skip to main | skip to sidebar
13 commenti

Europol: non usate i WiFi pubblici, sono a rischio di furto di dati. Come difendersi

Troels Oerting, responsabile dell'Europol (Ufficio di Polizia Europeo) per la lotta al crimine informatico, ha messo in guardia gli internauti contro il rischio di furto di dati sensibili se usano gli accessi WiFi pubblici.

In un'intervista alla BBC, Oerting ha segnalato la crescita degli attacchi effettuati utilizzando questi accessi “per rubare informazioni, identità o password e soldi... dovremmo insegnare agli utenti che non dovrebbero gestire informazioni sensibili quando usano un WiFi aperto non sicuro.” Il WiFi di casa va bene, ha aggiunto, ma è meglio evitare l'accesso senza fili spesso offerto da luoghi di ristoro o locali pubblici.

La tecnica d'attacco è semplice: il criminale crea un hotspot WiFi che somiglia a quelli pubblici (non è difficile, basta un laptop o uno smartphone) e convince le persone a collegarsi a Internet tramite quell'hotspot. In questo modo i dati delle vittime transitano dai dispositivi del criminale che, con il software opportuno, può intercettarli e decifrarli.

L'attacco in sé non è una novità (in gergo si chiama “man in the middle”, letteralmente “uomo che si mette in mezzo”): uno dei casi più noti riguarda il Parlamento europeo, che qualche mese fa ha spento il proprio sistema WiFi pubblico dopo che un informatico ha dimostrato quanto era facile usarlo per compiere proprio questo genere d'incursione.

La difesa, per fortuna, è semplice: usare la connessione dati cellulare invece del WiFi. Purtroppo questo diventa assai costoso se si è in roaming. In casi come questo si può usare il WiFi pubblico, avendo però l'accortezza di adottare un software di cifratura della connessione (VPN), che ha il vantaggio aggiuntivo di mascherare la reale posizione geografica e di scavalcare i filtri adottati da molti fornitori d'accesso (consentendo, per esempio, di vedere i video di Youtube che hanno restrizioni geografiche). Alcuni nomi: Anonymizer, Avast SecureLine, TunnelBear, disponibili per Windows, Android e iOS.


Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
Articolo interessante, grazie.
Ottengo lo stesso risultato se creo una VPN con tunnel IPSEC verso la connessione di casa? Ho visto che ad esempio Avast! è a pagamento.
In caso di un attacco con man in the middle, i siti che dispongono di certificato e connessione https vengono visualizzati normalmente?
La VPN sarebbe ovviamente un buon modo per evitare il problema, purtroppo è una "noia" aggiuntiva che dubito siano in molti a prendersi la briga di fare... Bisognerebbe utilizzare un protocollo di autenticazione dei router alla rete, ovvero che sia la connessione ad essere criptata da parte "server" e non "client".
In realtà tutti e tre sono a pagamento (alche se TunnelBear è disponibile in versione limitata free).

Paolo (o chi vorrà rispondermi),

cosa ne pensi di https://www.express-vpn.com/? Ci sono letteralmente centinaia di opzioni... come scegliere?

Ciao e complimenti
dall'articolo: ""We should teach users that they should not address sensitive information while being on an open insecure wi-fi internet.

Sensitive data should only be swapped via home networks "They should do this from home where they know actually the wi-fi and its security, but not if you are in a coffee shop somewhere you shouldn't access your bank or do all of these things that actually transfer very sensitive information."

A me sembra che questa informazione un po' fuorviante e pericolosa. Dà l'impressione che basti non entrare nel sito internet della banca etc. per risolvere il problema, ma non tiene infatti conto del fatto che i computer spesso si connettono automaticamente, tramite password, ad un gran numero di siti: dropbox, itunes, iclouds. La trasmissione di una password criptata è identica sia che venga composta sulla tastiera che se viene trasmessa automaticamente (qui non stiamo parlando di keyloggers...).

E dato che le password, specie nel caso degli utenti più ingenui cui si rivolge questo articolo probabilmente, usano la stessa password per gli stessi servizi, anche senza connettersi ad un servizio sensibile come la banca si rischia la truffa. L'unica valida proposta è, purtroppo, quella di non connettersi a servizi pubblici senza avere verificato con attenzione che il nome dell'hotspot sia quello giusto.

O sbaglio?

Alla fine tutte le soluzioni che si trovano sul web sembrano essere a pagamento.
Se il problema si aggirasse lo stesso con una VPN "casalinga" per chi sa smanettare un po' di più e ha un router più o meno "aperto" è la soluzione migliore almeno per quanto riguarda android che ha il supporto a VPN nativo (su iOS non so come sono messi).
Quasi OT:
volevo segnalare che Giornalettismo oggi riporta la notizia (già sentita, e mi pare proprio su questo blog) dell'hacking via onde sonore (http://tinyurl.com/nosuoo3). Non sono però in grado di capire se Dylan Love (c'è un link nell'articolo) abbia effettivamente trovato qualche conferma sperimentale (viene citato un articolo del novembre 2013, direi al di là delle mie competenze; da una breve ricerca posso solo dire che la rivista - journal of communications - non figura nell'elenco ISI), e ne stia dando notizia, o se abbia voluto rilanciarla un po' a vuoto.
Grazie Mille Paolo di ricordare questo tema che come probabilmente sai mi sta tanto a cuore, mi fa piacere leggere negli ultimi tempi un interesse collettivo verso questa tematica.

Rispondo un po' ai commenti che ho letto:
Commento #1 e #6 - Puoi crearti una VPN casalinga senza alcun problema e questa ti garantirà la sicurezza dei tuoi dati, per crearla puoi sfruttare il tuo PC o più comodamente il router di casa se supporta tale funzionalità, per esempio i Modem ADSL Asus da diverso tempo integrano tale funzione. Sia iOS che Android hanno il supporto alle VPN!

#Commento 2 - Ni, in linea di massima la risposta è sì i siti vengono visualizzati correttamente, tali siti che implementano HTTPS solitamente implementano anche la crittografia delle password. Ovvero la richiesta GET o POST che viene fatta dal PC verso il Server integra la password digitata in maniera crittografata, aumentando ovviamente la sicurezza della trasmissione. Puoi trovare una dimostrazione pratica nel mio Talk al Linux Day di Orvieto: http://www.oversecurity.net/2013/10/28/linux-day-2013-orvieto-diario-di-viaggio-e-slide/

#Commento 3 - ProXPN per gli account gratuiti offre solo server Americani, un limite della banda passante a 300Kb/s e un filtro sul traffico Torrent, offre invece traffico illimitato. Con la versione Premium possiamo eliminare ogni limite scegliendo a nostro piacimento la dislocazione del server e ci viene fornito anche un client compatibili con i dispositivi mobili iOS e Android. (fonte http://www.html.it/articoli/vpn-gratuite-le-migliori/)

Commento #4 - Non l'ho mai provato, grazie comunque della segnalazione!

Commento #5 - ;) Yes, anzi non connettiamoci proprio e se è necessario usiamo VPN sicure!

@Andrea Draghetti

Ciao! Quindi, se ho capito bene, il messaggio 'subliminale' è che ProXPN è il più meglio?
Tutto tace... :) Penso che alla fine sceglierò http://www.goldenfrog.com/vyprvpn, pare uno dei più prestanti. Un saluto!
>> "La difesa, per fortuna, è semplice: usare la connessione dati cellulare invece del WiFi."


Ecco una cosa che mi sono sempre chiesto: la connessione dati quanto è sicura? E' "sniffabbile" solo dagli operatori di rete ?
E aggiungo, anche un hotspot wep non e' sicuro, una volta scoperta la password (e in pochi minuti la si scopre) e' possibile eseguire lo stesso attacco.

Il consiglio della VPN e' pienamente condivisibile, anche io uso OpenVPN.
Buongiorno, vorrei installare avast premium sul PC ma sono indeciso, secondo voi è meglio avast secureline vpn oppure premium? grazie attendo una vostra risposta e buona giornata. Enzo