Il tecnico se ne è appena andato da casa vostra dopo avervi installato il nuovo router wi-fi, e tutti soddisfatti siete pronti a connettere i vari dispositivi che possedete (smartphone, tablet, pc, e gadget del mondo IoT) per viaggiare in rete  ad alta velocità. Vi siete ricordati però di cambiare la password utilizzata di default dal fornitore per l’allacciamento?

Se non lo avete fatto, siete sicuramente in buona compagnia, poiché è un passaggio che molti non prendono in considerazione o ritengono superfluo, ma è proprio sfruttando queste superficialità che gli hacker ne approfittano per insinuarsi nelle reti domestiche. Se poi lo stesso comportamento è effettuato a livelli aziendali, a rimetterci potrebbero essere molti più soggetti.

Rischi per le aziende

Capita spesso di arrivare da un cliente/fornitore e chiedere di potersi connettere alla sua rete wi-fi guest per poter svolgere le proprie attività, e altrettanto spesso, se si è già stati in precedenza nella struttura, il pc riconosce la rete e si aggancia automaticamente, proprio perché la password non è mai stata cambiata dall’ultima volta e probabilmente è la stessa utilizzata in fase di installazione. Peggio ancora quando non esiste una rete “ospiti” e in tutta tranquillità il referente aziendale vi fornisce l’accesso al wi-fi interno, dedicato ai dipendenti, mettendo a rischio tutta l’infrastruttura informatica.

Con l’innovazione tecnologica attuale anche molti comandi che in passato si azionavano via cavo o manualmente sono stati automatizzati con collegamenti wireless, basti pensare a illuminazione, impianti di riscaldamento e di videosorveglianza, serrature elettroniche… tutti dispositivi che prevedono una password di accesso che probabilmente è rimasta invariata da quella fornita dalla casa madre. Facili prede per chi volesse prendere in ostaggio i clienti di un hotel bloccando le camere o mandando in stallo l’impianto termico di una RSA in pieno inverno, chiedendo un “riscatto” per ripristinare i sistemi.

Ad aumentare ulteriormente i rischi ci si è messo anche il Covid che ha costretto molte realtà, impreparate ad un evento simile, a dover gestire le attività dei dipendenti da remoto in smart working o telelavoro, affidandosi ciecamente ai mezzi a disposizione dei singoli, reti wi-fi comprese, non potendo ovviamente chiedere al lavoratore di investire somme per adeguare le misure di sicurezza in uso.

Il wi-fi pubblico

Al di fuori dell’ambito lavorativo, ci imbattiamo sempre più spesso in hotspot pubblici forniti dai comuni  o access point gratuiti offerti dagli esercizi commerciali per collegarsi a internet con l’obiettivo di intrattenere più a lungo la clientela nel locale incentivandola a consumare/acquistare. Va precisato però che una rete wi-fi pubblica non garantisce la crittografia agli utenti, rendendo vita facile ai malintenzionati che non aspettano altro che accedere liberamente ai dispositivi connessi e carpire informazioni preziose quali credenziali o dati di carte di credito.  Utile quindi fare ricorso ad una VPN (virtual private network) strutturata in modo sicuro oppure, quando non è disponibile, navigare solo i siti che utilizzano il protocollo di sicurezza HTTPS.

Su questo punto anche il Garante per la protezione dei dati personali ha rilasciato nel 2018 delle indicazioni denominate “e-state in privacy. Informazioni e consigli utili per tutelare i propri dati personali quando si è in vacanza” in cui si dice che “Le connessioni offerte da bar, ristoranti, stabilimenti balneari e hotel potrebbero non essere sufficientemente protette e mettere pc, smartphone e tablet a rischio di intrusioni esterne da parte di malintenzionati a caccia di dati personali”, e specifica come “Una buona precauzione è disabilitare la funzione di accesso automatico dello smartphone e del pc alle reti wireless per poter eventualmente verificare – prima di usarle – se le reti disponibili offrono adeguati standard di sicurezza”.

Wardriving

Fenomeno sconosciuto ai più è quello del “wardriving”, ovvero spostarsi solitamente in auto muniti di pc e GPS per intercettare le reti wi-fi aperte e utilizzarle per navigare gratuitamente in internet  (thiefing). Secondo la normativa italiana è illegale procurarsi l’accesso ad una rete privata senza aver ottenuto un’esplicita autorizzazione, ma il reato si aggrava quando un hacker si impossessa di un computer in grado di accedere alla rete wireless per raccogliere i dati personali o inviare un ransomware.

Conclusioni

L’arma che abbiamo a disposizione è quindi, sia nella vita privata che in ambito lavorativo, la consapevolezza sui pericoli legati alle reti a cui ci si connette. Ne va della nostra privacy che rischia di essere violata con attività intrusive quali geolocalizzazione, monitoraggio, accesso ai dati e furto d’identità.

Buone regole da seguire sono:

– Cambiare la password del router, impostando l’autenticazione a due fattori, se possibile.

– Attivare un sistema di crittografia e un protocollo di sicurezza.

– Impostare una seconda rete wi-fi per gli ospiti.

– Utilizzare un firewall per proteggere i dispositivi connessi.

– Installare gli ultimi aggiornamenti disponibili per rimanere sempre al passo con le patch di sicurezza.