Wi-fi, hot spot pubblici a rischio hacker

SECURITY

Le reti aperte sono le più soggette a furti di dati sensibili e di identità. Software user friendly e scaricabili gratuitamente facilitano le attività degli "spioni" del Web. La soluzione? Criptaggio end-to-end e diffusione di Vpn

di F.M.
Il WiFi sotto attacco. E non solo da hacker super-esperti. Un’inchiesta pubblicata sul New York Times racconta come esistano software alla portata di tutti – proprio perché user friendly – in grado di minacciare la sicurezza delle reti senza fili. Tra i più diffusi Firesheep, uscito lo uscito lo scorso ottobre, che consente in maniera semplice di spiare cosa fanno gli altri utenti di una rete WiFi pubblica non protetta, per poi entrare nei siti visitati dagli stessi utenti: negli ultimi tre mesi, questo programma è stato scaricato da più di un milione di persone .

“Ho messo sul mercato Firesheep per dimostrare che viene ignorata una questione fondamentale e diffusa della sicurezza web - spiega Eric Butler, sviluppatore freelance di software di Seattle, e creatore del programma – Ovvero l’assenza di codifiche end-to-end” .
Ciò che Butler intende dire è che mentre la password, che viene inserita inizialmente su siti come Facebook, Twitter, Flickr, Amazon, eBay, è codificata, i cookie del Web browser - i codici che identificano il vostro computer, le impostazioni sul sito o altre informazioni private - spesso non lo sono. Firesheep è in grado di catturare quel cookie, consentendo di compiere azioni dolose, di assumere identità altrui e avere pieno accesso agli account.

Gli unici siti “a prova di ficcanaso” sono quelli che utilizzano il protocollo crittografico della Transport Layer Security o del Secure Sockets Layer. Tra questi spiccano molte banche, istituti di credito e PayPal: si può essere certi di essere protetti da occhi indiscreti se nell’angolo del browser compare un piccolo lucchetto oppure se l’indirizzo Web inizia con “https” invece che con http".

“Di solito i siti Web non criptano tutte le comunicazioni adducendo la motivazione che, tale operazione, rallenterebbe il sito e sarebbe una spesa rilevante in termini di ingegneria - spiega Chris Palmer, Technology Director di Electronic Frontier Foundation, un gruppo di advocacy per i diritti elettronici con sede a San Francisco – Ma si tratta di ostacoli operativi risolvibili.”

Lo dimostrano anche le azioni messe in campo da big del Web come Facebook e Google. Nel gennaio dello scorso anno Gmail ha adottato di default la criptatura end-to-end mentre il mese scorso il social network ha iniziato ad offrire la stessa protezione come caratteristica di sicurezza opzionale, anche se fino ad ora l’opazione è disponibile soltanto per una piccola percentuale di utenti e non funziona con molte applicazioni di terzi.

“E’ importante rilevare che Facebook ha fatto questo passo, ma è ancora troppo presto per congratularsi con loro – puntualizza infatti Butler, preoccupato che “https” non sia ancora utilizzata come impostazione di default del sito”. Per tutta risposta Joe Sullivan, Chief Security Officer di Facebook, spiega che la società ha optato per un “processo di rollout deliberativo” per identificare ed affrontare qualunque difficoltà imprevista. “Speriamo di riuscire a metterlo a disposizione di tutti gli utenti nelle prossime settimane”, annuncia, aggiungendo che Facebook sta lavorando per rendere “https” l’impostazione di default.

Molti siti Web offrono la criptatura via “https,” ma la rendono difficile da usare. A risolvere la questione “usability” ci ha provato la Electronic Frontier Foundation, in collaborazione con il Tor Project, che ha rilasciato a giugno un’aggiunta al browser Firefox, la Https Everywhere. L’aggiunta, scaricabile da eff.org/https-everywhere, rende “https” l’impostazione di default immodificabile su tutti i siti che la supportano.

Non tutti i siti, però, hanno capacità “https”. Come ricorda Bill Pennington, Chief Strategy Officer di WhiteHat Security. “Dico sempre che se si compiono attività che comportano l’uso di dati sensibili, è meglio non farle in un hot spot WiFi, ma farle da casa.”
Ma anche le reti wireless domestiche potrebbero non essere così sicure. Programmi di pirateria informatica e ampiamente disponibili come Gerix WiFi Cracker, Aircrack-ng e Wifite, infatti, sono in grado di metterne a dura prova la sicurezza, simulando la legittima attività degli utenti per raccogliere una serie di “chiavi deboli” o indicazioni che permettono di arrivare ad identificare la password. Il processo è interamente automatico e consente anche a chi è completamente a digiuno di nozioni tecniche di recuperare la password di un router wireless in pochi secondi. Per affrontarli servono password WiFi Protected Access – Wpa.
Ma anche in questo modo gli hacker possono utilizzare gli stessi software gratuiti per entrare anche in reti protette con password Wpa: hanno solo bisogno di più tempo – in genere qualche settimana - e una maggiore conoscenza informatica. Utilizzando i software elencati sopra e antenne WiFi molto potenti che costano meno di 90 dollari, gli hacker possono intercettare i segnali provenienti da reti domestiche distanti anche due o tre miglia. Esistono sul mercato anche dispositivi informatici per la pirateria informatica con antenne integrate, come WifiRobin (156 dollari). Ma secondo gli esperti non sono veloci ed efficaci come i recenti programmi gratuiti di craccaggio, poiché i dispositivi funzionavano soltanto su reti protette Wep.
Per alzare il livello di protezione si suggerisce di modificare il Service Set Identifier oppure la Ssid della rete wireless scegliendo un nome preimpostato per il router (come Linksys o Netgear) in qualcosa di meno prevedibile; e certamente aiuta anche il fatto di scegliere password alfanumeriche lunghe e complicate.

Una rete privata virtuale (Vpn) che cripta tutte le comunicazioni inviate tramite wireless, sia con la vostra rete domestica sia in un hot spot, è ancora più sicura. Ad un estraneo i dati appaiono come informazioni sconclusionate man mano che passano dal vostro computer ad un server sicuro per poi essere riversate su Internet.

I provider Vpn famosi comprendono VyperVpn, HotSpotVpn e LogMeIn Hamachi. Alcuni sono gratuiti, altri costano circa 18 dollari al mese, a seconda di quanti dati vengono criptati. Le versioni gratuite tendono a criptare soltanto l’attività Web e non lo scambio di e-mail.
La Electronic Frontier Foundation accusa i siti Web di essere poco sicuri non tanto per la connessione WiFi quanto per una progettazione scadente. “Molti siti popolari non sono stati progettati sin dall’inizio pensando alla sicurezza, ed ora ne subiamo le conseguenze - spiegano - Le persone devono richiedere ‘https’ in modo tale che i siti Web realizzino il difficoltoso lavoro di integrazione che si rende necessario.”

21 Febbraio 2011