Un'indagine condotta a Londra ha dimostrato la facilità con cui possono essere rubati dati personali mentre si usa Wi-Fi pubblico. F-Secure, azienda che sviluppa soluzioni software per la cybersecurity e la privacy online, ha collaborato con Mandalorian Security Services, società esperta in test di penetrazione, e il Cyber Security Research Institute per condurre un test – in questo caso, la violazione dei dispositivi di tre politici.
I politici, deliberatamente selezionati tra le più potenti camere del Parlamento del Regno Unito, sono David Davis (Member of Parliament – House of Commons), Mary Honeyball (Member of the European Parliament) e Lord Strasburger (House of Lords).
L'esperimento è stato condotto con il permesso dei politici che, nonostante ricoprano importanti incarichi all'interno del Parlamento, hanno ammesso di non avere ricevuto alcuna formazione o informazione riguardo alla facilità con cui i computer possono essere violati mentre si usa Wi-Fi pubblico – servizio che tutti loro hanno ammesso di usare regolarmente.
e-Mail a rischio
A Davis è stata violata l'email e il suo commento è stato: "E' orribile. Ciò che avete estratto è una password molto forte, più difficile di quella usata dalla maggior parte delle persone. Certamente non una parola banale come ‘Password'." E' allarmante il fatto che qualsiasi password sarebbe stata comunque violata, indipendentemente dalla sua forza. Il Wi-Fi pubblico è quindi intrinsicamente insicuro – nomi utente e password sono memorizzati nell'access point Wi-Fi, e un hacker li può rubare facilmente.
Per sottolineare il rischio che si corre, hacker etici di Mandalorian hanno redatto una email destinata alla stampa nazionale in cui Davis annunciava la sua defezione da UKIP (UK Independence Party) lasciandola nella sua cartella delle bozze. Non solo, anche il suo account PayPal è stato compromesso, poiché usava lo stesso nome utente e password del suo account Gmail – un'abitudine comune.
Attenti al VoIP
Nel caso di Lord Strasburger, una chiamata Voice over IP (VoIP) che ha fatto col suo smartphone dalla stanza di un hotel è stata intercettata e registrata usando tecnologie liberamente disponibili su Internet, e relativamente semplici da padroneggiare. Strasburger ha dichiarato, "Tutto ciò è molto preoccupante. Si tratta di tecnologie molto potenti. Il pensiero che anche un principiante possa usarle ed essere operativo in poche ore è davvero preoccupante. Penso che dimostri come la gente che usa la tecnologia debba saperne molto di più. Bisogna badare a se stessi, nessun altro lo farà, dipende solo da noi."
Mary Honeyball, che siede alla commissione dell'Unione Europea ed è responsabile per la campagna ‘We Love Wi-Fi', stava navigando in Internet in un bar quando un hacker etico le ha inviato un messaggio apparentemente proveniente da Facebook in cui la invitava a loggarsi di nuovo al suo account, perché la sessione era scaduta. Così facendo ha dato inconsapevolmente le sue credenziali di login all'hacker, che ha poi potuto accedere al suo account Facebook.
Honeyball, che stava usando un tablet consegnatole solo pochi giorni prima dai responsabili della tecnologia del Parlamento Europeo, si è detta preoccupata per il fatto che nessuno le ha dato dei consigli su un utilizzo sicuro. "Credo che qualcosa debba essere fatto perché noi tutti pensiamo che le password rendano tutto più sicuro. Ho sempre pensato che il punto focale fossero le password. Sono sorpresa e scioccata", ha commentato.
Ciascuna violazione non solo ha dimostrato come un hacker possa con semplici mosse aggirare servizi protetti da password, ma anche come i dati personali potrebbero essere usati per ulteriori attacchi.
"Una persona comune è portata a pensare che il fatto che un hacker sappia quale squadra segui sia un'informazione piuttosto inutile" ha commentato Steve Lord, Direttore di Mandalorian. "Ma una volta che conosce questa informazione, l'hacker potrebbe creare un‘e-mail di phishing appositamente per te e le persone simili a te, sapendo che sareste più portati ad aprirla. Una volta che si clicca su un link presente nell'email o si apre un allegato, gli hacker ti hanno in pugno – invieranno malware sui tuoi dispositivi e poi finirai col passare loro tutte le tue informazioni. Non solo, se usi i tuoi dispositivi personali anche per accedere alla rete aziendale finirai col passare anche informazioni della tua azienda."
Sean Sullivan, Security Advisor di F-Secure, dà questo consiglio alle persone che usano Wi-Fi pubblico: "Le persone non dovrebbero essere spaventate dall'usare Wi-Fi pubblico – è un servizio fantastico. Ma occorre capire che esistono dei rischi ed è loro responsabilità proteggere se stessi. Questo si può fare facilmente usando software chiamati Virtual Private Network (o VPN). Per telefoni e tablet, questi sono disponibili come applicazioni. La nostra VPN chiamata Freedome crittografa tutti i dati che passano dal dispositivo alla rete, il che significa che l'hacker ruberà qualcosa che non può usare. Semplicemente attivandola ti offre la migliore protezione per essere al sicuro sulle reti Wi-Fi pubbliche, così che tu possa focalizzarti su ciò che stai facendo piuttosto che preoccuparti su come restare protetto."