WiFi libero dal 2011: ottimo, ma attenti alla sicurezza

WiFi libero dal 2011: ottimo, ma attenti alla sicurezza

E’ notizia di ieri che il Governo (tra le poche cose buone che ha fatto fino ad ora, ndr) ha abolito l’articolo 7 del decreto Pisanu sulla sicurezza (terrorismo??) che impedivano l’accesso alle reti WiFi pubbliche senza essere prima identificati.

Per molti, e a ragione, questo decreto è stato un vero proprio cappio allo sviluppo delle reti WiFi pubbliche negli ultimi 5 anni. Per cui la notizia di apertura, attesa e spinta da molti, non può che essere accolta con molta felicità e ottimismo. Anche da me, ribadisco.

Appoggiata un attimo la bottiglia di spumante (in attesa di riprenderla per capodanno) permettetemi però di fare alcune riflessioni sulla sicurezza.

WiFi Open

Forse sarò un pochino fissato (ma credetemi, c’è chi lo è più di me), e non a caso uno dei miei primi articoli su questo blog fu “Le reti wireless sono insicure: come e perché proteggersi“, in cui facevo una carrellata sulla sicurezza delle reti wifi, le problematiche legali e la sicurezza dei protocolli WEP e WPA.

mi autoquoto un pezzetto:

Molti tendono a minimizzare il problema, pensando che nessuno dei vicini di casa andrà mai a collegarsi con la propria rete. Niente di più sbagliato! Ormai tutti i portatili in commercio hanno la scheda wireless integrata. Basta attivarla e (Windows <_<) rileva le reti aperte disponibili e addirittura tenta di connettersi alla prima che trova, in modo spesso del tutto trasparente all’utente! Chi abita in città, in mezzo a palazzi e condomini sa bene quanto non sia raro rilevare 4-5 reti wireless intorno a se…

Ok, direte voi, che mi importa? Al massimo il vicino naviga a mie spese in qualche sito, che succederà mai !? – Questo in effetti oltre ad essere il caso migliore, è anche il caso più frequente. Solitamente il vicino non è un malintenzionato… ma vi fidate ciecamente di tutti quelli che vi abitano (o che passano) attorno ? Altro piccolo inconveniente: il vicino smanettone si collega alla vostra rete e con un programma p2p occupa la maggior parte della vostra banda. Siete contenti? Non credo.
Ma pensate al caso peggiore: il vicino che credevate tanto innoquo in realtà è un delinquente che approfitta della vostra rete per compiere illeciti. Le forze dell’ordine verranno a cercare VOI a casa, perchè l’ip con il qualche il vicino ha navigato è il vostro. E voi non avrete nessuna prova (o comunque saranno discutibili) che non siete stati voi.
Secondo me non vale la pena di rischiare.

Applicate questo discorso alle reti wifi completamente aperte e capirete che non c’è più bisogno di un bimbominkia qualunque che fa il lamer decrittando una WEP (veramente alla portata di tutti, vista la debolezza intrinseca del protocollo e la grande quantità di utility che si trovano per farlo in 10 minuti) né hacker più smaliziati che si mettono a provare attacchi bruteforce o da dizionario su handshake WPA (e con molto tempo libero a disposizione, se la password è > 10 caratteri).

Senza considerare poi il fatto che i dati sulle reti wifi aperte viaggiano assolutamente in chiaro. Questo vuol dire che chiunque connesso alla stessa rete con un programmino di scansione può intercettare semplicemente il vostro traffico (qualora non usi sicurezze come HTTPS, SSL, VPN, IPSEC) e leggere le vostre conversazioni, email, o addirittura fingervi voi stessi.
Avete sentito parlare di Firesheep? Una comoda estensione per Firefox uscita alla ribalta un paio di mesi fa che fa una cosa semplicissima: permette di entrare negli account Facebook, Twitter, Foursquare (e molti altri) delle persone connesse contemporaneamente alla vostra rete wifi aperta. Come fa? Sfruttando proprio il fatto che, esclusa l’autenticazione iniziale https, la conseguente sessione viaggia in http normale, scambiandosi (in chiaro) cookie di sessione.
Firesheep intercetta questo cookie e si finge voi stessi, permettendo di scrivere nei vostri account senza che voi ve ne accorgiate.
L’ho testato personalmente e funziona esattamente come promesso. E non bisogna essere hacker.

Il WiFi aperto è sicuramente una gran cosa per gli hot-spot in luogo pubblico, favorendo la connettività dei dispositivi, ma è bene pensare per bene a cosa si va potenzialmente incontro.

Edit: vi linko questo interessante articolo di Ars Technica: “How to stay safe at a public wi-fi hotspot

A proposito Alessandro

Ingegnere delle Telecomunicazioni con propensione al web2.0 ed il pallino della tecnologia; toscano & casentinese, vivo a Firenze

  • Ottimo articolo come sempre! Fortunatamente una notizia positiva.. ogni tanto ce ne vogliono.. un passo avanti per la povera Italia.. terzo mondo delle Telecomunicazioni 🙁

    • Grazie Guido…
      Si è una notizia positiva, ma come sempre bisogna prender tutto con le molle in questo paese !

  • Bell’articolo! Mi piace!

    Però alla fine di tutto, cosa si deve fare per proteggersi?

    Sono appena tornato dagli USA, e li hanno il wifi dappertutto… l’ho trovato addirittura in un autobus a lunga percorrenza… (Megabus)

    Però il problema della sicurezza non me lo sono mai posto. Quindi che fare?

    Non uso il WiFi pubblico, però conosco una persona (Lucia) che potrebbe farle comodo qualche dritta, lei si connette spesso da postazioni pubbliche.

    • Paragonarci con gli USA in questi campi è come paragonare la cacca alla cioccolata 🙂
      Dal punto di vista wifi sono un po’ più avanti, anche (e soprattutto) dal punto di vista legislativo.

      L’unica accortezza per usufruire del servizio e dormire sonni tranquilli è quello di star attenti che quando si utilizzino dati e siti importanti ci sia per lo meno l’https. Per facebook e simili (contro firesheep) esistono estensioni che forzano l’https, come questa: https://addons.mozilla.org/en-US/firefox/addon/229918/

      Altro discorso è se uno anche vuole offrire una connessione aperta a tutti e star tranquilo…

      • Quello dell’https lo sapevo… quindi quando c’è quello sul sito che navigo tutto è tranquillo…

        Bello l’add per mozzilla 😉

  • Francesco

    Vorrei precisare che in effetti il Decreto Pisanu non e’ stato abolito, semplicemente non e’ stato prorogato.
    Cosa questo comporti e’ ancora da chiarire, ma sicuramente non sara’ piu’ semplice condividere reti wifi. Resta comunque l’obbligo per gestori di esercizi pubblici di chiedere la licenza in questura e probabilmente essi dovranno continuare a schedare le generalita’ di chi fuisce del servizio.
    Quello che si puo’ dire sia cambiato e’ che mentre prima c’era una norma chiara, anche se non molto condivisa, ora la situazione e’ confusa e difficilmente interpretabile.

    • Grazie della precisazione.
      In effetti è vero, ancora è tutto nell’incertezza. Forse, ancor più di prima. Vedremo quando uscirà a gennaio il decreto ufficiale…

  • Complimenti per l’articolo, continua a tenerci informato !
    buon anno
    giulio

    • Grazie! Buon anno anche a te! 😉

  • Lorenzowi

    Ciao, in risposta alla liberazione del wifi sono sorti come funghi diversi servizi hotspot che garantiscono la sicurezza. Tuttavia non tutti sono proprio “liberi” infatti molti richiedono comunque il pagamento (da parte dell’utente) sotto una qualche forma per poter navigare… dove sta la libertà?
    L’unico che pare sia effettivamente grautito per l’utenza l’ho trovato qui http://www.simplespot.it voi ne avete mai avuto a che fare? è davvero gratuito?