Criminali informatici e reti wireless

Secondo alcuni studi realizzati da uno dei nostri esperti di San Paolo poco prima dell’inizio del Mondiale, 1 rete wireless su 4 usa uno standard aperto, non criptato. Fate quindi molta attenzione.

I progressi nel campo della telefonia mobile e la grande diffusione delle app mobile (ne esiste una per ogni esigenza) hanno portato inevitabilmente a un fatti concreto: per poter usufruire della tecnologia e di tutti questi servizi è inevitabile che per questi dispositivi passino dati sensibili. Sia che si tratti del vostro CV di LinkedIn, di foto personali inviate al vostro ragazzo/a via WhatsApp, Viber o altre app simili, password usa e getta per la banca online, inviamo e riceviamo continuamente dati sui nostri dispositivi mobili. Sfortunatamente la maggior parte delle persone non si rendono conto di quanto sia facile intercettare tali dati. Lo potrebbe fare chiunque, anche la persona che si trova seduta a 10 metri da voi in questo momento. Ecco perché vi ripetiamo siempre di non fidarvi di nessuno.

La tessera principale del puzzle è rappresentata dalle reti Wi-Fi pubbliche e dalla mancanza di sicurezza all’interno delle app. La connessione Internet del telefono è a pagamento e talvolta è cara, specialmente si state viaggiando all’estero. Ecco perché le persone spesso ricorrono alle reti wireless gratuite degli aeroporti, delle caffetterie e degli hotel, e nella maggior parte dei casi ci si connette senza la dovuta attenzione. Secondo alcuni studi realizzati da uno dei nostri esperti di San Paolo poco prima dell’inizio del Mondiale (studi che vertevano sul tipo di crittografia presente su queste reti), 1 rete wireless su 4 usa uno standard aperto, e non uno criptato.

Se usate uno standard aperto, chiunque può ficcare il naso nel vostro traffico e vedere quali dati state inviando. Se usate uno standard WEP, la crittografia potrebbe essere scavalcata in non più di 5 minuti. Perciò, in linea di massima, la maggior parte delle reti gratuite sparse in giro per il mondo possono essere hackerate dai criminali in pochi secondi.

Wi-Fi studio San Paolo 1

Wi-Fi studio San Paolo 2Per questo motivo, vi consigliamo di connettervi alle reti che usano lo standard WPA2, molto più sicuro. Tuttavia, a volte, è difficile non connettersi ad altre reti. Aggiungiamo che non è possibile controllare tutto quello che viene trasmesso attraverso una connessione aperta.

Inoltre, quando usate un browser mobile, controllare sempre che nella barra dell’indirizzo sia presente il lucchetto che indica la presenza del protocollo HTTPS.

La situazione è diversa se si usano app mobile. Non si può sapere quale protocollo usa tale app. Gli esperti di sicurezza hanno scoperto che molte app usano tuttora un protocollo aperto per comunicare internamente con il server, come nel caso dell’HTTP (a differenza del HTTPS) e sappiamo che le connessioni HTTP sono vulnerabili al sequestro di sessioni, furto di password o violazione di contenuti. Per esempio, se state utilizzando un’app di messaggistica istantanea, le persone possono vedere in plaintext le vostre conversazioni. Si tratta di un problema reale che persiste nelle applicazioni per mobile. Persino Google, Facebook o Twitter hanno avuto qualche problema con il protocollo SSL in relazione alle versioni delle loro app del 2011. Fino all’estate del 2012, WhatsApp, una delle app di messaggistica istantanea più popolari, trasmetteva tutti i contenuti in formato non criptato. Se qualcuno usa ancora il messeneger di Yahoo messenger o ICQ, a queste persone, purtroppo, dobbiamo dare un brutta notizia: utilizzano tuttora il protocollo in plaintext. E così tutte le conversazioni vengono inviate senza crittografia e possono essere facilmente intercettate in una Wi-Fi aperta. È difficile immaginare quante applicazioni utilizzano ancora il protocollo in plaintext, sebbene bisogna ammettere che alcune aziende di “serie A” non hanno ancora implementato la crittografia.

La maggiorparte delle app mobile trasmettono i dati in un formato non criptato e non avvisano in caso di problemi di crittografia gravi.

Dal punto di vista tecnico, aggiungiamo che molte app mobile non avvisano gli utenti circa i problemi con il certificato SSL, rendendo quasi impossibile individuare un attacco man-in-the-middle.

Naturalmente sarebbe facile dare un consiglio semplice come, per esempio, “non usate le app mobile quando dovete trasmettere informazioni o dati sensibili”. Tuttavia, nella realtà non è possibile seguire questa raccomandazione; ritorneremmo inevitabilmente indietro nel tempo di un secolo. Vi consigliamo quindi un approccio meno radicale:

  • Usare un servizio 3G/4G invece della rete Wi-Fi offerta in certi luoghi pubblici – se ne avete la possibilità;
  • Preferire sempre le connessioni Wi-Fi WPA2;
  • Adottare una VPN sul dispositivo mobile;
  • Evitare operazioni “sensibili”, come quelle di banca online, in ambienti pubblici e attraverso network non di fiducia (non fidatevi di nessuna rete, eccetto quelle di casa e dell’ufficio).
Consigli