@niubbi: godetevelo, finche' dura :D

[Sisupoika]

Un po' rimpiango i tempi in cui per divertirti un po' nella pausa pranzo, aprivi qualche terminal, mettevi su uno sniffer del cavolo (soprattutto quando ovunque usavano hubs invece che switches, ah che bei tempi ), un capture veloce (che magavi averi perso ORE oppure GIORNI a pianificare e preparare) e poi screw up qualche account su qualche sito, di un collega o di chi capitasse magari in un Internet cafe' etc..

Oggi... che noia, quasi.
Al Toorcon di S. Diego un tizio di cui mi pare non ho mai sentito parlare (almeno non ne ricordavo il nome), ha mostrato una estensione per Firefox che illustra, in una maniera forse senza precedenti, come molti dei siti con piu' traffico su Internet (social networks, in primis) facciano ancora cag... pena per quanto riguarda la messa al sicuro delle credenziali di accesso, o meglio dei cookies che vengono usati per ottenere il cosiddetto "persistent login". La maggior parte dei siti, infatti, usa una connessione https, dunque con SSL, soltanto durante la fase di login. Purtroppo pero' i cookies vengono trasmessi - come si e' ricordato spesso anche qui sul forum - con ogni richiesta. E se il sito fa "economica" usando https/SSL appunto soltanto durante la fase di login, il cookie per il persistent login puo' senza troppo sforzo essere sniffato ed usato per attacchi verso altri utenti.

Questa estensione rende le cose cosi' facili, da essere quasi ridicolosamente semplice. Basta installare l'estensione in Firefox, aprire la nuova sidebar Firesheep, e cliccare su start capture. Tutto qui. Se qualcuno nella stessa network e' loggato su Facebook, Twitter e compagnia, vedrete una voce che, se doppio-cliccata, vi fara' loggare velocemente sotto il profilo di quell'utente.... Ha praticamente reso una cosa non alla portata di tutti, una cazzata.

Divertitevi.... finche' dura

http://github.com/codebutler/firesheep/downloads

p.s.: sotto Windows se non ricordo male c'e' bisogno di Wincap per poter avviare il capture
p.p.s.: sotto Mac OS X l'estensione e' un po' buggata, e per farla funzionare come dovrebbe ho dovuto lanciare Firefox come root (ve lo dico cosi' non perdete tempo con il fix-permission che l'estensione suggerisce)
p.p.p.s.: naturalmente potreste fare un test a casa. Aprite Firefox con il capture attivato, e con un altro browser loggatevi in Facebook, Twitter o quello che volete (non ho visto tutti i siti supportati)

[Sisupoika]

Oops, ho dimenticato la parte buona della cosa

Per "proteggervi" anche voi nel caso usate il vostro pc/laptop in giro o comunque in reti condivise, ci sono varie strade.

La piu' semplice e' quella di usare estensioni come
https://chrome.google.com/extensions...ianiofphddckof
https://www.eff.org/https-everywhere

su Chrome e Firefox, o simili per altri browsers (che non dovreste avere difficolta' a trovare), che forzano il traffico SSL non soltanto per il login, per un certo numero di siti.

La via migliore e', naturalmente, una VPN. Per pochi bucks al mese potreste mettervi su un VPS economico Linux con OpenVPN, per esempio, e avere una connessione VPN always on. Questo e' cio' che faccio io da diversi anni ormai come buona abitudine.

Ho diversi serverini dedicati a questo scopo - e altri (USA, UK, Italia, Finlandia, Norvegia, Germania), e quello in Italia ce l'ho con una azienda economicissima ma ottima - e che dunque vi suggerisco per lo scopo - chiamata Netsons. Il VPS mi costa appena 10 euro al mese, se non ricordo male.

[Sisupoika]

36 visite e neanche un reply... tutti a correre a provarlo, eh?

[wjmat]

ciao

grazie per la segnalazione
si ci sto giochicchiando un pò

qui i siti supportati
http://github.com/codebutler/firesheep/wiki/Handlers

[eraser]

Quote:

Originariamente inviato da Sisupoika

La via migliore e', naturalmente, una VPN. Per pochi bucks al mese potreste mettervi su un VPS economico Linux con OpenVPN, per esempio, e avere una connessione VPN always on. Questo e' cio' che faccio io da diversi anni ormai come buona abitudine.

Ho diversi serverini dedicati a questo scopo - e altri (USA, UK, Italia, Finlandia, Norvegia, Germania), e quello in Italia ce l'ho con una azienda economicissima ma ottima - e che dunque vi suggerisco per lo scopo - chiamata Netsons. Il VPS mi costa appena 10 euro al mese, se non ricordo male.

Sperando che non ci siano problemi lato Netsons Comunque si, anche io faccio così Lo facevo quando ero in hotel in giro per il mondo sia per avere un IP italiano sia per protezione della navigazione

[Sisupoika]

Quote:

Originariamente inviato da eraser

Sperando che non ci siano problemi lato Netsons Comunque si, anche io faccio così Lo facevo quando ero in hotel in giro per il mondo sia per avere un IP italiano sia per protezione della navigazione

Che mondo, uno suggerisce qualcosa di utile e c'e' subito chi non si fida

[eraser]

Quote:

Originariamente inviato da Sisupoika

Che mondo, uno suggerisce qualcosa di utile e c'e' subito chi non si fida

che ci vuoi fare, déformation professionnelle

[eraser]

Quote:

Originariamente inviato da Sisupoika

La piu' semplice e' quella di usare estensioni come
https://chrome.google.com/extensions...ianiofphddckof
https://www.eff.org/https-everywhere

Riguardo la prima estensione, come confermato anche dal suo stesso autore, essa risulta al momento inutile per bloccare firesheep

Quote:

I would like to point out that this connection does not help to protect from Firesheep as Chrome has already received the cookie from Facebook in HTTP before redirecting. I've confirmed this with Wireshark.

Quote:

Yes, this is because it's not possible to intercept the requests before they leave the browser yet. This feature request is mentioned in the description of the extension with this link:
https://code.google.com/p/chromium/i...etail?id=50943

[Sisupoika]

Quote:

Originariamente inviato da eraser

Riguardo la prima estensione, come confermato anche dal suo stesso autore, essa risulta al momento inutile per bloccare firesheep

Uhm, ovviamente non le uso, ho riportato solo quello che ho letto qui e la

[c.m.g]

notizia correlata:
http://www.hwupgrade.it/forum/showthread.php?t=2268842

[Sisupoika]

che scoop - la notizia e' arrivata con due giorni di ritardo

[xcdegasp]

@ Sisu quando lessi la notizia mi aspettavo che tornassi a farti vivo sul forum ma sto giro ero rapito dal lavoro..
non conoscevo quella estensione distribuita da EFF, grazie per averla menzionata

[Syk]

Quote:

Originariamente inviato da Sisupoika

La via migliore e', naturalmente, una VPN. Per pochi bucks al mese potreste mettervi su un VPS economico Linux con OpenVPN, per esempio, e avere una connessione VPN always on. Questo e' cio' che faccio io da diversi anni ormai come buona abitudine.

Ho diversi serverini dedicati a questo scopo - e altri (USA, UK, Italia, Finlandia, Norvegia, Germania), e quello in Italia ce l'ho con una azienda economicissima ma ottima - e che dunque vi suggerisco per lo scopo - chiamata Netsons. Il VPS mi costa appena 10 euro al mese, se non ricordo male.

per chi nn ha dimestichezza con i server e VPS, il servizio offerto da relakks può risolvere il problema?
tra l'altro costa 45€ l'anno

edit: quanto è diffuso nei router il protocollo PPTP? ad esempio il mio che ho a casa non lo supporta

[Sisupoika]

Quote:

Originariamente inviato da Syk

per chi nn ha dimestichezza con i server e VPS, il servizio offerto da relakks può risolvere il problema?
tra l'altro costa 45€ l'anno

Tecnicamente si' trattandosi di una VPN, ma c'e' anche il discorso di doversi fidare di terzi in proposito.

Quote:

edit: quanto è diffuso nei router il protocollo PPTP? ad esempio il mio che ho a casa non lo supporta

Non si tratta di un problema di diffusione di per se'. Se il tuo router ti connette direttamente ad Internet con un'interfaccia di tipo bridge (e.g. un IP esterno e' assegnato direttamente ad un device come un PC), allora non ci sono problemi. Questo e' il caso di router che si comportano o vengono usati piu' come modem che come router.

Se invece il router ti connette attraverso NAT, per esempio, allora deve consentirti il GRE/47 pass through.

[Sisupoika]

Tra parentesi, interesserebbe un blog post sull'argomento? E.g. su come configurare velocemente un server, sicuro, per VPN di vari tipi (pptp, openvpn) + ssh tunnelling?

[eraser]

Quote:

Originariamente inviato da Sisupoika

Tra parentesi, interesserebbe un blog post sull'argomento? E.g. su come configurare velocemente un server, sicuro, per VPN di vari tipi (pptp, openvpn) + ssh tunnelling?

Io faccio sempre tramite SSH tunnelling Più semplice da configurare, funziona in un attimo

Tanto in una VPS hai sempre accesso SSH, configuri il server correttamente per permettere il forwarding e hai praticamente finito. Se non si ha voglia di configurarlo a mano, si installa webmin che permette una gestione più facile del server.

Comunque sia, secondo me faresti benissimo Un post sull'argomento è sicuramente molto utile

[Sisupoika]

Quote:

Originariamente inviato da eraser

Io faccio sempre tramite SSH tunnelling Più semplice da configurare, funziona in un attimo

Tanto in una VPS hai sempre accesso SSH, configuri il server correttamente per permettere il forwarding e hai praticamente finito. Se non si ha voglia di configurarlo a mano, si installa webmin che permette una gestione più facile del server.

Comunque sia, secondo me faresti benissimo Un post sull'argomento è sicuramente molto utile

OK, scrivero' un post sull'argomento visto che si parla spesso di queste cose soprattutto dopo firesheep etc.

Uso principalmente SSH per queste cose perche' e' piu' flessibile: per esempio posso avere diversi tunnels attivi allo stesso momento, uno per la navigazione, altri per es. per mysql replication e cosi' via. O anche, diversi tunnels verso VPS in diverse aree geografiche per testing etc.

Cmq fare routing di tutto il traffico attraverso una VPN funziona meglio per garantire che tutto il traffico venga rediretto, in piu' e' piu' semplice forzare il client a fare DNS masquerading allo stesso tempo

[eraser]

Quote:

Originariamente inviato da Sisupoika

Cmq fare routing di tutto il traffico attraverso una VPN funziona meglio per garantire che tutto il traffico venga rediretto, in piu' e' piu' semplice forzare il client a fare DNS masquerading allo stesso tempo

Assolutamente vero, io infatti mi preoccupo solo del browser ed eventualmente MSN (che comunque utilizza i proxy setting di Internet Explorer, per cui prende automaticamente le configurazioni del browser). Poi Skype è già criptato di suo, non mi preoccupa più di tanto. La posta elettronica passa tramite browser in SSL oppure direttamente con il client tramite IMAP/SSL.

Ma hai ragione, con una VPN è mille volte più facile redirigere direttamente tutto il traffico senza configurazioni varie. È che non ho mai voglia di stare a configurare una VPN con OpenVPN o PPTP Pigrizia mia effettivamente

[xcdegasp]

il bello della vpn è che con un click attivi la redirizione di tutto, il browser e gli altri possono continuare a tenere in grembo l'impostazione per il proxy (tramite file pac) tanto se questo non è raggiungibile lavorano come "connessione diretta"

[eraser]

Quote:

Originariamente inviato da xcdegasp

il bello della vpn è che con un click attivi la redirizione di tutto, il browser e gli altri possono continuare a tenere in grembo l'impostazione per il proxy (tramite file pac) tanto se questo non è raggiungibile lavorano come "connessione diretta"

Assolutamente vero A scapito però di una configurazione lato server un po più complessa.