero almeno quei siti che ti toccano il portafogli) e se possibile autenticazione a 2 fattori, e usare un indirizzo email dedicato alle comunicazioni importanti (banche, stato,bollette, e commerce) e uno per quelle comuni (forum, social, concorsi, cazzeggio)

che l'unica garanzia è che quelli veramente bravi e capaci ad entrare semplicemente non hanno l'interesse a farlo su reti di cittadini privati.

Per l'appunto quindi è anche inutile farsi troppe seghe mentali sulle reti private della gente comune.

E continuo a ripetere che il wifi WPA2 AES è inviolabile, quindi ancora voglio capire come fanno a entrare nella rete a meno di scoprire la password o perché è ridicola o tramite social engineering alla Mitnick.

??? é la sindrome da film, tipo swordfish e roba del genere.
in realtà non è per nulla banale collegarsi a una rete casalinga cablata, te lo posso confermare in prima persona.

certo che non è banale. Io non ci riuscirei mai :D ma so che il modo c'è e c'è gente che è capace di farlo.


cosa significa "buttare giù"?

che non erano più raggiungibili. Ecco l'articolo: http://www.theregister.co.uk/2015/12/08/internet_root_servers_ddos/

ne avevano buttati giu 3 su 13 :eek:


Io invece no.
Sarei pronto a fare una scommessa modesta, diciamo un caffè contro un'acqua tonica, che non riuscirebbe a fare un bel nulla, nemmeno a casa della mia mamma (ultraottantenne)
è sempre la modalità "filmica".

per me andrebbe bene :D purtroppo non c'è modo di provarlo, però dalle dimostrazioni che ha fatto e da alcune spiegazioni mi sono reso conto che è davvero un fenomeno nel campo.


??? Non ha alcun senso.

si, ho visto che viene fatto spesso dai siti. L'unica pagina in HTTPS è quella di login dove devi inserire il tuo user e password, poi il resto è tutto in HTTP. Non so se è davvero utile a qualcosa ma sembra siano in tanti a farlo.


Per l'appunto quindi è anche inutile farsi troppe seghe mentali sulle reti private della gente comune.

E continuo a ripetere che il wifi WPA2 AES è inviolabile, quindi ancora voglio capire come fanno a entrare nella rete a meno di scoprire la password o perché è ridicola o tramite social engineering alla Mitnick.

è vero, è quanto mi è stato detto :D la WPA2 AES è effettivamente la più sicura e consigliabile.

E' una merda, questo è l'unica parola adatta.
Fammi qualche esempio, please.

mi era capitato recentemente un sito di acquisto di chiavi di videogiochi (non è g2a né Kinguin) che usava questo sistema ma non riesco a ritrovarlo :/


comunque facendo una ricerca ho trovato diverse pagine e articoli che parlano di questa pratica: https://www.google.fr/search?q=login+in+https&oq=login+in+https&aqs=chrome..69i57j0l2j5.3127j0j7&sourceid=chrome&ie=UTF-8#safe=off&q=only+login+page+in+https