Cerca nel blog

2010/05/17

Multa in Germania per i Wifi aperti? Non proprio

Germania, multa se non si lucchetta il Wifi? Sentenza da chiarire


Photo Credit: RafeB (Flickr). L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Avrete probabilmente letto i titoli che parlano di connessioni Wifi personali che in Germania devono essere "protette per legge" (Punto Informatico) perché altrimenti "ti multano" (Tom's Hardware).

Chi si è fermato ai titoli potrebbe avere l'impressione che d'ora in poi avere una connessione Wifi aperta in Germania sarà un reato punito dalla legge. E magari si chiede se una norma del genere non possa estendersi al proprio paese, magari sull'onda del provvedimento tedesco.

La questione è un po' diversa da come la presentano i titoli (gli articoli linkati sopra, va detto, spiegano meglio la questione nel loro testo). Non c'è alcun obbligo di proteggere l'accesso alla propria connessione Wifi: non ci saranno ronde di poliziotti armati di scanner Wifi che multeranno chi non provvedesse a lucchettare con una password il proprio access point. Più semplicemente, se un utente lascerà libero accesso alla propria connessione Wifi e qualcuno la userà per commettere un reato, l'utente sarà considerato parzialmente responsabile di quel reato. In quel caso, e solo in quel caso, l'utente tedesco rischierà una multa massima di 100 euro.

Nel caso specifico che ha generato la notizia, la Corte federale di giustizia tedesca (Bundesgerichtshof) a Karlsruhe si è pronunciata in merito alla causa intentata da un musicista (che secondo varie fonti non sarebbe stato identificato dal tribunale ma stando a Focus.de è legato al brano intitolato Sommer unseres Lebens di Sebastian Hämer) nei confronti di un utente Internet la cui connessione Wifi senza fili era stata utilizzata da ignoti per scaricare illegalmente una canzone che poi era stata immessa in un circuito di scambio file.

L'utente era stato identificato in base al suo indirizzo IP, ma era riuscito a dimostrare che era in vacanza al momento del misfatto ed è stato quindi ritenuto non colpevole di violazione del diritto d'autore. Tuttavia il tribunale lo ha giudicato comunque in parte responsabile perché non aveva protetto la propria connessione contro abusi da parte di terzi. Va notato un altro dettaglio che molte fonti non hanno riportato: l'imputato aveva sì protetto la propria connessione, ma aveva usato la password di default del fabbricante del proprio apparato Wifi, che è facilmente reperibile da chiunque.

La cosa interessante è che il tribunale ha deciso inoltre che gli utenti non saranno tenuti ad aggiornare continuamente le proprie misure di sicurezza, ma dovranno soltanto proteggere la propria connessione impostando una password (diversa da quella predefinita) al momento della prima installazione.

La misura legale è destinata a far discutere, anche perché scavalcare queste password sta diventando sempre più semplice. Network World segnala che in Cina sono in vendita a poche decine di dollari apparecchietti da collegare alla porta USB di un computer che permettono di decifrare le chiavi WEP e WPA delle reti Wifi nel giro di pochi minuti nel caso di protezione WEP (la WPA viene attaccata per bruteforcing, ossia per tentativi ripetuti). Ed esistono dei servizi che per una ventina di dollari promettono di restituire la password WPA di una rete Wifi protetta secondo i criteri della sentenza tedesca.

Speriamo che chi deve giudicare questi casi, in Germania e ovunque si dovesse pensare di introdurre sanzioni analoghe o principi giuridici dello stesso tipo, si tenga al corrente di queste novità tecniche, altrimenti si rischia di punire gli innocenti. In fin dei conti, è come se qualcuno si introducesse in casa nostra forzando la porta, rubasse un nostro coltello e lo usasse per un delitto, e poi condannassero noi come corresponsabili per aver fornito il coltello.

Fonti: CrunchGear, ItaliaSW, Associated Press, BBC, ZeroPaid, InfoSecurity Magazine, Focus.de.

21 commenti:

Max Senesi ha detto...

Craccano anche il WPA2? Sapevo che il WEP era un gruviera e che il WPA aveva problemi, ma speravo che il WPA2 fosse un po' meglio

Camicius ha detto...

E se io ho un vecchio apparecchio che non supporta né WEP né WPA? O magari se con WPA e WEP le sue prestazioni degradano fortemente?

Claudio ha detto...

@Max Senesi
Il WPA al momento "avrà" problemi. Sta dimostrando di avere qualche vulnerabilità, ma non di quelle che permettono di risalire alla chiave di accesso, ad esempio; nel giro di un paio d'anni probabilmente sarà completamente vulnerabile, IMHO.
Al momento WPA e WPA2, dal punto di vista dello script kiddie o comunque della maggior parte delle persone, sono equivalenti: occorre una password bella lunga e ben casuale per essere protetti.

@Camicius
A questo punto per evitare una multa da 100 euro se ne pagano 30 per comprare un AP decente.

Camicius ha detto...

@Claudio
Non parlo di AP, ma di client. Magari integrato in un vecchio portatile. Che non ho soldi, voglia e tempo di cambiare perché funziona benissimo. Magari ho bisogno di qualche centinaio di euro e qualche serata di lavoro.
Ma ripeto: a quale pro?

Domenico_T ha detto...

Il concetto della responsabilità condivisa in Germania vale anche per gli incidenti in auto dopo aver assunto alcool.

Hanno due limiti (che ora non ricordo). Se superi il più alto ti levano la patente mentre se superi il più basso ed hai un incidente, vale il concorso di colpa anche se non sei pienamente responsabile.

La filosofia è "non sei sbronzo, ma se fossi stato sobrio avresti potuto evitare l'incidente".

Francesco ha detto...

La massima sicurezza è l'accesso tramite IP fisso, ma è troppo per i miei gusti e sicurezza. Sticazzi, mi tengo il WPA2 tanto le possibilità che qualcuno la cracchi sono infinitesimali.

ROBERTO ha detto...

Sono d'accordo Domenico-T, la tua filosofia non fa una piega, si sa però che in certi casi è destino dato che una svista, un malore, ecc., può capitare a chiunque...., ma entrare a casa di altri senza chiedere il permesso può creare molti danni sia diretti che indiretti, quindi spingersi fino a rovinare la vita di coloro che non centrano( una reazione a catena...),
Dovrebbero tirare le orecchie ai Governi che avendo voce in capitolo non fanno rispettare l'incolumità dei loro cittadini, dato che un paese esiste perché in esso ci sono delle persone....Non siamo tutelati.
Speriamo bene.

Mousse ha detto...

Come se non bastasse esistono access point installati dalle aziende telefoniche su cui non si può intervenire cambiando la password.

In Spagna per esempio è stato scoperto l'algoritmo di generazione delle password (che è basato sull'SSID del dispositivo, una roba di una dabbenaggine sconcertante) e si trovano in rete degli script che, sulla base dell'SSID permettono di individuare la password.

Sugli algoritmi di codifica: il WPA è si più sicuro del WEP ma non è assolutamente inattaccabile, ci sono delle situazioni in cui l'access point invia alcuni dati che possono essere usati per "crackare" la connessione e connettersi al posto di un client "regolare".

Un consiglio utile, oltre al banale cambio di password di default, è attivare un filtro sugli indirizzi IP e sul MAC address, entrambi si possono "falsificare", ma almeno complichiamo la vita a chi usa gli scriptini trovati online per crackare le reti.
Scegliendo una password, usatene una il più possibile complessa e variata (inserendo numeri, lettere, caratteri speciali) e per non dimenticarla, scrivetela su un post-it SOTTO il router: finchè è in casa vostra difficilmente un malandrino che fa wardriving potrà venire a sbirciare :D

Sui client, basta impostarli in modo da non accettare connessioni...

Gino il Camionista ☂ ha detto...

@Domenico_T:
Dallo 0,3 per mille concorso di colpa in caso di incidente, dallo 0,5 per mille multona e 5 punti-patente, oltre l'1,1 per mille reato penale, sei mesi senza patente, multa megagalattica (30 o più aliquote) e in alcuni casi carcere.

Mr Wolf ha detto...

Ma... possibile che l'abbiano incolpato per un solo MP3 scaricato da chi si è agganciato alla sua rete???

MaiDireAudit ha detto...

Non so voi, ma io ho impostato la WPA2, l'IP fisso e il MAC address della macchina che si deve collegare (tre portatili, uno smartphone, un PC fisso e due stampanti). Oltre ad aver cambiato la password del router e dell'AP.
Sarò paranoico....

Mousse ha detto...

@MaiDireAudit: hai dimenticato di cambiare la password ogni mese con una diversa dalle tre precedenti e avere il log dell'AP sul desktop della macchina che stai usando aggiornato ogni 20 secondi. ^_^

Senza dimenticare di controllare che i Mac Address non siano stati falsificati..

Andrea F ha detto...

Credo che in questo caso valga la regola della sicurezza minima. Se qualcuno mi forza un wifi protetto per fare un reato, non posso essere considerato corresponsabile.
Seguendo l'esempio di Paolo, se lascio un coltello fuori dal portone di casa, sono corresponsabile del suo utilizzo. Ma se mi viene forzata la porta di casa e mi si ruba lo stesso coltello, non credo proprio possa essere considerato allo stesso modo.
Altro discorso ovviamente se parliamo della sicurezza dei propri dati.

Claudio ha detto...

@Camicius
Non possiamo stare a parlare delle decine di possibilità che non lasciano fare semplicemente "imposta da wpa a wpa2". Sai che hai il rischio che 1) ti entrino nella tua rete; 2) ti arrivi (se fossi in germania) una (modesta) multa.
Nel caso che hai citato tu, si risolve con una spesa di 10 euro: cavo ethernet. Non hai prese disponibili ? Altri dieci euro per uno switch da 4 soldi. Non hai tempo di comprare queste tre cose ? Scusa, ma queste mi sembrano scuse patetiche.

Sai che la serratura della tua automobile fà schifo ma la lasci "vulnerabile" in centro città ? Quasi sempre ti andrà bene, ma quando la useranno per una rapina, non so se sarai così contento di non aver speso quei 100 euro per riparare una serratura.

Milo ha detto...

E' obbiettivamente una misura esagerata.

Ma per riprendere il paragone che Paolo fa in chiusura d'articolo, se uno forza la serratura di casa mia, ruba un'arma da fuoco e commette un'omicidio vengo condannato per incauta custodia (anche se l'omicidio non viene commesso).

Il problema e' che forse un accesso libero a una rete wi-fi non e' paragonabile a un'arma da fuoco ma piu' spesso a un coltello da cucina.
E piu' che commettere crimini gravi come l'omicidio al massimo viene usato per qualche furtarello..

Turz ha detto...

@Paolo Attivissimo:
In fin dei conti, è come se qualcuno si introducesse in casa nostra forzando la porta, rubasse un nostro coltello e lo usasse per un delitto, e poi condannassero noi come corresponsabili per aver fornito il coltello.

Secondo me no, è come se qualcuno si introducesse in casa nostra perché non abbiamo chiuso la porta a chiave.
Forzare la porta è già un atto distruttivo come bucare il WEP.

Il fatto è che gli utenti su Internet, come tu stesso hai detto in altre occasioni, non sentono il bisogno di chiudere la porta a chiave come nella vita reale.

Federico ha detto...

@ Turz
mah, la porta era chiusa, anche se col solo nasello e senza doppia mandata (l'utente aveva lasciato la password di default, a quanto leggo).
Per me è follia, condivido le perplessità di Paolo anche se l'esempio del coltello è infelice (perché chi detiene un'arma ha, in effetti, specifici obblighi di custodia e risponde realmente se la rubano per commettere un delitto). Il punto è che mi pare una forzatura accostare una connessione wifi ad un'arma e, addirittura, criminalizzare chi lascia una connessione wifi senza password (lasciando accesso libero agli altri... non dico che meriterebbe un premio).
Non so, mi pare come punire chi lascia il proprio terreno senza recinzione se poi attraversa questo terreno per andare a commettere un reato.
Comunque mi pare che sia sfuggito un aspetto della storia, che deve indurre tutti estrema prudenza ed a non lesinare protezioni. C'è stata una sola multa di 100 euro perché l'utente ha potuto dimostrare la propria estraneità al fatto di pirateria (era partito). E se non avesse avuto alcun valido "alibi"? Le conseguenze sarebbero state ben peggiori. Proteggete, gente, proteggete.

Paolo Attivissimo ha detto...

condivido le perplessità di Paolo anche se l'esempio del coltello è infelice (perché chi detiene un'arma ha, in effetti, specifici obblighi di custodia e risponde realmente se la rubano per commettere un delitto)

Non sono tenuto a custodire sotto chiave i coltelli da cucina.

Claudio ha detto...

@Paolo
I coltelli da cucina non hanno nomi. Ma le auto rubate sì, hanno una targa.
http://attivissimo.blogspot.com/2010/05/multa-in-germania-per-i-wifi-aperti-non.html#c2796020074886081475

myollnir ha detto...

Mah, certo che venire a beccare qualcuno perché scarica UN mp3... qui in Italia saremmo tutti in galera. Perfino il Ministro dell'Interno scarica allegramente musica! No, dico: tutti questi incentivi alla banda larga, a che altro servono? Per guardarsi la posta basta(va)no ed avanza(va)no i vecchi 56k (il va è per gli allegati, che sono diventati pesanti anche loro). Poi, ci sono i pazzi. Nel mio palazzo c'è un wi-fi completamente aperto, se ci attacco il mulo ho anche ID alto, non so come sia possibile; io uso la mia DSL, ma se volessi scaricare, che so, pornopedofilia, o istruzioni di montaggio per un'autobomba? Chi va in galera?

Federico ha detto...

''Non sono tenuto a custodire sotto chiave i coltelli da cucina''.

No, certo... quando ho letto "coltello" ho pensato istintivamente a un'arma, non a un coltello da cucina: hai presente Mr Crocodile Dundee?
Comunque mi pare pazzesco.
Ciao
federico