64993 Letture

I rischi delle connessioni Wi-Fi: analisi e suggerimenti

  • Pagina 1: Wi-Fi: pericoli e soluzioni
  • Pagina 2: Reti VPN

L'accesso alle reti Wi-Fi pubbliche messe a disposizione all'interno di aeroporti, hotel, bar può talvolta nascondere delle insidie. Nel corso di questo articolo ci proponiamo di illustrare i potenziali rischi cui si va incontro e come sia possibile minimizzarli.
Una delle migliori soluzioni per fidare su un ottimo livello di sicurezza, consiste nell'utilizzo di una Virtual Private Network (VPN).

Le informazioni che transitano su una connessione Wi-Fi sono spesso particolarmente importati e debbono essere mantenute private. Si potrebbe trasmettere una password ad un collega, un'e-mail dai contenuti strettamente confidenziali, la foto di un momento importante.

Il networking Wi-Fi è intrinsecamente insicuro: l'obiettivo per cui è stato concepito, infatti, è quello di connettervi alla rete locale o ad Internet e non per mantenere lontani da occhi indiscreti i dati in transito. Quando ci si confronta con una connessione Wi-Fi questa dovrebbe essere considerata insicura per definizione: questo non significa assolutamente che un certo hotspot, un hotel od un aeroporto spalleggino le attività di utenti malintenzionati.
Adottando misure specifiche, Wi-Fi consente di proteggere l'accesso alla rete impedendo l'utilizzo della connessione alle persone non autorizzate ma non protegge le informazioni che vengono veicolate attraverso la rete.

Le principali minacce
Tra i rischi derivanti dall'uso di una connessione Wi-Fi vi è sicuramente quello che le informazioni trasmesse siano intercettate e "lette" con scopi fraudolenti. Un malintenzionato, dotandosi di uno sniffer, è potenzialmente in grado di appropriarsi dei dati che vengono trasmessi: è sufficiente che egli si apposti entro il raggio di copertura dell'antenna Wi-Fi dell'access point servendosi, ad esempio, di un computer portatile e di un'economica scheda Wi-Fi.
Se la rete Wi-Fi oggetto dell'"attacco" non adotta alcuna delle misure di sicurezza illustrate più avanti, il malintenzionato che utilizza il software "sniffer" deve soltanto intercettare il segnale Wi-Fi ed accedere alla rete senza filo. Il software "sniffer" può così permettere la decodifica dei dati in transito ed estrapolare tutti i messaggi in chiaro quali, ad esempio, le conversazioni in corso attraverso programmi per la messaggistica istantanea, le e-mail in arrivo ed in uscita, i siti web visitati e così via.
Esiste un gran numero di software, sia per piattaforma Windows che per sistemi Linux e Macintosh, in grado di rilevare la presenza e la disponibilità di reti Wi-Fi oltre ad estrarre i dati in corso di trasmissione.
Il fatto che una password in Windows, per esempio, sia "oscurata" mediante la visualizzazione di una serie di asterischi non ha nulla a che vedere con i dati che vengono scambiati attraverso la connessione di rete. Nel caso di una connessione Wi-Fi, non si è quindi mai al sicuro: si possono comunque ridurre i rischi utilizzando una qualche forma di crittografia.

Anche in ambito Wi-Fi una delle minacce principali è rappresentata dai virus worm. Una LAN, sia essa Wi-Fi od Ethernet, è sicuramente uno degli ambienti che maggiormente facilitano la diffusione di virus. E' noto come nel contrastare la diffusione di worm non sia utile solo l'antivirus ma anche un firewall. Quest'ultimo, infatti, è in grado di bloccare - se ben configurato - attività sospette che siano avviate su una o più porte. Un buon firewall è generalmente in grado di bloccare un'infezione da worm su sistemi, per esempio, non adeguatamente "patchati" con gli ultimi aggiornamenti di sicurezza. Nel caso delle reti locali, però, il firewall viene di solito regolato in modo tale che consenta tutto il traffico veicolato attraverso la LAN. Questo può comportare diversi rischi nel caso di reti Wi-Fi perché mostra il fianco all'azione di worm e malware semplificando anche eventuali tentativi di accesso da parte di utenti non autorizzati.

Molte reti Wi-Fi utilizzano gli stessi intervalli di indirizzi IP privati impiegati nelle classiche reti LAN aziendali o domestiche. Il risultato, quindi, è che a molti firewall queste connessioni Wi-Fi appaiono come una qualsiasi rete locale: alcuni firewall informano l'utente circa la disponibilità della nuova rete ma altri provvedono ad aggiungerla tra i network "fidati" senza colpo ferire, a secondo della specifica configurazione.


Solitamente ogni tipo di servizio può essere separatamente crittografato per proteggerne le attività nell'ambito della rete locale o su Internet. Va osservato, tuttavia, che la codifica di ogni singola tipologia di connessione introduce numerose problematiche accessorie in termini di complessità, flessibilità e costo.

Quanto si attiva la crittografia su una connessione Wi-Fi, significa che tutti coloro che utilizzando la rete condividono la stessa chiave. Questa consente di impedire l'accesso da parte di utenti che non siano in possesso della chiave stessa. L'autenticazione aggiunge all'approccio introdotto con la crittografia un carattere di "unicità". Ogni utente fa uso, infatti, di uno specifico account personale dotato di una chiave crittografica "ad hoc".

I dati in transito su una connessione Wi-Fi possono essere protetti utilizzando tre differenti approcci:
- WEP (Wired Equivalent Privacy). L'algoritmo WEP può essere violato e non va quindi considerato come sicuro. La chiave WEP può essere infatti recuperata da parte di malintenzionati che a quel punto avrebbero pieno accesso alla rete Wi-Fi.
- WPA (Wi-Fi Protected Access). WPA è ampiamente supportato: la sua introduzione si è determinata per colmare le lacune di WEP. WPA permette l'utilizzo di una chiave TKIP (Temporal Key Integrity Protocol). Scegliendo una chiave TKIP con cura, si potrà fidare su un buon livello di sicurezza, almeno in ambiente domestico.
- WPA2. Nuova versione, rivista, dell'algoritmo WPA. WPA2 aggiunge una chiave crittografica più efficace conosciuta con l'acronimo CCMP (Counter-mode CBC MAC Protocol), derivata dall'algoritmo AES (Advanced Encryption System).

WPA e WPA2 sono sovente affiancati da una forma di autenticazione dell'utente conosciuta come 802.1X. L'impiego combinato di WPA/WPA2 e di 802.1X consente di evitare che un utente sulla rete possa "vedere" i dati relative alle connessioni altrui fintanto che questi non vengano veicolati poi attraverso una rete Ethernet: in questo caso le informazioni diverrebbero nuovamente visibili.


In ciascuna configurazione di rete ci sono rischi differenti e diverse opportunità per mitigare i pericoli:

Hotspot
Molti punti di accesso Wi-Fi non impiegano alcun algoritmo crittografico oppure, qualora lo utilizzassero, fanno uso di una chiave comune che non impedisce l'adozione di software "sniffer" da parte di utenti malintenzionati che fossero eventualmente connessi. Le aree di copertura degli hotspot sono quelle più facilmente prese di mira da parte di aggressori per impossessarsi in modo fraudolento, ad esempio, di numeri di carte di credito o delle credenziali di accesso a servizi di online banking.

Casa
In ambiente domestico, a meno che non si viva in un'area molto sperduta, è indispensabile prendere tutte le precauzioni atte ad impedire eventuali attività maligne messe in atto da parte di vicini o di persone che dovessero trovarsi nell'area di copertura dell'access point.
Se si vive in un'area urbana, soprattutto se densamente popolata, sono assai elevate le possibilità che una connessione Wi-Fi domestica non protetta sia utilizzata in modo non autorizzato.

Ufficio
In azienda è molto più semplice controllare gli accessi alla rete Wi-Fi rispetto all'ambiente domestico. Purtuttavia, come confermato da molti recenti studi, molte realtà aziendali non si difendono in modo adeguato.
L'utilizzo di WEP è inappropriato, come già evidenziato, per qualunque tipo di utilizzo, soprattutto in ambito business.
WPA e WPA2 sono entrambi accettabili a patto che in azienda si provveda a cambiare frequentemente ha chiave e che gli impiegati siano a conoscenza dell'importanza di proteggere la "passphrase".
Un malintenzionato che, magari sfruttando tecniche di "ingegneria sociale", riesca ad impossessarsi della "passphrase" può mettere a rischio la sicurezza di tutti gli utenti della rete.
Le imprese dovrebbero quindi seriamente valutare l'adozione di 802.1X o di WPA Enterprise che combina semplicità ed affidabilità.
Soltanto le aziende che utilizzano esclusivamente reti Ethernet sono generalmente al sicuro dato che nessuna persona, posta fisicamente fuori dalla struttura, può guadagnare accesso ad una qualsiasi porta Ethernet.

  • Pagina 1: Wi-Fi: pericoli e soluzioni
  • Pagina 2: Reti VPN

I rischi delle connessioni Wi-Fi: analisi e suggerimenti - IlSoftware.it