Usare WiFi aperte è sicuro? Come proteggersi

Ovunque si vada, è cosa piuttosto comunque trovare reti WiFi aperte. Ma quanto è sicuro utilizzarle? A quali rischi si va incontro?
Ed, in generale, com’è possibile usare una WiFi pubblica in sicurezza?

Iniziamo col puntualizzare la differenza fra una WiFi pubblica ed una aperta. Le WiFi aperte possono essere considerate come un sottoinsieme delle reti WiFi pubbliche perché la connessione non è protetta in alcun modo (non è necessario digitare alcuna password per attivare il collegamento da un sistema client). Nel caso delle reti WiFi pubbliche, invece, la connessione può essere lasciata aperta oppure la password può essere fornita su richiesta dell’utente (ad esempio previa richiesta al gestore od effettuando una registrazione gratuita).

Talvolta i gestori di un’attività ricettiva o impegnata nel settore della ristorazione configurano il cosiddetto captive portal ossia non forniscono direttamente una password ai clienti ma richiedono una registrazione, solitamente gratuita. La registrazione può essere effettuata inserendo i propri dati anagrafici, numero di telefono mobile e/o cliccando sul pulsante “Mi piace” di Facebook (in questo modo si pubblicizzerà di fatto l’attività sul social network e, in cambio, si otterrà l’accesso gratuito alla rete WiFi e ad Internet).

Negli articoli Come creare hotspot WiFi per fornire accesso Internet ai propri clienti e Creare un hotspot WiFi con DD-WRT o Zerotruth, ad esempio, abbiamo spiegato come allestire da zero un hotspot WiFi da utilizzare per fornire l’accesso ad Internet alla clientela in modo semplice e sicuro.

Quando si collega un qualunque dispositivo ad una rete WiFi, l’accesso potrebbe essere immediatamente accordato (rete completamente aperta) oppure potrebbe essere visualizzata la pagina del captive portal (di solito viene richiesta una registrazione gratuita).
Ancora, nel caso delle reti pubbliche protette con una semplice password, una volta digitata tale parola chiave, si potrà immediatamente “navigare” online.
Ma quali rischi sono insiti in questo tipo di comportamenti?

Se si utilizzano connessioni WiFi adoperabili anche da altri utenti, soprattutto se sconosciuti, il rischio che vengano sottratti dati personali è più che concreto.
Le informazioni che vengono inviate e ricevute in Rete utilizzando protocolli che non integrano alcuna forma di crittografia sono infatti agevolmente monitorabili, “spiabili” e recuperabili da parte di terzi connessi ad esempio alla medesima WiFi.

Anche quando si accede ad una rete WiFi protetta da un captive portal o con una password, una volta collegatisi i dati in chiaro “viaggiano” sempre in chiaro. Eventuali malintenzionati connessi alla stessa WiFi possono recuperare le informazioni scambiate dagli altri utenti ricorrendo ad un programma sniffer qual è, per esempio, il ben noto Wireshark (Controllare quali attività sono in corso nella rete locale con Wireshark).

Quando si utilizzano connessioni WiFi condivise con altri utenti, quindi, è indispensabile almeno accertarsi di usare servizi basati sull’impiego del protocollo HTTPS (vedere gli articoli linkati nell’approfondimento Come attivare HTTPS sul proprio server Linux). Se così non fosse, le informazioni verrebbero scambiate in chiaro e potrebbero essere intercettate.
Fortunatamente i servizi Microsoft, quelli di Google, di Amazon, dei principali istituti bancari, utilizzano HTTPS in luogo delle tradizionali connessioni “in chiaro”.

Per essere certi che i propri dati non cadano nelle grinfie di qualche malintenzionato, il miglior suggerimento consiste nell’utilizzare una connessione VPN mentre si è collegati alla WiFi.
Così facendo, i dati viaggeranno – tra dispositivi client e server VPN – transitando attraverso un tunnel cifrato. I propri dati, quindi, non potranno né essere intercettati nell’ambito della connessione WiFi, né lungo il tragitto fino al server VPN.

Un ottimo metodo consiste nell’allestire un server VPN presso la propria azienda, ufficio o abitazione. Collegandosi da remoto a tale server, si potranno scambiare dati in forma cifrata (anche se ci si connettesse ad un servizio che non usa il protocollo HTTPS), indipendentemente dal fatto che si sta usando una WiFi pubblica od aperta.

I router Mikrotik (vedere questa pagina su Amazon), ad esempio, integrano anche funzionalità VPN server e consentono quindi di configurare un server VPN presso la propria sede al quale ci si potrà poi collegare da remoto: .
Ovviamente il router che funge da server VPN dovrà essere lasciato alimentato e collegato alla rete Internet.

Nell’articolo Creare una VPN sul cloud e navigare in sicurezza anche dai dispositivi mobili, a beneficio dei lettori più “tecnici”, avevamo spiegato come allestire un server VPN sul cloud.

In alternativa, si può installare un’applicazione che permette di attivare una connessione VPN con i server remoti di provider che forniscono questo genere di servizio.
Un esempio è Tunnelbear che mette a disposizione 500 MB di traffico dati gratuito su base mensile (incrementabili fino a 750 MB). Utilizzando il programma, disponibile anche nelle versioni per i vari dispositivi mobili, si potrà cifrare tutto il traffico dati ed impedirne il monitoraggio da parte di terzi (in primis da coloro che sono connessi alla medesima WiFi):

– VPN free con Tunnelbear per Chrome
– VPN gratis: ecco le migliori

Quando si utilizza una connessione WiFi aperta o pubblica, infine, è indispensabile accertarsi che il proprio sistema non sia raggiungibile da parte di terzi e che non condivida cartelle e file personali.

Ad esempio, quando ci si connette ad una rete WiFi gestita da terze parti con il proprio notebook Windows, si dovrà indicarla sempre come Rete pubblica. In caso contrario, altri utenti potrebbero facilmente rilevare la presenza – all’interno della rete wireless locale – del sistema in uso e provare ad accedere alle cartelle condivise.
Nell’articolo Collegarsi ad una rete Wi-Fi pubblica o non protetta: come proteggere i propri dati abbiamo spiegato come effettuare un controllo in tal senso.

Da ultimo è bene osservare come alcuni router in commercio (a marchio Belkin e Linksys) offrano la possibilità di attivare anche un secondo hotspot WiFi “guest”.
Tale rete può essere utilizzata da coloro che non sono autorizzati a collegarsi alla rete wireless principale, di casa o dell’ufficio. Il problema, però, è che spesso non viene neppure utilizzato l’algoritmo di protezione WPA2, la WiFi risulta completamente aperta e la pagina captive portal non adotta alcuna forma di cifratura (col risultato che la password di connessione può essere agevolmente sottratta da parte di terzi).

Router a marchio Netgear, D-Link e ASUS, invece, ben gestiscono la “WiFi guest” consentendo l’utilizzo dell’algoritmo di protezione WPA2. Al solito, comunque, gli utenti che usano servizi non protetti con l’utilizzo della crittografia, sono comunque a rischio, nonostante la connessione wireless utilizzi una password.