Alcuni hacker hanno trovato il modo di rubare la password di Facebook ricorrendo ad un semplice stratagemma di cattura dei cookie. Ecco come funziona.
Quando ci colleghiamo a un sito ed effetuia-mo il login, questo ci invia un cookie. Si tratta di un semplice file di testo memorizzato dal browser: il testo al suo interno è stato creato appositamente per noi, quindi ci identifica in modo univoco. Per questo motivo, quando il sito avrà bisogno di verificare al nostra identità, chiederà al browser di controllare prima il cookie. Ciò significa che se qualcuno riuscisse a intercettare il nostro cookie e a copiarlo sul proprio PC, potrebbe accedere al sito in questione fingendo di essere noi: avrà quindi a disposizione il nostro profilo, con tutti i privilegi che comporta. I cookie hanno una durata limitata, oltre la quale non vengono più accettati dal sito per identificarci, ma solitamente non Il pirata può quindi intercettare tutti i cookie che ci vengono inviati dai siti Web: avrà poi un paio di giorni a disposizione per analizzarli, scoprire a quali siti appartengano e utilizzarli per accedere con i nostri profili. Se intercettare le password è un metodo più generale, intercettare i cookie è per un pirata la strada più semplice e comoda.
Come rubare la password di Facebook
Il pirata apre Firefox e installa Greasemonkey (https://addons.mozilla.org/it/firefox/addon/greasemonkey). Al riavvio del browser installa anche lo script http://userscripts-mirror.org/scripts/show/119798. Questo gli consentirà l’utilizzo dei cookie “rubati” tramite l’intercettazione dei pacchetti.
Il malintenzionato apre uno sniffer di pacchetti: al posto di tcpdump preferisce il più comodo Wireshark, che avvia con il comando sudo wireshark. Alla schermata di benvenuto, il pirata sceglie l’interfaccia di rete con la quale vuole lavorare: ovviamente sceglierà wlan0, perché rappresenta l’antenna Wi-Fi.
I pacchetti Web che viaggiano sono moltissimi, ma al pirata interessano soltanto i cookie. Per visualizzare quelli di Facebook scrive nella barra del filtro la frase http.cookie contains “datr”. In pratica, ogni volta che un sito invierà all’utente i cookie, il pirata li potrà intercettarli: appena ne trova uno, ci clicca sopra col tasto destro del mouse.
Dal menu che appare, il pirata sceglie Copy/Bytes/ Printable Text Only. Torna su Firefox e aprire il sito www.facebook.com (senza però fare il login). Preme i tasti Alt+C e incolla il testo copiato nella casella che appare (Ctrl+V). Appena clicca OK, si ritrova loggato in Facebook col profilo dell’utente a cui ha rubato il cookie.
