Sicurezza del Wi-Fi: come rendere inat­tac­ca­bi­le la propria con­nes­sio­ne Internet

Non importa che si tratti una rete privata o interna a un’azienda, il desiderio di avere una con­nes­sio­ne sicura occupa il primo posto nella lista delle priorità. Le reti tra­di­zio­na­li con fili e cavi offrono, per via della loro essenza fisica, una certa garanzia di pro­te­zio­ne da attacchi esterni: senza avere un accesso fisico alle linee, che lo­gi­ca­men­te passano all’interno di un edificio, gli sco­no­sciu­ti non hanno modo di ascoltare o leggere con­ver­sa­zio­ni, oppure attingere a dati personali.

Chi però intende sfruttare la comodità offerta da una con­nes­sio­ne senza fili, dovrà allora fare i conti con problemi di sicurezza concreti: qui, infatti, non c’è un cavo come veicolo di tra­smis­sio­ne, bensì uno spazio libero, e l’area di copertura non viene misurata con la lunghezza del cavo, ma, invece, usando la potenza del segnale. Se dunque un ap­pa­rec­chio manda dei dati all’interno della rete locale wireless, un eventuale ficcanaso basterà disporre di un di­spo­si­ti­vo di ricezione che si trovi nel raggio di portata del segnale mandato. È quindi fon­da­men­ta­le pre­oc­cu­par­si di avere una pro­te­zio­ne per il proprio Wi-Fi, così da poter uti­liz­za­re la via di co­mu­ni­ca­zio­ne senza cavi senza avere pre­oc­cu­pa­zio­ni.

Prima di inol­trar­ci nell’argomento, è ne­ces­sa­rio fare un po’ di chiarezza sui termini che vengono usati per definire la rete wireless che usiamo ogni giorno, sia da PC sia da di­spo­si­ti­vo mobile. In generale, per riferirsi alla con­nes­sio­ne Internet wireless, si è affermato il termine “Wi-Fi”, che tec­ni­ca­men­te altro non è che il nome di una tec­no­lo­gia che fa uso dei col­le­ga­men­ti in modalità wireless, la co­sid­det­ta WLAN, e che si basa su uno standard di tra­smis­sio­ne specifico (IEEE 802.11). Wireless Local Area Network, in breve Wireless LAN o WLAN, è invece il termine inglese che definisce la rete senza fili di area locale. Wi-Fi si è svi­lup­pa­to come concetto generico e uni­ver­sa­le che definisce la con­nes­sio­ne wireless a Internet, in­glo­ban­do quindi anche la più specifica in­di­ca­zio­ne “WLAN”.

La WLAN viene adoperata prin­ci­pal­men­te laddove non è possibile in­stal­la­re un sistema di cavi per i di­spo­si­ti­vi di rete, vuoi perché troppo difficile da rea­liz­za­re o perché ri­chie­de­reb­be troppo impegno. Tuttavia, si opta per una LAN senza fili anche per motivi di comodità: ad esempio le con­nes­sio­ni wireless sono molto diffuse nel settore privato, dove rap­pre­sen­ta­no una soluzione ideale per creare un accesso a Internet nell’intera su­per­fi­cie abitabile senza dover montare alcun cavo. Il Wi-Fi si dimostra utile anche negli uffici, so­prat­tut­to quando sono attivi mol­te­pli­ci di­spo­si­ti­vi come computer portatili, tablet o smart­pho­ne.

Si dif­fe­ren­zia­no tre diverse modalità strut­tu­ra­li per in­stal­la­re una rete wireless:

• In­fra­struc­tu­re Basic Service Set (In­fra­strut­tu­ra): la struttura di questa modalità è simile a una rete mobile. Un Wireless Access Point si prende carico della coor­di­na­zio­ne di tutti i membri di una rete e invia loro piccoli pacchetti di dati con in­for­ma­zio­ni ri­guar­dan­ti sui nomi delle reti, la velocità di tra­smis­sio­ne sup­por­ta­ta oppure la modalità di codifica. L’access point, ovvero il di­spo­si­ti­vo collegato alla reta cablata che permette la con­nes­sio­ne wireless, è so­li­ta­men­te un router.

• Wireless Di­stri­bu­tion System: siccome le WLAN fanno uso della stessa modalità di in­di­riz­za­men­to dell’ethernet, sono anche in grado di generare senza problemi con­nes­sio­ni a reti cablate, o ad altri tipi di rete, tramite l’access point. Col­le­gan­do queste reti tra loro si aumenta l’area di copertura, motivo per cui si parla appunto di Wireless Di­stri­bu­tion System, ovvero di sistema senza fili di in­ter­con­nes­sio­ne degli access point.

• Rete Ad-Hoc (In­de­pen­dent Basic Service Set o anche rete P2P): nelle reti Ad-Hoc manca la funzione di controllo cen­tra­liz­za­to, per cui deve essere adottata la coor­di­na­zio­ne dei singoli ap­pa­rec­chi. Queste reti sono ideali per una co­mu­ni­ca­zio­ne veloce e diretta tra i singoli par­te­ci­pan­ti. Tuttavia tale modalità di WLAN non conosce una reale dif­fu­sio­ne, poiché esistono tecniche al­ter­na­ti­ve molto più comuni come il Bluetooth.

I data frame per la co­mu­ni­ca­zio­ne delle reti vengono spe­ci­fi­ca­ti dalle norme IEEE 802.11, ovvero un insieme di standard di tra­smis­sio­ne per le reti WLAN, dall’Institute of Elec­tri­cal and Elec­tro­nics Engineers (IEEE) di New York. Ini­zial­men­te non si dava ancora grande im­por­tan­za al fattore della sicurezza: una tra­smis­sio­ne non co­di­fi­ca­ta e nessuna necessità di au­ten­ti­ca­zio­ne da parte dell’utente ga­ran­ti­va­no l’accesso libero alla con­nes­sio­ne wireless a chiunque rien­tras­se nell’area di copertura della rete. In seguito, la richiesta di prov­ve­di­men­ti per la sicurezza dei Wi-Fi ha favorito lo sviluppo dei seguenti metodi di codifica e au­ten­ti­fi­ca­zio­ne:

•  Wired Equi­va­lent Privacy (WEP): il pro­to­col­lo WEP è lo standard più vecchio per la codifica della WLAN ed è stato creato nel 1997. Propone i due pro­ce­di­men­ti di au­ten­ti­fi­ca­zio­ne Open System Au­then­ti­ca­tion, in cui tutti i client sono attivati, e Shared Key Au­then­ti­ca­tion, in cui l’at­ti­va­zio­ne avviene tramite password. Oltre a ciò, la WEP contiene il pro­ce­di­men­to di codifica RC4. Per via di diversi punti deboli, la WEP oggi è con­si­de­ra­ta poco sicura e superata.

• Wi-Fi Protected Access (WPA): il WPA è stato svi­lup­pa­to sulla base dell’ar­chi­tet­tu­ra WEP con l’obiettivo di rimediare ai punti deboli dello stesso pro­ce­di­men­to. Per riuscire in questo intento, WPA funziona tramite l’utilizzo di una chiave dinamica che si basa sul Temporal Key Integrity Protocol (TKIP). Siccome anche il pro­to­col­lo WPA presenta certi deficit in termini di sicurezza, è stato uf­fi­cial­men­te decretato che i nuovi Wireless Access Points (a partire dal 2011) e tutti i di­spo­si­ti­vi at­trez­za­ti per la WLAN (a partire dal 2012) non possono più sup­por­ta­re questo tipo di pro­to­col­lo.

• Wi-Fi Protected Access 2 (WPA2): Nel 2004 assieme allo standard IEEE 802.11i è stato pub­bli­ca­to anche il metodo at­tual­men­te più sicuro di codifica e au­ten­ti­fi­ca­zio­ne WLAN, ovvero il WPA2. Al posto del TKIP, il WPA2 sfrutta il pro­ce­di­men­to di codifica AES, de­ci­sa­men­te più moderno. Al momento di con­fi­gu­ra­re un Wi-Fi, è pre­fe­ri­bi­le che adottiate il WPA2 piuttosto che i più vecchi standard WEP e WPA.

• Wi-Fi Protected Setup (WPS): per quanto riguarda lo standard WPS, non si tratta di una tecnica di tra­smis­sio­ne o di codifica, bensì di uno standard di sicurezza per la rete pensato per fa­ci­li­ta­re la con­fi­gu­ra­zio­ne del Wi-Fi per nuovi par­te­ci­pan­ti alla rete. L’au­ten­ti­fi­ca­zio­ne avviene o premendo il pulsante WPS-PBC dell’access point, o vir­tual­men­te tramite una su­per­fi­cie di at­ti­va­zio­ne im­ple­men­ta­to per software, oppure infine inserendo il WPS-PIN. In al­ter­na­ti­va esiste la pos­si­bi­li­tà di ottenere le im­po­sta­zio­ni di rete tramite chiavetta USB oppure tramite NFC, acronimo per Near Field Com­mu­ni­ca­tion, ossia con­net­ti­vi­tà wireless bi­di­re­zio­na­le a corto raggio.

No­no­stan­te esista un legittimo e sicuro suc­ces­so­re dei pro­to­col­li WEP e WPA, ovvero il WPA2, alcuni provider con­ti­nua­no comunque a uti­liz­za­re questi standard superati, sempre che vengano sup­por­ta­ti dall’access point wireless, per co­di­fi­ca­re il proprio Wi-Fi. Che ciò avvenga non di proposito o per ragioni di com­pa­ti­bi­li­tà (per garantire l’accesso ai di­spo­si­ti­vi più vecchi), passa in secondo piano. Di certo c’è che tali reti sono esposte a un elevato rischio di attacchi: questa ne­gli­gen­za rap­pre­sen­ta uno dei motivi per la va­lu­ta­zio­ne critica della sicurezza del Wi-Fi. Ulteriori errori che invitano attacchi esterni e rendono quindi il sistema di con­nes­sio­ne wireless una vera e propria tortura per molti utenti, sono, tra gli altri:

• Adottare nome utente e password standard nel wireless access point

• Adottare con­fi­gu­ra­zio­ni di base poco sicure del wireless access point

• Im­ple­men­ta­zio­ne erronea di WPA2 e WPS

In aggiunta, no­no­stan­te i prov­ve­di­men­ti standard per la sicurezza del Wi-Fi, le reti wireless sono comunque oggetto di consueti attacchi DoS o DDoS come anche di attacchi Evil Twin. Quest’ultimo, come dice già il nome, ovvero il “gemello cattivo”, si comporta da tale e fa entrare nella rete un falso wireless access point con un firmware speciale; in questo modo, da quel momento in poi, i membri della rete lo con­si­de­ra­no il vero access point e lo con­tat­ta­no. L’Evil Twin, da parte sua, reagisce chiedendo l’au­ten­ti­fi­ca­zio­ne e ottiene dall’ignaro di­spo­si­ti­vo di rete i dati di accesso per il Wi-Fi. Inoltre ac­qui­si­sce anche l’indirizzo MAC del client (il co­sid­det­to MAC spoofing), trovando così a sua di­spo­si­zio­ne tutti i dati necessari a stabilire una con­nes­sio­ne. Nello specifico sono mi­nac­cia­te da questo metodo di attacco le reti con pubblico accesso.

I punti deboli il­lu­stra­ti prima di­mo­stra­no quanto è im­por­tan­te con­fron­tar­si con le numerose pos­si­bi­li­tà della sicurezza del Wi-Fi, poiché chi dà per scontato che con un firewall, ovvero un di­spo­si­ti­vo software o hardware posto a pro­te­zio­ne di un punto di in­ter­con­nes­sio­ne, e una password segreta ha prov­ve­du­to a una pro­te­zio­ne ottimale, dovrà suc­ces­si­va­men­te ri­cre­der­si, nel caso dovesse subire un attacco mirato. Dietro a una messa in sicurezza a regola d’arte di reti wireless si nasconde molto più dell’ac­cen­sio­ne di un router, una con­fi­gu­ra­zio­ne di cinque minuti e la ricerca di una parola segreta che non sia fa­cil­men­te da in­do­vi­na­re ma nemmeno troppo com­pli­ca­ta da inserire. Più av­ve­du­ta­men­te si af­fron­ta­no la con­fi­gu­ra­zio­ne e la gestione, più sicura sarà la rete poi.

So­li­ta­men­te il wireless access point è un router e, essendo il con­trol­ler della rete, rap­pre­sen­ta anche il pezzo più im­por­tan­te del puzzle in termini di sicurezza. Più pre­ci­sa­men­te, le im­po­sta­zio­ni che adottate per com­po­nen­te hardware, sono decisive per il futuro della Wi-Fi: da esse dipenderà infatti il successo o l’in­suc­ces­so di un possibile attacco esterno. Questi sono i passi fon­da­men­ta­li per la con­fi­gu­ra­zio­ne: Passo n. 1: Create un accesso personale come am­mi­ni­stra­to­re Perché un access point possa essere con­fi­gu­ra­to è ne­ces­sa­rio attivare i firmware, che pre­sen­te­ran­no un’in­ter­fac­cia utente su un qualsiasi browser, non appena viene ri­chia­ma­to l’indirizzo IP dell’access point. L’accesso a questa su­per­fi­cie avviene tramite un conto da am­mi­ni­stra­to­re per il quale esiste un nome utente e una password standard. Questi dati per il login non sono in­di­vi­dua­li, bensì sono uguali per tutti i di­spo­si­ti­vi dello stesso modello e quindi sono anche molto semplici, come ad esempio “admin” o “1234”. Per questo motivo, all’inizio della con­fi­gu­ra­zio­ne è in­di­spen­sa­bi­le assegnare dati per­so­na­liz­za­ti per l’account da am­mi­ni­stra­to­re, che si potranno tra­scri­ve­re e con­ser­va­re poi in un luogo sicuro, e, a meno che non si disponga di un adeguato password manager, non vanno as­so­lu­ta­men­te me­mo­riz­za­ti su un PC. Passo n. 2: scegliere il WPA2 come pro­ce­di­men­to di codifica Per co­di­fi­ca­re il proprio Wi-Fi, la scelta dovrebbe ricadere as­so­lu­ta­men­te sul WPA2, poiché entrambi i pro­to­col­li WPA e WEP sono, come già detto pre­ce­den­te­men­te, superati, quindi aumentano la pro­ba­bi­li­tà di rischio in termini di sicurezza. Anche le com­bi­na­zio­ni “WPA/WPA2” oppure “mixed” non sono con­si­glia­bi­li. Prendete invece in con­si­de­ra­zio­ne di­spo­si­ti­vi di rete che sup­por­ti­no WPA2 e che sono quindi svin­co­la­ti dai vecchi pro­ce­di­men­ti di codifica. Se doveste lavorare con il WPS, è rac­co­man­da­bi­le attivarlo solamente quando ne­ces­sa­rio. Passo n. 3: Creare una password sicura per il Wi-Fi Finora nei confronti del WPA2 sono co­no­sciu­ti esclu­si­va­men­te attacchi alla password, par­ti­co­lar­men­te popolari tra i cyber-criminali sono gli attacchi Brute Force e gli attacchi a di­zio­na­rio, la tecnica mirata a rompere un codice cifrato o un mec­ca­ni­smo di au­ten­ti­ca­zio­ne con numerosi tentativi di de­ci­fra­zio­ne del codice. Il valore di una password complessa per il Wi-Fi è dunque senza misura. Per prevenire al meglio gli algoritmi di de­ci­fra­zio­ne e le liste di parole dei tool atti a carpire l’accesso alla rete, create una password co­sti­tui­ta pos­si­bil­men­te da tanti caratteri, che siano sia lettere maiuscole che minuscole, ma anche cifre e caratteri speciali. Evitate inoltre parole con un senso logico e di­stri­bui­te i caratteri in maniera ac­ci­den­ta­le. Anche la password del Wi-Fi può essere con­ser­va­ta in un luogo sicuro, pos­si­bil­men­te non digitale ma fisico. Passo n. 4: Indicare un nome di rete non iden­ti­fi­ca­bi­le Un prov­ve­di­men­to per pro­teg­ge­re il proprio Wi-Fi che serve so­prat­tut­to alla sicurezza personale, è la for­mu­la­zio­ne di un Service Set Iden­ti­fiers (SSID) che non sia ri­con­du­ci­bi­le a qualcuno in par­ti­co­la­re. Il SSID rap­pre­sen­ta la de­fi­ni­zio­ne della vostra rete e si presenta a chiunque sia nel raggio di portata del segnale della vostra rete. A meno che non gestiate un hotspot pubblico, dovreste evitare di indicare dati personali che rimandino alla vostra persona, azienda o posizione. Molti credono di aumentare il grado di sicurezza na­scon­den­do il nome della rete wireless tramite un hidden SSID, tuttavia questa tecnica non rap­pre­sen­ta un ostacolo par­ti­co­lar­men­te in­sor­mon­ta­bi­le per gli hacker, e, anzi, finisce per rendere più com­pli­ca­ta l’in­stal­la­zio­ne di una con­nes­sio­ne per i client le­git­ti­ma­ti. Se quindi na­scon­de­te il SSID del vostro Wi-Fi può ad­di­rit­tu­ra succedere che alcuni di­spo­si­ti­vi non ri­co­no­sca­no l’access point e di con­se­guen­za non riescano a stabilire una con­nes­sio­ne. Passo n. 5: Attivare l’ag­gior­na­men­to au­to­ma­ti­co del firmware Per la sicurezza generale del Wi-Fi è d’obbligo che il firmware del wireless access point sia sempre ag­gior­na­to alla versione più recente. Come per ogni software, gli hacker riescono a trovare falle nella sicurezza per sfrut­tar­li e ad esempio ottenere diritti am­mi­ni­stra­ti­vi o inserire software dannosi. Alcuni access point pos­seg­go­no una funzione di update au­to­ma­ti­ca per il firmware in­stal­la­to, che potete attivare fa­cil­men­te. Se non dovesse essere questo il caso, conviene che vi teniate re­go­lar­men­te informati se esistono ag­gior­na­men­ti per il vostro di­spo­si­ti­vo per poi sca­ri­car­li ma­nual­men­te e in­stal­lar­li.

Re­la­ti­va­men­te al IEEE 802.1X, si tratta di un pro­to­col­lo di sicurezza port-based, che concede l’accesso a client che tentano di stabilire una con­nes­sio­ne, solo dopo che sono stati esaminai da un server di au­ten­ti­fi­ca­zio­ne (RADIUS) e hanno ottenuto il permesso. Il server ricorre a un elenco, definito pre­ce­den­te­men­te, che chia­ri­fi­ca se il client che fa richiesta può ricevere il permesso di col­le­gar­si al wireless access point. Il pro­ce­di­men­to di au­ten­ti­ca­zio­ne si basa sull’Ex­ten­si­ble Au­then­ti­ca­tion Protocol (EAP), il quale supporta anche il WPA2. In questo caso si può parlare di WPA2 En­ter­pri­se, WPA2-1X o WPA2/802.1X.

Una volta con­fi­gu­ra­to il vostro wireless access point con­for­me­men­te ai prov­ve­di­men­ti di sicurezza, la vostra rete senza fili potrà vantare una pro­te­zio­ne come si deve. Tuttavia, in­di­pen­den­te­men­te dallo scopo, dopo l’in­stal­la­zio­ne ci sono altri compiti da portare a termine. Siccome la maggior parte di tutte le Wi-Fi sono collegate, ad esempio, a un’ulteriore rete, so­li­ta­men­te l’Internet, dovreste as­so­lu­ta­men­te in­stal­la­re i firewall contenuti nell’access point o con­fi­gu­rar­ne voi stessi, per filtrare con­nes­sio­ni in­de­si­de­ra­te. Inoltre è rac­co­man­da­bi­le prendere in con­si­de­ra­zio­ne l’uso di un Intrusion Detection o di un Intrusion Pre­ven­tion System, in modo da ri­co­no­sce­re per tempo eventuali attacchi, e quindi impedirli.

Può capitare che i clienti vi chiedano l’accesso alla vostra rete Wi-Fi: è allora con­si­glia­bi­le operare con un SSID apposito, creato e con­fi­gu­ra­to in aggiunta alla WLAN alla LAN del luogo di lavoro. In ogni caso, è ne­ces­sa­rio tenere a mente che, in quanto provider della rete, siete co-re­spon­sa­bi­li per il suo modo di utilizzo; ciò significa che ogni sorta di vio­la­zio­ne dei diritti d’autore ricadrà di­ret­ta­men­te su di voi. Per stare sul sicuro, conviene mantenere il controllo dell’uso della larghezza di banda e bloccare siti web poco seri tramite le im­po­sta­zio­ni del router.

Se uti­liz­za­te un Wi-Fi in ambito pro­fes­sio­na­le, si di­mo­stre­ran­no molto utili regolari test della sicurezza, ef­fet­tua­bi­li con l’aiuto di tool specifici. In questo modo simulate attacchi di hacker che sono at­tual­men­te diffusi e scoprite se i prov­ve­di­men­ti di sicurezza che avete adottato sono validi. Anche in questo caso vale la premessa, ap­pli­ca­bi­le anche all’intero processo di messa in sicurezza del Wi-Fi: più procedete con coscienza e scrupolo, migliori saranno i risultati. Pren­de­te­vi l’impegno di:

• con­fi­gu­ra­re il wireless access point ac­cu­ra­ta­men­te,

• inserire anche com­po­nen­ti di sicurezza ag­giun­ti­vi come l‘IEEE 802.1X, un firewall o un Intrusion Detection System,

• uti­liz­za­re reti di lavoro e per gli ospiti se­pa­ra­ta­men­te,

• e infine esaminare re­go­lar­men­te gli ag­gior­na­men­ti e la pre­sta­zio­ne delle com­po­nen­ti di rete.

In questo modo l’accesso al vostro Wi-Fi sarà per gli hacker un muro pra­ti­ca­men­te in­va­li­ca­bi­le.