Forum in HTTP non è sicuro?

[Giant Lizard]

Alcuni professori di sicurezza informatica della scuola che frequento ci hanno detto che una delle maggiori debolezze di internet sono i forum (come questo, per esempio) perché la maggior parte sono ancora in http e visto che i dati in http passano tutti in chiaro, è facile trovare la password degli utenti. E dal momento che pare che circa il 70% degli utenti nel mondo utilizza la stessa password per tutte le cose (per ricordarsela) con la password del forum si può accedere facilmente a moltri altri account ben più sensibili e importanti.

E' vera la cosa? Se si, potreste mostrarmi qualche fonte (scritta) su internet che ne parli? Anche in inglese.

Grazie in anticipo

[Giant Lizard]

up

[Giant Lizard]

Quote:

Originariamente inviato da zeMMeMMez

i "professori" di sicurezza informatica non sanno nulla di sicurezza informatica.

http è a rischio essenzialmente in due casi (...cuttone sui dettagli, vado a cena...)

1) hai la possibilità di intercettare il traffico, ad esempio con un wireshark piazzato sulla tua rete locale. oppure mettendoti d'accordo col provider (l'equivalente di una intercettazione telefonica dell'autorità giudiziaria)
2) utilizzi una rete wifi insicura, ovvero vai col portatile alla stazione, trovi la rete wifi gratis "sticazzi", ti colleghi inviando i dati in chiaro. Ma se il gestore della rete "sticazzi" è un bricconcello, può intercettare il tuo traffico e pigliarti i dati

per il resto se utilizzi un tuo computer, collegato al tuo router, e non sei così idiota da scambiare i siti "veri" per quelli di "phising", i rischi sono modesti.


PS per un normale esperto di sicurezza le password NON vengono inviate in chiaro, con un minimo di js lato client per calcolarne l'hash, proprio per il caso (2).
chiaramente se uno vuole js disattivato (ma è praticamente impossibile trovare un sito di questo genere), pazienza.

quindi secondo te non è necessario, o almeno "meglio" far girare anche i forum su protocolli HTTPS?

e usando un network sniffer su una rete pubblica (tipo quella di un bar) non si dovrebbe riuscire a vedere le password digitate in chiaro passate su protocolli HTTP?

[Giant Lizard]

Quote:

Originariamente inviato da zeMMeMMez

in generale https è cosa buona e giusta ma...
1 costa
2 rende difficile più siti stesso ip (Cuttone sui vari casi)

il vero rischio è proprio quello che paventi.
chiaramente si può evitare, ma bisogna saperlo fare e lavorare un pochino in più

bè, il mio professore di sicurezza informatica mi ha fatto vedere quanto è facile per lui fare l'analisi dei pacchetti su HTTP ed entrare su account facebook e simili ma per l'appunto lo faceva sulla stessa rete ed era solo per fare una dimostrazione.

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

[Vince85]

Quote:

Originariamente inviato da Giant Lizard

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

Ti risulta possibile che qualche estraneo possa collegarsi via LAN al tuo router di casa o via wifi con WPA2?

[OUTATIME]

Quote:

Originariamente inviato da Giant Lizard

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

L'http non è mica solo dentro casa tua.

E comunque la vulnerabilità non è nell'http, ma nell'utilizzo della stessa password ovunque.

[Vince85]

Quote:

Originariamente inviato da OUTATIME

L'http non è mica solo dentro casa tua.

E comunque la vulnerabilità non è nell'http, ma nell'utilizzo della stessa password ovunque.

Ha scritto reti private, quindi a casa.
Che poi la gente usa password ridicole o la stessa password sono d'accordo ma è un'altro discorso e non c'entra nulla con l'argomento HTTP/HTTPS.

[Giant Lizard]

Quote:

Originariamente inviato da Vince85

Ti risulta possibile che qualche estraneo possa collegarsi via LAN al tuo router di casa o via wifi con WPA2?

quello si, senza dubbio ci hanno spiegato i metodi e ho ben capito che non esiste niente di sicuro al 100% e che quelli davvero bravi (come il mio professore, che è un mostro) possono entrare praticamente ovunque. Aveva spiegato anche qualche sistema per entrare sulle reti private casalinghe, anche protette, senza conoscere la password.


Più che altro la mia domanda era se non ci fosse un altro modo per vedere le password in chiaro, anche non essendo collegati sulla stessa rete. O anche semplicemente qualche altra debolezza dei protocolli http che io non conosco.

Quote:

Originariamente inviato da OUTATIME

L'http non è mica solo dentro casa tua.

E comunque la vulnerabilità non è nell'http, ma nell'utilizzo della stessa password ovunque.

bè, se è vero che l'http manda i dati non criptati, direi che la debolezza sia anche in questo protocollo. Poi certo non è molto intelligente usare la stessa password per tutti gli account


cosa intendi con "l'http non è solo dentro casa tua"? E' un protocollo su cui si basano i siti web, no?

[OUTATIME]

Quote:

Originariamente inviato da Giant Lizard

cosa intendi con "l'http non è solo dentro casa tua"? E' un protocollo su cui si basano i siti web, no?

Intendo che lo sniffing può non venire necessariamente dentro casa tua.

[OUTATIME]

Quote:

Originariamente inviato da Vince85

Ha scritto reti private, quindi a casa.
Che poi la gente usa password ridicole o la stessa password sono d'accordo ma è un'altro discorso e non c'entra nulla con l'argomento HTTP/HTTPS.

Rileggi il primo post.
La lezione di sicurezza informatica non era rivolta a intercettare la password di un forum dove il massimo danno che puoi fare è mandare a cagare un utente.
Se vuoi la mia password qui te la do, anche senza sniffare il traffico http.

[Vince85]

Quote:

Originariamente inviato da Giant Lizard

quello si, senza dubbio ci hanno spiegato i metodi e ho ben capito che non esiste niente di sicuro al 100% e che quelli davvero bravi (come il mio professore, che è un mostro) possono entrare praticamente ovunque. Aveva spiegato anche qualche sistema per entrare sulle reti private casalinghe, anche protette, senza conoscere la password.

Partendo dal presupposto "tutto è possibile e niente è sicuro" credo non avresti dovuto manco aprire questa discussione visto che manco l'HTTPS allora sarebbe sicuro.
A me non risulta che abbiano bucato la WPA2 del wifi protetto da una buona password o bucato la crittografia dell'HTTPS.
Che poi ci siano tecniche di phishing, social engineering e quan'altro non c'è dubbio ma con la crittografia e un minimo di esperienza si può affermare che nelle rete private, quanto meno, la sicurezza esiste.

[Vince85]

Quote:

Originariamente inviato da OUTATIME

Rileggi il primo post.
La lezione di sicurezza informatica non era rivolta a intercettare la password di un forum dove il massimo danno che puoi fare è mandare a cagare un utente.
Se vuoi la mia password qui te la do, anche senza sniffare il traffico http.

Non devo rileggere nessun tuo post visto che stavo rispondendo a Giant Lizard. E, ripeto, ha chiesto esplicitamente su reti private. Non ci sono dubbi che per sniffare c'è anche la rete pubblica.

[OUTATIME]

Quote:

Originariamente inviato da Vince85

Non devo rileggere nessun tuo post visto che stavo rispondendo a Giant Lizard. E, ripeto, ha chiesto esplicitamente su reti private. Non ci sono dubbi che per sniffare c'è anche la rete pubblica.

Non il mio primo post, il primo post del thread.
E li il professore non parlava di reti private.

[Vince85]

Quote:

Originariamente inviato da OUTATIME

Non il mio primo post, il primo post del thread.
E li il professore non parlava di reti private.

Guarda che io ho riposto alla domanda di questo ed esclusivamente post:

Quote:

Originariamente inviato da Giant Lizard

bè, il mio professore di sicurezza informatica mi ha fatto vedere quanto è facile per lui fare l'analisi dei pacchetti su HTTP ed entrare su account facebook e simili ma per l'appunto lo faceva sulla stessa rete ed era solo per fare una dimostrazione.

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

La domanda è: RETI PRIVATE

La mia risposta è SOLO per questo POST.

[OUTATIME]

Quote:

Originariamente inviato da Vince85

Guarda che io ho riposto alla domanda di questo ed esclusivamente post:
La domanda è: RETI PRIVATE
La mia risposta è SOLO per questo POST.

E la mia risposta era relativa a questo post:

Quote:

Originariamente inviato da Giant Lizard

Quindi dalle nostre reti private, anche girando su HTTP, non ci dovrebbero essere problemi?

Visto che Giant Lizard stava facendo un po' di confusione tirando in ballo le reti private.

[Vince85]

Quote:

Originariamente inviato da zeMMeMMez

A me invece, per casi particolari, risulta (per la verità non si "buca" un bel nulla; per quanto riguarda https sono i certificati il punto possibilmente debole, e la libreria openssl usata ovunque e scritta coi piedi da un dilettante studente delle medie o poco più. per wpa2 c'è tutto il problema - oltre a TKIP in re ipsa - dei dispositivi, ovvero i buchi giganteschi spesso presenti nel firmware degli access point)
.

Ma per la WPA2 ormai usano tutti AES e mi risulta sia sicura.

[Alessio.16390]

Peccato che il 99% degli user-home usa WPA2 con sù attivo WPS.
Ed il pasticcio è fatto.

[Vince85]

Quote:

Originariamente inviato da Alessio.16390

Peccato che il 99% degli user-home usa WPA2 con sù attivo WPS.
Ed il pasticcio è fatto.

Vero anche se ormai è un vecchio bug, molti router sono stati aggiornati.

[Alessio.16390]

Quote:

Originariamente inviato da Vince85

Vero anche se ormai è un vecchio bug, molti router sono stati aggiornati.

Sì e no.
Il bug noto che ti dà la chiave in 1-2min su molti dispositivi non funge più.
Ma i brute force continuano a funzionare.
Massimo massimo 2-3 ad esagerare 4 giorni e si ha la chiave.
Impostando un timeout tra un tentativo e l'altro.

[Vince85]

Quote:

Originariamente inviato da Alessio.16390

Sì e no.
Il bug noto che ti dà la chiave in 1-2min su molti dispositivi non funge più.
Ma i brute force continuano a funzionare.
Massimo massimo 2-3 ad esagerare 4 giorni e si ha la chiave.
Impostando un timeout tra un tentativo e l'altro.

Si beh ma chi lo fa, a parte averne le competenze, lo esegue su obiettivi sensibili e di valore. Non credo che ci sia gente che si mette a fare brute force per 4 giorni sulla wifi di un vicino a caso.
Il caso clamoroso era la facilità e l'immediatezza di esecuzione di quel bug che hanno risolto.