Wi-fi, hot spot pubblici a rischio hacker

Le reti aperte sono le più soggette a furti di dati sensibili e di identità. Software user friendly e scaricabili gratuitamente facilitano le attività degli “spioni” del Web. La soluzione? Criptaggio end-to-end e diffusione di Vpn

Pubblicato il 21 Feb 2011

placeholder

Il WiFi sotto attacco. E non solo da hacker super-esperti.
Un’inchiesta pubblicata sul New York Times racconta come esistano
software alla portata di tutti – proprio perché user friendly
– in grado di minacciare la sicurezza delle reti senza fili. Tra
i più diffusi Firesheep, uscito lo uscito lo scorso ottobre, che
consente in maniera semplice di spiare cosa fanno gli altri utenti
di una rete WiFi pubblica non protetta, per poi entrare nei siti
visitati dagli stessi utenti: negli ultimi tre mesi, questo
programma è stato scaricato da più di un milione di persone .

“Ho messo sul mercato Firesheep per dimostrare che viene ignorata
una questione fondamentale e diffusa della sicurezza web – spiega
Eric Butler, sviluppatore freelance di software di Seattle, e
creatore del programma – Ovvero l’assenza di codifiche
end-to-end” .
Ciò che Butler intende dire è che mentre la password, che viene
inserita inizialmente su siti come Facebook, Twitter, Flickr,
Amazon, eBay, è codificata, i cookie del Web browser – i codici
che identificano il vostro computer, le impostazioni sul sito o
altre informazioni private – spesso non lo sono. Firesheep è in
grado di catturare quel cookie, consentendo di compiere azioni
dolose, di assumere identità altrui e avere pieno accesso agli
account.

Gli unici siti “a prova di ficcanaso” sono quelli che
utilizzano il protocollo crittografico della Transport Layer
Security o del Secure Sockets Layer. Tra questi spiccano molte
banche, istituti di credito e PayPal: si può essere certi di
essere protetti da occhi indiscreti se nell’angolo del browser
compare un piccolo lucchetto oppure se l’indirizzo Web inizia con
“https” invece che con http".

“Di solito i siti Web non criptano tutte le comunicazioni
adducendo la motivazione che, tale operazione, rallenterebbe il
sito e sarebbe una spesa rilevante in termini di ingegneria –
spiega Chris Palmer, Technology Director di Electronic Frontier
Foundation, un gruppo di advocacy per i diritti elettronici con
sede a San Francisco – Ma si tratta di ostacoli operativi
risolvibili.”

Lo dimostrano anche le azioni messe in campo da big del Web come
Facebook e Google. Nel gennaio dello scorso anno Gmail ha adottato
di default la criptatura end-to-end mentre il mese scorso il social
network ha iniziato ad offrire la stessa protezione come
caratteristica di sicurezza opzionale, anche se fino ad ora
l’opazione è disponibile soltanto per una piccola percentuale di
utenti e non funziona con molte applicazioni di terzi.

“E’ importante rilevare che Facebook ha fatto questo passo, ma
è ancora troppo presto per congratularsi con loro – puntualizza
infatti Butler, preoccupato che “https” non sia ancora
utilizzata come impostazione di default del sito”. Per tutta
risposta Joe Sullivan, Chief Security Officer di Facebook, spiega
che la società ha optato per un “processo di rollout
deliberativo” per identificare ed affrontare qualunque
difficoltà imprevista. “Speriamo di riuscire a metterlo a
disposizione di tutti gli utenti nelle prossime settimane”,
annuncia, aggiungendo che Facebook sta lavorando per rendere
“https” l’impostazione di default.

Molti siti Web offrono la criptatura via “https,” ma la rendono
difficile da usare. A risolvere la questione “usability” ci ha
provato la Electronic Frontier Foundation, in collaborazione con il
Tor Project, che ha rilasciato a giugno un’aggiunta al browser
Firefox, la Https Everywhere. L’aggiunta, scaricabile da
eff.org/https-everywhere, rende “https” l’impostazione di
default immodificabile su tutti i siti che la supportano.

Non tutti i siti, però, hanno capacità “https”. Come ricorda
Bill Pennington, Chief Strategy Officer di WhiteHat Security.
“Dico sempre che se si compiono attività che comportano l’uso
di dati sensibili, è meglio non farle in un hot spot WiFi, ma
farle da casa.”
Ma anche le reti wireless domestiche potrebbero non essere così
sicure. Programmi di pirateria informatica e ampiamente disponibili
come Gerix WiFi Cracker, Aircrack-ng e Wifite, infatti, sono in
grado di metterne a dura prova la sicurezza, simulando la legittima
attività degli utenti per raccogliere una serie di “chiavi
deboli” o indicazioni che permettono di arrivare ad identificare
la password. Il processo è interamente automatico e consente anche
a chi è completamente a digiuno di nozioni tecniche di recuperare
la password di un router wireless in pochi secondi. Per affrontarli
servono password WiFi Protected Access – Wpa.
Ma anche in questo modo gli hacker possono utilizzare gli stessi
software gratuiti per entrare anche in reti protette con password
Wpa: hanno solo bisogno di più tempo – in genere qualche
settimana – e una maggiore conoscenza informatica. Utilizzando i
software elencati sopra e antenne WiFi molto potenti che costano
meno di 90 dollari, gli hacker possono intercettare i segnali
provenienti da reti domestiche distanti anche due o tre miglia.
Esistono sul mercato anche dispositivi informatici per la pirateria
informatica con antenne integrate, come WifiRobin (156 dollari). Ma
secondo gli esperti non sono veloci ed efficaci come i recenti
programmi gratuiti di craccaggio, poiché i dispositivi
funzionavano soltanto su reti protette Wep.
Per alzare il livello di protezione si suggerisce di modificare il
Service Set Identifier oppure la Ssid della rete wireless
scegliendo un nome preimpostato per il router (come Linksys o
Netgear) in qualcosa di meno prevedibile; e certamente aiuta anche
il fatto di scegliere password alfanumeriche lunghe e
complicate.

Una rete privata virtuale (Vpn) che cripta tutte le comunicazioni
inviate tramite wireless, sia con la vostra rete domestica sia in
un hot spot, è ancora più sicura. Ad un estraneo i dati appaiono
come informazioni sconclusionate man mano che passano dal vostro
computer ad un server sicuro per poi essere riversate su
Internet.

I provider Vpn famosi comprendono VyperVpn, HotSpotVpn e LogMeIn
Hamachi. Alcuni sono gratuiti, altri costano circa 18 dollari al
mese, a seconda di quanti dati vengono criptati. Le versioni
gratuite tendono a criptare soltanto l’attività Web e non lo
scambio di e-mail.
La Electronic Frontier Foundation accusa i siti Web di essere poco
sicuri non tanto per la connessione WiFi quanto per una
progettazione scadente. “Molti siti popolari non sono stati
progettati sin dall’inizio pensando alla sicurezza, ed ora ne
subiamo le conseguenze – spiegano – Le persone devono richiedere
‘https’ in modo tale che i siti Web realizzino il difficoltoso
lavoro di integrazione che si rende necessario.”

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti trattati

Approfondimenti

A
amazon

Articolo 1 di 4