Security Notes

Politici e manager italiani sono al corrente dei rischi che si corrono con le reti WiFi aperte?

mondo-wifi

Per esperienza personale vi dico da subito che, purtroppo, la maggioranza dei manager e politici che ho conosciuto non ha la più pallida idea dei rischi connessi a reti WiFi aperte. Ogni giorno incrociamo un numero cospicuo di reti aperte, in aeroporto, negli alberghi e in molti altri luoghi pubblici, ma siamo consapevoli dei rischi? Una rete aperta è, per molti, l’opportunità di avere una connessione gratis che consente di accedere a a ai suoi servizi senza troppo preoccuparsi di cosa possa accadere ai loro dati.

Abbiamo discusso a più riprese dei rischi connessi alle reti public wi-fi che se accedute senza precauzioni possono offrire a criminali informatici e hacker l’opportunità di attaccarci in vario modo, e se le vittime sono politici oppure l’alto management di aziende la situazione si complica.

Oggi voglio parlarvi di un esperimento condotto da un gruppo di esperti informatici in Inghilterra in collaborazione con tre politici britannici.

wifiGli esperti della azienda di sicurezza F-Secure, in collaborazione con i colleghi della Mandalorian Security Services e del Cyber Security Research Institute, hanno spiegato ai politici inglesi David Davis, Mary Honeyball e Lord Strasburger i rischi connessi all’utilizzo di reti wi-fi insicure, dimostrando loro quanto sono realmente esposti ad attacchi di hacker.  I tre politici hanno ammesso di utilizzare reti wi-fi aperte regolarmente ma hanno confermato di non aver ricevuto formazione idonea a ridurre i rischi connessi a tale pratica.

Gli esperti informatici hanno installato un hotspot wi-fi per cercare di irretire i tre politici che, nonostante fossero consapevoli del test, sono caduti vittime degli hacker connettendosi alla rete gestita dagli esperti.

Vediamo in dettaglio quali sono state le conseguenze degli attacchi informatici iniziando dal politico conservatore David Davis. Gli esperti hanno preso il controllo del suo account di posta elettronica e successivamente sono riusciti a violare anche il suo conto PayPal: il deputato, come molti altri utenti imprudenti, ha condiviso erroneamente le stesse credenziali per diversi servizi web. Il conto PayPal è stato quindi compromesso utilizzando lo stesso nome utente e la stessa password dell’account Gmail.
“Beh, tutto questo è sconcertante, ad essere onesti. Siete riusciti a scoprire la mia password che ritenevo complessa, sicuramente più difficile da indovinare rispetto a molte altre” è stato il commento del politico. “Allarmante, la password sarebbe stata scoperta a prescindere dalla sua complessità. Un wi-fi pubblico è intrinsecamente insicuro “, ha poi aggiunto.
Dal punto di vista “tecnico”, gli hacker hanno eseguito attacchi con una tecnica definita come “sniffing passivo del traffico” che consente a malintenzionati di accedere ai dati in transito come i token di accesso a servizi web (e.g. token autenticazione Facebook) ed impersonare le vittime.

Nel caso del politico liberal democratico Lord Strasburger, gli hacker sono riusciti a intercettare e ascoltare una chiamata attraverso un servizio Voice over IP (VoIP) fatto dalla sua camera d’albergo. Gli esperti hanno utilizzato il popolare software analizzatore di rete Wireshark, disponibile online gratuitamente, per intercettare il traffico dati relativo alla conversazione.

Il parlamentare Mary Honeyball, infine, è stata hackerata mentre navigava in Internet in un internet caffè: gli esperti, in questo caso, sono riusciti a iniettare nel traffico dati il codice necessario a presentare alla vittima un messaggio che richiedeva di loggarsi nuovamente all’account Facebook. Con questa tecnica gli hacker sono riusciti a prendere il controllo dell’account della vittima. Una curiosità che rende il tutto più divertente, o più tragico, a secondo delle opinioni: Mary Honeyball è la responsabile per la Commissione Europea della campagna “We Love Wi-Fi”.
“Penso che qualcosa debba essere fatto perché tutti noi pensiamo che password robuste possono metterci al riparo da malintenzionati. Sono sorpresa e scioccata “, è stato il suo commento. E dire che la sicurezza, in questi casi, avrebbe potuto evitare gli hackeraggi: Sean Sullivan, Security Advisor di F-Secure ha spiegato che l’uso di VPN potrebbe proteggere gli utenti che devono accedere a servizi web da una rete Wi-Fi sicura.

A questo punto è lecito chiedersi quale sarebbero stati i risultati di un simile esperimento condotto in Italia … francamente ho paura di rispondere.

Ritengo indispensabile istruire manager e politici sulle metodiche adottate da gruppi criminali e spie informatiche: un hot spot wi-fi malevolo in un bar fuori Montecitorio o in uno degli alberghi frequentati dai nostri Parlamentari, potrebbe essere uno strumento inatteso ma efficace, per rivelare informazioni sensibili.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

1 Commento

Commenti e reazioni su:

Loading Facebook Comments ...

1 Commento

  1. Marco Motta

    27/07/2015 alle 10:44

    Non hanno per nulla idea di cosa sia una una connessione! Io quando sto connesso specie tramite Wi-Fi pubblici uso un servizio rete VPN anche se devo dire che la paura rimane… e cerco di non accedere a portali che mostrano dati sensibili.

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This