Negli ultimi tempi i mass media riportano sempre più di frequente cronaca riguardo ad attacchi informatici ad aziende e persone. Questi servizi scoraggiano i meno esperti ad utilizzare Internet e li costringono a non usufruire di servizi in grado di migliorare notevolmente la qualità della nostra vita. Andrea Minigozzi, un ethical hacker che lavora per rendere la “rete” più sicura, ci racconta come navigare e rimanere protetti in una serie a puntate.

Questo è il terzo articolo di una serie a puntate sulla sicurezza dei nostri dispositivi e del nostro modo di usare la tecnologia. Se sei appena arrivato, inizia dalla prima puntata.

Nella terza puntata di “Il nostro computer è veramente protetto?” Andrea ci suggerisce una serie di “buone pratiche” per tenere in sicurezza le nostre reti wireless, siano esse domestiche o aziendali. Con pochi semplici accorgimenti diventa facile poter navigare senza la paura di venire “attaccati” – ventuno

di Andrea Minigozzi

Segue dalla seconda puntata.

LE 11 BUONE PRATICHE PER UNA RETE WIFI PIÙ SICURA

1. Utilizzate la rete WiFi solo se strettamente necessario: se avete necessità di connettere pochi PC, ed il router è raggiungibile direttamente, usate il cavo.
2. Posizionate gli Access Point o il router WiFi in una posizione tale da garantire la necessaria copertura e (ove possibile) diminuite la potenza di trasmissione: più il vostro segnale sarà “forte” più ampia sarà l’area di ricezione, consentendo anche a malintenzionati più lontani dal vostro Access Point di attaccare la rete WiFi.
3. Cambiate la password di accesso al vostro dispositivo WiFi e disabilitate la gestione remota da Internet: generalmente all’atto della prima configurazione, il vostro dispositivo avrà user e password di amministrazione impostate dal produttore (admin/admin, admin/blank, ecc…) per fornire il primo accesso. Cambiate subito questi dati: se il dispositivo lo permette sostituite sia username che password, altrimenti solo la password. Provvedete poi a disabilitare l’accesso alla pagina di amministrazione da parte degli utenti connessi via Wireless. Questo evita che malintenzionati possano modificare le impostazioni del vostro dispositivo.
4. Non trasmettete il nome della rete (SSID): meno informazioni diamo meglio è.
   Tenere il nome della rete nascosto, aumenta la sicurezza del sistema, aumentando il tempo necessario ad un attaccante per accedervi. Se decidiamo di ignorare questa configurazione, scegliamo un nome poco parlante che:
   • Non sia riconducibile alla vostra persona o attività (cognome-WiFi, azienda-WiFi, nome-casa, studio-nome, ecc…) nemmeno in inglese o altra lingua (se vi chiamate Rossi e la WiFi ha come SSID Reds non è un buon mascheramento!)
   • Non contenga riferimenti al dispositivo in uso (Dlink, Netgear54, ecc…)
   • Sia il più generico e “nonsense” possibile (ap1, afcde32, ecc..)

   E’ vero che tramite strumenti particolari si potrebbe comunque scoprirne il nome, ma una rete nascosta indica un’attività di configurazione più attenta agli occhi di un attaccante che, probabilmente, sposterà la sua attenzione altrove.

5. Utilizzate la cifratura: una rete “aperta”, non protetta da nessun protocollo di cifratura, è un bersaglio facile e veloce per un malintenzionato. Ad oggi sono disponibili diversi protocolli di cifratura della rete WiFi: WEP, WPA e WPA2. Per una rete casalinga o di un piccolo ufficio utilizzate “WPA2 Personal” e fate attenzione a selezionare (se possibile) il valore WAP2-AES.
6. Utilizzate una password complessa: per poter completare il punto 3, è necessario inserire una password a prova di attacco. Scegliete stringhe (sequenze di caratteri) che contengano lettere maiuscole, minuscole, numeri e caratteri speciali (come la punteggiatura), che abbia una lunghezza di almeno 12 caratteri e non sia di senso compiuto: vi rimando all’articolo “La tua password? Password” di Emanuele Strada su questo blog per conoscere come creare una password sicura. Questo è un passo FONDAMENTALE per la sicurezza della rete WiFi. Gli attacchi alle reti wireless vengono portati a termine anche offline: l’attaccante intercetta alcuni dati dalla rete wireless e li usa per recuperare la password di accesso mentre non è nell’area di copertura. Questo permette di compiere l’intercettazione dei dati in modo veloce e con dispositivi poco potenti (un laptop, uno smartphone, un tablet, ecc…) ed utilizzare i programmi di cracking su macchine decisamente più performanti anche a distanza di giorni.
7. Cambiate spesso la password di accesso: un attaccante spende tempo e risorse per scoprire la vostra password, e dovrà ripetere la procedura ogni qualvolta questa venga cambiata. Se la vostra password è sicura, l’attacco durerà molto più tempo e, una volta scoperta, l’attaccante si ritroverebbe con un dato inutilizzabile in quanto non più utilizzata.
8. Disattivate la funzione WPS: per facilitare la configurazione di sicurezza degli apparati WiFi, è stato introdotto il protocollo WPS (Wireless Protected Setup) che consente una connessione alla rete criptata più facile e veloce. Questo sistema è però affetto da una grave vulnerabilità che permette di scoprire anche le password di accesso più robuste nel giro di qualche ora.
9. Impostate il filtraggio dei MAC-address: senza entrare nel merito tecnico della rete e dell’utilizzo dei Mac address a Layer 2, cercherò di spiegare cosa significa “filtraggio dei mac address”: quando un dispositivo (laptop, smartphone, tv, ecc…) si collega alla rete wireless utilizza due indirizzi per comunicare: l”indirizzo IP ed il MAC address. Il primo viene assegnato dal router (o impostato manualmente) all’atto della connessione, mentre il secondo è impostato dal produttore della scheda di rete ed identifica in modo univoco nel mondo il dispositivo (o almeno dovrebbe!). Se impostate il vostro router per accettare connessioni solo da indirizzi MAC noti, questo rifiuterà tutti i dispositivi non censiti in fase di configurazione. Questa è una delle prime protezioni adottate per rendere le reti WiFi più sicure, ma è facilmente scavalcabile in quanto l’indirizzo MAC è visibile anche su reti cifrate ed è facilmente (in pochi secondi) “clonabile” da parte degli attaccanti.
10. Attivate il firewall incorporato nel dispositivo: ormai quasi tutti i router wireless e gli acces point sono dotati di questa funzionalità, che permette di impostare delle regole all’utilizzo della rete. Acuni sono più sofisticati di altri ed incorporano interessanti funzioni di IDS (Rilevamento delle intrusioni) e Time Scheduling (gestione di regole diverse in base agli orari).
    L’utilizzo di queste tecnologie migliora notevolmente la sicurezza intrinseca della rete Wireless.
11. Aggiornate il vostro dispositivo: il router o l’access point funziona tramite un software di gestione incorporato che prende il nome di “firmware”. Questo software comanda e gestisce tutte le funzioni base del vostro dispositivo. Ovviamente, come tutti i software, potrebbe presentare dei “bug” che un attaccante potrebbe sfruttare per accedere alla rete wireless. Consultate sempre il sito del produttore (e diffidate da firmware non ufficiali trovati in giro per la rete in quanto potrebbero contenere accessi nascosti noti come backdoors).

[per chi non si spaventa degli aspetti più tecnici, leggete il blog di Andrea Minigozzi, interamente dedicato al mondo della internet security]

E voi che dubbi avete sulla sicurezza?
Rispondeteci in un commento e iscrivetevi alla nostra newsletter, così da poter ricevere i nuovi post di ventuno direttamente via email!

♦

Andrea Minigozzi (@FantaGhost) incontra il suo primo “computer” (Sincair ZX Spectrum 48k) nel 1986 all’età di 8 anni e da allora non ha mai smesso di sperimentare l’universo digitale. Dal 1999 si occupa di Sicurezza Informatica ed Ethical Hacking. Dedito al mondo GNU/Linux ed open source passa gran parte del suo tempo a chiedersi il “perchè?” delle cose ed a cercare risposte su tutto quello che riguarda il mondo delle reti e dei calcolatori.