Cari politici, ecco quanto è facile fregarvi le password

Un esperimento dimostra la facilità con cui i dati di email, social network e finanziari possano essere rubati mentre si usa una connessione Wi-Fi gratuita in un bar, in un hotel o in altri luoghi pubblici. Ne sono stati vittime consapevoli tre politici britannici, ma un attacco simile potrebbe colpire chiunque.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

F-Secure ha dimostrato quanto è facile rubare dati personali, anche ai personaggi politici. In un esperimento tenutosi a Londra la società, insieme a Mandalorian (mandalorian.com) e al Cyber Security Research Institute, ha violato con poco sforzo i dispositivi di tre esponenti politici britannici - che avevano dato il proprio consenso al test.

Freedome product hero v2

I tre soggetti dell'esperimento sono David Davis (Member of Parliament - House of Commons), Mary Honeyball (Member of the European Parliament) e Lord Strasburger (House of Lords). Tutti e tre hanno incarichi importanti e possiedono informazioni delicate, ma "hanno ammesso di non aver ricevuto alcuna formazione o informazione riguardo alla facilità con cui i computer possono essere violati mentre si usa Wi-Fi pubblico - servizio che tutti loro hanno ammesso di usare regolarmente".

Il fulcro dell'esperimento è infatti l'attacco tramite reti Wi-Fi pubbliche, vale a dire quelle che troviamo disponibili presso bar, ristoranti, negozi, aeroporti e tanti altri luoghi. Per un hacker esperto (ma nemmeno troppo) queste reti rendono relativamente semplice rubare i dati delle persone che vi si collegano, comprese le password.

A Davis per esempio è stata violata la posta elettronica, al che ha commentato: "È orribile. Ciò che avete estratto è una password molto forte, più difficile di quella usata dalla maggior parte delle persone. Certamente non una parola banale come Password". Il fatto è che se la rete Wi-Fi usata non è sicura, non conta quanto sia forte la password, perché a conti fatti è praticamente come fare copia/incolla da un file di testo (o quasi).   

wifi blog header1

"Il Wi-Fi pubblico", recita il comunicato F-Secure, "è quindi intrinsecamente insicuro - nomi utente e password sono memorizzati nell'access point Wi-Fi, e un hacker li può rubare facilmente".

Per palesare il problema, i tecnici di Mandalorian hanno usato la mail di Davis per redigere una falsa email (lasciata in bozza) nel quale annunciava le sue dimissioni. Se l'avessero spedita alla stampa inglese sarebbe stato un bel problema. Con gli stessi dati di accesso, poi, gli hacker hanno avuto accesso anche all'account PayPal.

Lord Strasburger invece si è visto intercettare una chiamata VoIP fatta con il Wi-Fi dell'albergo, un'azione fatta con tecnologie "liberamente disponibili su Internet e relativamente semplici da padroneggiare". Il politico ha dichiarato che "il pensiero che anche un principiante possa usarle ed essere operativo in poche ore è davvero preoccupante. Penso che dimostri come la gente che usa la tecnologia debba saperne molto di più. Bisogna badare a se stessi, nessun altro lo farà, dipende solo da noi".

1*UWZv1tNHkbFI17i8bpV1pw

Mary Honeyball, responsabile della campagna europea We Love Wi-Fi è stata invece tratta in inganno da una falsa richiesta di login Facebook, iniettata da un hacker nella rete Wi-Fi di un bar. Inserendo i propri dati la delegata europea ha "donato" i propri dati.

"Honeyball", spiega il comunicato F-Secure, "stava usando un tablet consegnatole solo pochi giorni prima dai responsabili della tecnologia del Parlamento Europeo, e si è detta preoccupata per il fatto che nessuno le ha dato dei consigli su un utilizzo sicuro".  

"Credo che qualcosa debba essere fatto", ha detto, "perché noi tutti pensiamo che le password rendano tutto più sicuro. Ho sempre pensato che il punto focale fossero le password. Sono sorpresa e scioccata", ha commentato.

Se il primo punto quindi è dimostrare l'insicurezza delle reti pubbliche che tutti usiamo, il secondo è certamente affermare che una buona password da sola non serve a molto - e in effetti nel mondo della security molti lo ritengono un metodo obsoleto che andrebbe abbandonato quanto prima.

Dopodiché manca la consapevolezza sui rischi che corriamo ogni giorno, ma c'è anche un altro problema: in molti casi non capiamo quanto valgano le informazioni che mettiamo in gioco. "Una persona comune è portata a pensare che il fatto che un hacker sappia quale squadra segui sia un'informazione piuttosto inutile" ha commentato Steve Lord, Direttore di Mandalorian.

"Ma una volta che conosce questa informazione, l'hacker potrebbe creare un'e-mail di phishing appositamente per te e le persone simili a te, sapendo che sareste più portati ad aprirla. Una volta che si clicca su un link presente nell'email o si apre un allegato, gli hacker ti hanno in pugno - invieranno malware sui tuoi dispositivi e poi finirai col passare loro tutte le tue informazioni. Non solo, se usi i tuoi dispositivi personali anche per accedere alla rete aziendale finirai col passare anche informazioni della tua azienda".

Dobbiamo quindi smettere di usare le reti Wi-Fi pubbliche, perché non si sa mai se la persona seduta al tavolo accanto è un criminale? No, certo che no; fermo restando che persone come queste dovrebbero fare il doppio dell'attenzione, tutti noi possiamo usare servizi che aumentano notevolmente la sicurezza. Tanto per cominciare, una VPN rende molto più difficile un'intrusione come quelle descritte; F-Secure segnala il proprio prodotto Freedome, ma ce ne sono tanti tra cui scegliere.

Detto questo, l'altro aspetto importante, fondamentale, riguarda la formazione. Tutti, possibilmente già dalla scuola, dovrebbero ricevere informazioni di base su questi aspetti. Abbiamo sentito tutti, anche più volte, che bisogna usare password "complesse e difficili", il che è verissimo. Un po' meno persone però sanno che non dovremmo usare la stessa password su più di un servizio - soprattutto quelli su cui registriamo la carta di credito.

WiFi4

Ovviamente dovremmo attivare l'autenticazione in due passaggi (2FA, Two Factor Authentication) ovunque sia possibile. Sempre meno persone poi sanno che la casella di posta elettronica è il vero punto nevralgico della nostra vita digitale, ed è l'account che dovremmo proteggere con più attenzione perché "bucare" quello significa avere accesso a tutto il resto. Pochi, infine, anzi pochissimi sanno di minacce come questa del Wi-Fi pubblico.

Ecco, la formazione sarebbe davvero importante. Se più persone sapessero quali sono le minacce e come dovremmo proteggerci, sarebbe già un bel passo avanti.

F-SECURE Online Backup F-SECURE Online Backup
F-SECURE Internet Security 2014 F-SECURE Internet Security 2014