7304 Letture
Come navigare in sicurezza su rete WiFi pubblica o non protetta

Come navigare in sicurezza su rete WiFi pubblica o non protetta

Collegare il PC o il dispositivo mobile a una rete WiFi pubblica o non protetta senza aver svolto alcune verifiche in tema di sicurezza non è mai consigliabile. Ecco come procedere per non correre rischi.

Quando ci si collega a una rete WiFi pubblica o, peggio ancora, non protetta, è importante porre in essere alcune cautele per evitare che i propri dati possano cadere nelle mani di malintenzionati.
Riassumiamo di seguito le principali operazioni che suggeriamo di mettere in campo prima di collegarsi a una rete WiFi dal proprio notebook, tablet, convertibile o smartphone.

Stabilendo la connessione a una WiFi pubblica o non protetta senza porsi alcuni quesiti, si potrebbe rischiare di condividere informazioni personali o rendere parte delle comunicazioni di rete - eventualmente contenenti dati riservati - accessibili a terzi.
Di seguito i nostri suggerimenti per non correre alcun rischio e proteggere la riservatezza e l'integrità dei propri dati.

1) Sui PC Windows: impostare la rete come rete pubblica
In Windows 7 accedere al Centro connessioni di rete e condivisione (basta digitare centro connessioni nella casella Cerca programmi e file), fare clic sulla tipologia della rete (ad esempio Rete aziendale o Rete domestica qualora fossero visualizzate una delle seguenti due voci).


Come navigare in sicurezza su rete WiFi pubblica o non protetta

A questo punto, dalla finestra Impostazioni rete scegliere Rete pubblica.

Come navigare in sicurezza su rete WiFi pubblica o non protetta

In Windows 8.1 e Windows 10 scrivere Stato della rete nella casella di ricerca quindi selezionare Modifica proprietà di connessione. Nella schermata successiva selezionare l'opzione Privato.

Come navigare in sicurezza su rete WiFi pubblica o non protetta

In entrambi casi, facendo clic su Modifica impostazioni di condivisione avanzate, assicurarsi che per il profilo Guest o Pubblico siano selezionate le opzioni Disattiva individuazione rete e Disattiva condivisione file e stampanti.

Come navigare in sicurezza su rete WiFi pubblica o non protetta

In questo modo le cartelle eventualmente condivise sul proprio PC Windows non saranno accessibili dagli altri dispositivi collegati alla rete WiFi e il sistema non risponderà neppure al PING.

Maggiori informazioni nel nostro articolo Differenza tra rete pubblica e rete privata in Windows 10.

2) Sui PC Windows disattivare la funzionalità WPAD
Windows utilizza una funzionalità, attivata per impostazione predefinita, che consente di ricevere in automatico i parametri dell'eventuale proxy server da utilizzare dopo aver stabilito una connessione di rete.

Un malintenzionato può sfruttare il meccanismo alla base di WPAD (Web Proxy Auto-Discovery Protocol) per inviare ai client connessi alla rete WiFi l'indirizzo IP di un proxy fasullo che ad esempio effettua attività di monitoraggio o reindirizza gli utenti verso siti web dannosi. I criminali informatici possono così far credere all'utente di visitare un sito web legittimo (inducendo loro all'inserimento dei dati di autenticazione) quando invece si trovano su un server web appositamente allestito per avviare un'attività phishing e sottrarre le credenziali altrui.

Per disattivare completamente la funzionalità WPAD in Windows basta seguire le indicazioni riportate nell'articolo Connettersi a una rete WiFi pubblica in sicurezza: disattivare WPAD in Windows al paragrafo Come disattivare WPAD in Windows.

3) Controllare che il firewall sia attivo e funzionante

Prima di effettuare la connessione alla rete WiFi pubblica o non protetta è poi importante controllare che il firewall di Windows si attivo e funzionante.
Per procedere digitare Windows Firewall con sicurezza avanzata nella casella di ricerca del sistema operativo (scrivere Windows Defender Firewall con sicurezza avanzata nel caso di Windows 10).
Il firewall dovrà essere indicato come attivo (spunta di colore verde) su tutti i profili di connessione.

Come navigare in sicurezza su rete WiFi pubblica o non protetta

4) Da qualunque dispositivo, assicurarsi di effettuare sempre la connessione a siti web HTTPS
Le informazioni trasmesse via HTTP possono essere intercettate e lette in chiaro da chiunque, collegato alla medesima rete WiFi pubblica o non protetta, utilizzi un apposito software sniffer.
Soprattutto se si effettua l'accesso, con le proprie credenziali, a un qualunque sito web, è fondamentale controllare che a sinistra dell'URL mostrato nella barra degli indirizzi del browser venga mostrato il messaggio Sicuro: Sito sicuro su Chrome e Firefox, che cosa significa.

Quando compare la dizione Sicuro significa che si è collegati con un sito web che utilizza il protocollo HTTPS ed espone un certificato digitale valido, non scaduto ed emesso da un'autorità di certificazione nota e approvata.
Scambiando i dati via HTTPS, le informazioni inviate e ricevute non possono essere in alcun modo lette da parte di terzi.

5) Da qualunque dispositivo, assicurarsi di inviare e ricevere la posta elettronica mediante protocollo TLS
I dati scambiati utilizzando il browser web non sono i soli che un qualunque dispositivo può inviare e ricevere in rete.
Quando si utilizza una rete WiFi pubblica o non protetta non si devono mai adoperare servizi e applicazioni che non effettuano alcuna cifratura dei dati.


I messaggi di posta elettronica spesso contengono dati riservati e informazioni che non devono assolutamente cadere nelle mani altrui.

Nel caso in cui si utilizzassero client di posta installati sul proprio PC o sul dispositivo mobile, è quindi di fondamentale importanza verificare che gli account gestiti impieghino il protocollo TLS: Email: SSL, TLS e STARTTLS. Differenze e perché usarli.

Per accertarsene basta avviare il client email e portarsi nelle impostazioni dell'account di posta.

Per la ricezione della posta (server posta in arrivo), il protocollo IMAP usa la porta 143 mentre il vecchio POP3 usa la porta 110. Se il client fosse configurato per accedere al server di posta usando una di queste due porte significa che il protocollo TLS non è in uso.
Analogamente, per inviare email "in chiaro" senza alcuna forma di crittografia, il protocollo SMTP usa di default la porta 25: se il client email fosse configurato per adoperare tale porta significa che i messaggi di posta trasmessi potrebbero essere letti da chiunque fosse collegato alla medesima rete WiFi.

In questo casi il consiglio è comunque quello di passare a un account di posta che supporta il protocollo TLS: Creare un indirizzo email: quale servizio scegliere.
Se al momento ciò non fosse possibile, prima di collegarsi alla WiFi pubblica o non protetta, il consiglio è chiudere il client di posta accertandosi che nessun suo componente resti in esecuzione (i.e. controllo della casella di posta in background) e utilizzare la webmail del provider per inviare e ricevere i messaggi a patto che, ovviamente, il servizio venga erogato su protocollo HTTPS.

6) Attivare l'autenticazione a due fattori sui propri account


Se si viaggia molto e ci si trova spesso a usare reti WiFi pubbliche o non protette, è bene attivare l'autenticazione a due fattori su tutti gli account utente più importanti.
In questo modo, per accedere all'account non serviranno più solamente username e password ma sarà necessario di volta in volta confermare l'operazione mediante un altro dispositivo in proprio possesso (ad esempio lo smartphone).

Google chiama l'autenticazione a due fattori Verifica in due passaggi: Verifica in due passaggi Google: solo 10% degli utenti la usano.
Nell'articolo Impossibile accedere a Gmail: Web login required abbiamo visto come superare le difficoltà di quegli utenti che avendo attivato la Verifica in due passaggi non riescono a scaricare e inviare la posta elettronica.

7) Qualunque dispositivo client si utilizzi, collegarsi a un server VPN remoto
Per avere la certezza che tutte le informazioni inviate e ricevute in rete dai propri dispositivi non possano essere intercettate da parte di terzi, l'ideale è stabilire la connessione con un server VPN affidabile.

Sul PC oppure sui propri dispositivi mobili è quindi bene installare un client VPN che consenta di approntare un tunnel cifrato con un server VPN remoto: tutti i dati in transito, con qualunque applicazione installata sui propri device, saranno comunque crittografati e resi incomprensibili a chiunque provi a svolgere attività di sniffing sulla rete WiFi.

Nell'articolo Servizi VPN sicuri: come evitare che spifferino l'IP pubblico reale abbiamo visto come selezionare i gestori che offrono VPN affidabili.


Ai professionisti e agli utenti più smaliziati suggeriamo comunque di allestire un server VPN in azienda, a casa o in ufficio al quale collegarsi al bisogno in modalità remota:

- Server VPN, come crearlo usando un NAS
- Connessione VPN in Windows con OpenVPN

Il vantaggio, in entrambi i casi, è che basterà installare sul PC o sul dispositivo mobile un client OpenVPN con i parametri del proprio server VPN e, una volta stabilita la connessione remota, si avrà anche la possibilità di accedere in sicurezza alle risorse condivise all'interno della propria LAN.

8) Assicurarsi di connettersi sempre alla WiFi giusta
Creare un hotspot WiFi è semplicissimo: lo può fare chiunque e con qualunque dispositivo (tablet e smartphone compresi).
Un aggressore fisicamente posto nelle vicinanze può creare un access point WiFi caratterizzato dallo stesso SSID di un'altra rete (evil twin) con lo scopo di trarre in inganno gli utenti. È quindi bene essere consapevoli di questa eventualità (vedere Rubare la password WiFi: attenti agli evil twins) e attivare sempre la cifratura dei dati come spiegato ai punti precedenti.


Come navigare in sicurezza su rete WiFi pubblica o non protetta