I rischi delle connessioni Wi-Fi: analisi e suggerimenti

L’accesso alle reti Wi-Fi pubbliche messe a disposizione all’interno di aeroporti, hotel, bar può talvolta nascondere delle insidie. Nel corso di questo articolo ci proponiamo di illustrare i potenziali rischi cui si va incontro e come sia possibile minimizzarli.
Una delle migliori soluzioni per fidare su un ottimo livello di sicurezza, consiste nell’utilizzo di una Virtual Private Network (VPN).

Le informazioni che transitano su una connessione Wi-Fi sono spesso particolarmente importati e debbono essere mantenute private. Si potrebbe trasmettere una password ad un collega, un’e-mail dai contenuti strettamente confidenziali, la foto di un momento importante.

Il networking Wi-Fi è intrinsecamente insicuro: l’obiettivo per cui è stato concepito, infatti, è quello di connettervi alla rete locale o ad Internet e non per mantenere lontani da occhi indiscreti i dati in transito. Quando ci si confronta con una connessione Wi-Fi questa dovrebbe essere considerata insicura per definizione: questo non significa assolutamente che un certo hotspot, un hotel od un aeroporto spalleggino le attività di utenti malintenzionati.
Adottando misure specifiche, Wi-Fi consente di proteggere l’accesso alla rete impedendo l’utilizzo della connessione alle persone non autorizzate ma non protegge le informazioni che vengono veicolate attraverso la rete.

Le principali minacce
Tra i rischi derivanti dall’uso di una connessione Wi-Fi vi è sicuramente quello che le informazioni trasmesse siano intercettate e “lette” con scopi fraudolenti. Un malintenzionato, dotandosi di uno sniffer, è potenzialmente in grado di appropriarsi dei dati che vengono trasmessi: è sufficiente che egli si apposti entro il raggio di copertura dell’antenna Wi-Fi dell’access point servendosi, ad esempio, di un computer portatile e di un’economica scheda Wi-Fi.
Se la rete Wi-Fi oggetto dell'”attacco” non adotta alcuna delle misure di sicurezza illustrate più avanti, il malintenzionato che utilizza il software “sniffer” deve soltanto intercettare il segnale Wi-Fi ed accedere alla rete senza filo. Il software “sniffer” può così permettere la decodifica dei dati in transito ed estrapolare tutti i messaggi in chiaro quali, ad esempio, le conversazioni in corso attraverso programmi per la messaggistica istantanea, le e-mail in arrivo ed in uscita, i siti web visitati e così via.
Esiste un gran numero di software, sia per piattaforma Windows che per sistemi Linux e Macintosh, in grado di rilevare la presenza e la disponibilità di reti Wi-Fi oltre ad estrarre i dati in corso di trasmissione.
Il fatto che una password in Windows, per esempio, sia “oscurata” mediante la visualizzazione di una serie di asterischi non ha nulla a che vedere con i dati che vengono scambiati attraverso la connessione di rete. Nel caso di una connessione Wi-Fi, non si è quindi mai al sicuro: si possono comunque ridurre i rischi utilizzando una qualche forma di crittografia.

Anche in ambito Wi-Fi una delle minacce principali è rappresentata dai virus worm. Una LAN, sia essa Wi-Fi od Ethernet, è sicuramente uno degli ambienti che maggiormente facilitano la diffusione di virus. E’ noto come nel contrastare la diffusione di worm non sia utile solo l’antivirus ma anche un firewall. Quest’ultimo, infatti, è in grado di bloccare – se ben configurato – attività sospette che siano avviate su una o più porte. Un buon firewall è generalmente in grado di bloccare un’infezione da worm su sistemi, per esempio, non adeguatamente “patchati” con gli ultimi aggiornamenti di sicurezza. Nel caso delle reti locali, però, il firewall viene di solito regolato in modo tale che consenta tutto il traffico veicolato attraverso la LAN. Questo può comportare diversi rischi nel caso di reti Wi-Fi perché mostra il fianco all’azione di worm e malware semplificando anche eventuali tentativi di accesso da parte di utenti non autorizzati.

Molte reti Wi-Fi utilizzano gli stessi intervalli di indirizzi IP privati impiegati nelle classiche reti LAN aziendali o domestiche. Il risultato, quindi, è che a molti firewall queste connessioni Wi-Fi appaiono come una qualsiasi rete locale: alcuni firewall informano l’utente circa la disponibilità della nuova rete ma altri provvedono ad aggiungerla tra i network “fidati” senza colpo ferire, a secondo della specifica configurazione.

Solitamente ogni tipo di servizio può essere separatamente crittografato per proteggerne le attività nell’ambito della rete locale o su Internet. Va osservato, tuttavia, che la codifica di ogni singola tipologia di connessione introduce numerose problematiche accessorie in termini di complessità, flessibilità e costo.

Quanto si attiva la crittografia su una connessione Wi-Fi, significa che tutti coloro che utilizzando la rete condividono la stessa chiave. Questa consente di impedire l’accesso da parte di utenti che non siano in possesso della chiave stessa. L’autenticazione aggiunge all’approccio introdotto con la crittografia un carattere di “unicità”. Ogni utente fa uso, infatti, di uno specifico account personale dotato di una chiave crittografica “ad hoc”.

I dati in transito su una connessione Wi-Fi possono essere protetti utilizzando tre differenti approcci:
– WEP (Wired Equivalent Privacy). L’algoritmo WEP può essere violato e non va quindi considerato come sicuro. La chiave WEP può essere infatti recuperata da parte di malintenzionati che a quel punto avrebbero pieno accesso alla rete Wi-Fi.
– WPA (Wi-Fi Protected Access). WPA è ampiamente supportato: la sua introduzione si è determinata per colmare le lacune di WEP. WPA permette l’utilizzo di una chiave TKIP (Temporal Key Integrity Protocol). Scegliendo una chiave TKIP con cura, si potrà fidare su un buon livello di sicurezza, almeno in ambiente domestico.
– WPA2. Nuova versione, rivista, dell’algoritmo WPA. WPA2 aggiunge una chiave crittografica più efficace conosciuta con l’acronimo CCMP (Counter-mode CBC MAC Protocol), derivata dall’algoritmo AES (Advanced Encryption System).

WPA e WPA2 sono sovente affiancati da una forma di autenticazione dell’utente conosciuta come 802.1X. L’impiego combinato di WPA/WPA2 e di 802.1X consente di evitare che un utente sulla rete possa “vedere” i dati relative alle connessioni altrui fintanto che questi non vengano veicolati poi attraverso una rete Ethernet: in questo caso le informazioni diverrebbero nuovamente visibili.

In ciascuna configurazione di rete ci sono rischi differenti e diverse opportunità per mitigare i pericoli:

Hotspot
Molti punti di accesso Wi-Fi non impiegano alcun algoritmo crittografico oppure, qualora lo utilizzassero, fanno uso di una chiave comune che non impedisce l’adozione di software “sniffer” da parte di utenti malintenzionati che fossero eventualmente connessi. Le aree di copertura degli hotspot sono quelle più facilmente prese di mira da parte di aggressori per impossessarsi in modo fraudolento, ad esempio, di numeri di carte di credito o delle credenziali di accesso a servizi di online banking.

Casa
In ambiente domestico, a meno che non si viva in un’area molto sperduta, è indispensabile prendere tutte le precauzioni atte ad impedire eventuali attività maligne messe in atto da parte di vicini o di persone che dovessero trovarsi nell’area di copertura dell’access point.
Se si vive in un’area urbana, soprattutto se densamente popolata, sono assai elevate le possibilità che una connessione Wi-Fi domestica non protetta sia utilizzata in modo non autorizzato.

Ufficio
In azienda è molto più semplice controllare gli accessi alla rete Wi-Fi rispetto all’ambiente domestico. Purtuttavia, come confermato da molti recenti studi, molte realtà aziendali non si difendono in modo adeguato.
L’utilizzo di WEP è inappropriato, come già evidenziato, per qualunque tipo di utilizzo, soprattutto in ambito business.
WPA e WPA2 sono entrambi accettabili a patto che in azienda si provveda a cambiare frequentemente ha chiave e che gli impiegati siano a conoscenza dell’importanza di proteggere la “passphrase”.
Un malintenzionato che, magari sfruttando tecniche di “ingegneria sociale”, riesca ad impossessarsi della “passphrase” può mettere a rischio la sicurezza di tutti gli utenti della rete.
Le imprese dovrebbero quindi seriamente valutare l’adozione di 802.1X o di WPA Enterprise che combina semplicità ed affidabilità.
Soltanto le aziende che utilizzano esclusivamente reti Ethernet sono generalmente al sicuro dato che nessuna persona, posta fisicamente fuori dalla struttura, può guadagnare accesso ad una qualsiasi porta Ethernet.

Reti VPN

Per fidare su un livello di sicurezza più elevato, la soluzione migliore consiste nel cifrare i propri dati ad un livello più alto rispetto ai protocolli di rete, appena visti, per la crittografia e l’autenticazione. Ecco le varie alternative:
– Virtual Private Network (VPN). Con questo termine si abbracciano le metodologie software con le quali è possibile crittografare tutto il traffico in ingresso ed in uscita da un qualsiasi sistema. Lato client, il software può essere eseguito in maniera “stand alone” oppure dall’interno di un browser web. E’ tuttavia necessario un software lato server, all’interno della stessa rete locale o accessibile in remoto via Internet, che sia in grado di gestire la connessione VPN.
Alcuni clienti VPN sfruttano il protocollo PPTP (Point to Point Tunneling Protocol), considerato insicuro, oppure IPSec (IP Security), lo standard di crittografia sul quale viene oggi risposta fiducia (opera poggiando sul protocollo L2TP; Layer 2 Tunneling Protocol).
– SSL (Secure Sockets Layer) o TLS (Transport Layer Security). Protegge la singola sessione di comunicazione, ad esempio quella instauratasi tra il browser (Internet Explorer, Firefox,…) ed un sito web “sicuro” oppure tra il client di posta elettronica ed un server mail sicuro. SSL deve essere supportato sia dal client che dal server.
– SSH (Secure Shell) viene utilizzato invece per effettuare connessioni relative ad una singola tipologia di comunicazione.
– PGP (Pretty Good Privacy) o GPG (GNU Privacy Guard). Una metodologia che consente di proteggere soltanto il contenuto di un messaggio di posta elettronica o di un file in modo tale che solo le persone in possesso della chiave corretta possano accedervi. Entrambi gli “interlocutori” debbono disporre di un software di crittografia compatibile ed essersi prcedentemente scambiati una chiave pubblica.

L’utilizzo di una VPN può risolvere ogni problema rigettando od ignorando tutti i tentativi di connessione al proprio computer provenienti dai sistemi che appaiono collegati alla rete locale.

La stragrande maggioranza delle reti odierne, compresa la rete Internet, sono basate sul protocollo IP. Questo non offre alcuna garanzia in termini di sicurezza.
Per rendere sicure le comunicazioni instradate attraverso Internet, quindi, è necessario sfruttare altri protocolli che operino ad un livello più alto rispetto ad IP. Questi protocolli possono essere implementati singolarmente nelle varie applicazioni: un browser, ad esempio, consente l’avvio di connessioni sicure SSL.
Gli utenti che fanno uso di connessioni wireless non possono però affidarsi a misure di sicurezza che riguardino il livello applicazione del protocollo IP.
IPSec è la soluzione dei problemi. Operativo al livello di trasporto, il protocollo IPSec è “trasparente” per le varie applicazioni utilizzate dall’utente. Il risultato è che tutto il traffico Internet viene protetto nello stesso modo e non dipende dalle metodologie eventualmente implementate dalle singole applicazioni installate. Le reti VPN basate su IPSec fanno uso di servizi per la protezione dei dati basati sulla crittografia, protocolli di sicurezza, algoritmi per la gestioni dinamica delle chiavi così da creare una sorta di canale di comunicazione (“tunnel”) sicuro tra due o più sistemi collegati alla rete.

IPSec garantisce l’integrità dell’informazione verificando che questa sia consistente tra sorgente e destinazione; si basa sull’autenticazione in modo tale da assicurare che i dati ricevuti siano esattamente gli stessi inviati e che il mittente sia davvero colui che dichiara di essere; consente di mantenere la riservatezza dei dati poiché solo i destinatari designati dal mittente possono decifrare e quindi leggere in chiaro le informazioni trasmesse attraverso la rete VPN.
Poiché IPSec è studiato per trattare adeguatamente tutti gli aspetti legati alla protezione dei dati in transito su reti sconosciute o potenzialmente pericolose, il suo impiego diventa ideale per gli utenti che si collegano agli hotspot Wi-Fi.

Per la creazione di una VPN sono molte le soluzioni disponibili sul mercato.
Hamachi è un software gratuito che non richiede competenze specifiche e che consente di fare in modo che uno o più computer (remoti, per esempio) appaiano come fisicamente collegati alla propria rete locale. Si pensi solo alla comodità di utilizzare, anche da postazioni remote, la condivisione file di Windows in maniera totalmente sicura (le informazioni vengono veicolate su un canale cifrato).
Hamachi è stato inoltre sviluppato con un’architettura aperta: ogni sua caratteristica peculiare è dettagliatamente documentate a beneficio di tutti gli interessati.

Una volta installato, Hamachi – così come gli altri software della sua categoria – aggiungono una nuova interfaccia di rete alla lista di quella già presenti in Windows. Anche questa interfaccia di rete è soggetta alle regole di default del firewall eventualmente installato. Se si utilizza il firewall integrato in Windows XP oppure un altro prodotto sviluppato da terze parti, è necessario adeguarne correttamente la configurazione in modo da consentire il traffico veicolato sull’interfaccia di rete aggiunta da Hamachi.

Le comunicazioni veicolate attraverso l’infrastruttura software messa a disposizione da Hamachi sono protette da eventuali attacchi durante il transito in Internet. Il protocollo usato garantisce massima privacy e sicurezza.

Hamachi è disponibile al momento nelle versioni per Windows 2000, Windows XP e Windows Server 2003. Esistono anche versioni basate su console per Linux e Mac OS X.