La disponibilità di una rete Wi-Fi quando si è in viaggio (in albergo, in aeroporto, alla stazione o in altri luoghi pubblici) è certamente buona cosa. I vantaggi di una Wi-Fi sono molti: di solito si ha la possibilità di inviare e ricevere dati ad alta velocità grazie all’impiego di una connessione a banda larga.
Quando non ci si trova in ufficio o a casa, l’avere a disposizione una rete Wi-Fi rappresenta spesso una vera e propria ancora di salvezza. È pur vero che tutti gli operatori telefonici offrono oggi numerosi piani di connessione dati in mobilità che comprendono soglie di traffico più consistenti rispetto al passato oppure tempi di collegamento più “generosi” ma una buona Wi-Fi (sebbene sia fruibile entro una zona ben delimitata) si rivela di solito più adeguata per lo scambio di molte informazioni, spesso senza limiti di sorta.
Nel momento in cui non fosse disponibile, nelle immediate vicinanza, una connessione Wi-Fi sicura ed affidabile, si potrà ripiegare sulla connettività fornita dal proprio operatore telefonico utilizzando ad esempio lo smartphone od il tablet come modem (il caso di Android: Collegarsi ad Internet con Android usando uno smartphone come modem).
Se si sceglie di collegarsi ad una rete Wi-Fi pubblica com’è possibile assicurarsi che nessun altro possa intercettare i dati scambiati online?
Quando si usano reti Wi-Fi pubbliche o comunque connessioni Wi-Fi fruibili da più persone e quindi anche da sconosciuti (è il caso della connettività offerta nei locali pubblici, nei ristoranti, negli hotel, in aeroporto,…) è indispensabile adottare alcune misure di difesa che consentono di evitare la sottrazione di informazioni personali e, nei casi più gravi, veri e propri furti di identità.
Un malintenzionato, collegato alla medesima rete Wi-Fi, può facilmente intercettare i dati scambiati attraverso protocolli che non utilizzano alcuna forma di cifratura. L’attività è tutt’altro che cervellotica: basta dotarsi di un software in grado di effettuare lo sniffing dei pacchetti dati (ne abbiamo parlato nell’articolo Controllare quali attività sono in corso nella rete locale con Wireshark) per scoprire tutte le comunicazioni che stanno avvenendo all’interno della rete locale.
Proprio per questo motivo, riveste un’importanza fondamentale l’utilizzo di servizi che poggiano sul protocollo HTTPS: i dati non viaggiano più “in chiaro” ma sono crittografati così da impedire l'”intercettazione” da parte di terzi di tutti i contenuti inviati e ricevuti (vedere più avanti).
1. Se si utilizza una rete Wi-Fi pubblica non esporre le proprie cartelle condivise
Se si decide di collegarsi ad una rete Wi-Fi pubblica, è indispensabile controllare che le risorse condivise non siano accessibili da parte di persone non autorizzate.
Il miglior modo per affacciarsi su una rete wireless pubblicamente accessibile, è quello di rendere il proprio personal computer invisibile a tutti gli strumenti che permettono di effettuare una scansione dei client collegati ad uno stesso router od al medesimo hotspot Wi-Fi.
In tal senso, Windows Vista e Windows 7, rispetto alle precedenti versioni di Windows, hanno permesso di compiere un notevole passo in avanti.
Accedendo al Centro connessioni di rete e condivisione, è altamente consigliabile indicare Rete pubblica ogniqualvolta si utilizzi una connessione Wi-Fi pubblica:
Il sistema operativo permette di scegliere tra tre tipologie di reti: aziendale, domestica e pubblica.
Nell’ultimo caso (Rete pubblica), per impostazione predefinita, il sistema risulta invisibile agli altri client connessi in rete locale (non risponde neppure al comando ping
) e viene completamente disabilitata la funzionalità per la condivisione di file e cartelle.
Cliccando sul link Modifica impostazioni di condivisione avanzate, quindi facendo clic su Pubblico, si noterà come le opzioni scelte siano Disattiva individuazione rete, Disattiva condivisione file e stampanti e Disattiva condivisione cartelle pubbliche.
Ciò significa che il sistema Windows risulterà inesistente “agli occhi” degli altri utenti collegati in rete locale, non metterà a fattor comune alcuna risorsa, compreso il contenuto delle cosiddette “cartelle pubbliche” (gli elementi memorizzati in queste speciali cartelle di Windows 7 risultano accessibili da parte di tutti gli altri utenti connessi alla rete locale).
Digitando, dal prompt dei comandi, ipconfig
si può stabilire l’IP assegnato dal router Wi-Fi.
Se, da un altro sistema collegato in rete locale, si invoca il comando ping
seguito dall’IP del sistema sul quale si è impostato il profilo Rete pubblica, questo non risponderà mai (messaggio Richiesta scaduta).
Se, invece, si selezionerà – ad esempio – Rete aziendale, il sistema risponderà al comando ping
manifestando la sua presenza.
Per ottenere invece una lista completa delle risorse condivise non solo sul sistema locale ma anche sulle macchine al momento connesse in rete locale, si provi ad utilizzare lo strumento gratuito NetResView (
).
Il funzionamento del programma è molto semplice: dopo aver estratto su disco il contenuto del file Zip, è sufficiente fare doppio clic sull’eseguibile NetResView.exe
. Apparirà la finestra seguente:
Il software indica quali informazioni, relative alle risorse condivise, è in grado di recuperare. NetResView mostra il nome della risorsa, il tipo della stessa (computer, condivisione amministrativa, condivisione speciale), l’appartenenza ad un dominio o ad un gruppo di lavoro, la relativa descrizione, l’indirizzo IP della macchina che mette a disposizione la risorsa, il percorso locale, la versione del sistema operativo installata, il numero di connessioni in corso ed addirittura il MAC address della macchina (previa abilitazione della casella Retrieve MAC Addresses).
Nel caso in cui NetResView non dovesse rilevare alcuni sistemi della rete locale sui quali si è certi della presenza di cartelle condivise, il suggerimento consiste nell’aumentare il valore in millisecondi specificato nella casella Timeout value for retrieving IP addresses.
NetResView è capace di indicare anche il nome del produttore di ciascuna scheda di rete facendo riferimento ad ogni singolo MAC address rilevato. Per attivare automaticamente la funzionalità, è necessario scaricare dal web questo file di testo e memorizzarlo nella cartella ove si è collocato l’eseguibile di NetResView. Nell’ultima colonna del programma appariranno, a partire dalla scansione successiva, i nomi dei produttori delle schede di rete installate sui sistemi collegati alla rete locale.
Un’utilità gratuita come NetResView consente a chiunque di stabilire quali dispositivi sono connessi alla rete locale e scoprire eventuali risorse condivise.
Optando per il profilo Rete pubblica, né il sistema né le eventuali risorse condivise saranno esposti sulla rete locale.
È bene comunque controllare sempre quante e quali cartelle sono condivise sul sistema in uso accertandosi che non siano accessibili senza autenticazione (nome utente e password).
In Windows, per ottenere rapidamente l’elenco delle condivisioni di rete, è sufficiente aprire il prompt dei comandi e digitare quanto segue, seguito dalla pressione del tasto Invio:
Il comando restituisce l’elenco completo delle condivisioni attive sul personal computer locale, comprese quelle nascoste (contengono il simbolo $
come suffisso). In tutte le versioni di Windows esistono di default alcune condivisioni nascoste – le cosiddette condivisioni amministrative (o “administrative shares“):
Attraverso queste condivisioni, un amministratore può godere dell’accesso, in modalità remota, all’intero albero delle partizioni.
Fa riferimento alla cartella di sistema di Windows (%systemroot%
). Gli amministratori possono ricorrere a questa condivisione nascosta per accedere alla directory contenente l’installazione di Windows, senza conoscerne l’esatto percorso.
La condivisione punta alla directory %systemroot%\System32\Spool\Drivers
. Quando una stampante viene condivisa in rete locale, Windows crea automaticamente questa condivisione nascosta facente riferimento alla cartella ove sono contenuti i driver di stampa. Il gruppo degli utenti Everyone gode dei diritti di accesso in sola lettura a questa risorsa condivisa mentre gli amministratori dispongono di privilegi d’accesso completi.
Utilizzata per l’amministrazione remota della macchina.
Se si vuole fare in modo che le condivisioni amministrative non siano mai fruibili dagli altri sistemi collegati in LAN, è possibile aprire l’Editor del registro di Windows, portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies\System
, individuare, nel pannello di destra, il valore LocalAccountTokenFilterPolicy
ed impostarlo a 0
. Nel caso in cui LocalAccountTokenFilterPolicy
, è possibile crearlo ricorrendo al menù Modifica, Nuovo, Valore DWORD.
Qualora si volesse successivamente “sbloccare” l’uso delle condivisioni amministrative, sarà sufficiente impostare ad 1
il valore LocalAccountTokenFilterPolicy
.
In alternativa, la lista delle risorse condivise può essere consultata anche in forma grafica accedendo al Pannello di controllo di Windows, cliccando su Strumento di amministrazione quindi su Gestione computer ed infine su Cartelle condivise, Condivisioni.
In Windows 7, per richiamare rapidamente la finestra Gestione computer è sufficiente cliccare sul pulsante Start e digitare Gestione computer
, seguito dalla pressione del tasto Invio, in corrispondenza della casella Cerca programmi e file.
Utilizzare connessioni protette e valutare collegamenti VPN
2. Utilizzare connessioni cifrate
L’altra importantissima regola da seguire dopo essersi collegati ad una Wi-Fi pubblica consiste nell’utilizzare sempre connessioni cifrate.
Quando si “naviga” sul web è indispensabile controllare che i siti ai quali ci si sta collegando, soprattutto se si debbono scambiare dati personali od informazioni “sensibili” (consultazione di webmail, dei principali social network, introduzione di nomi utente e password, uso di servizi di e-commerce,…) facciano uso del protocollo HTTPS.
Il protocollo HTTPS (ossia HTTP con l’aggiunta del protocollo crittografico SSL/TLS), insieme con un certificato digitale valido, vengono comunemente usati da tutti i siti web che permettono la gestione di dati particolarmente importanti od informazioni sensibili.
Quando si utilizzano connessioni non sicure, facendo ricorso al solo HTTP – senza l’impiego di un protocollo di crittografia asimmetrica -, infatti, è molto facile, per un aggressore, carpire informazioni personali esaminando i dati in transito (attività di “sniffing“). Collegandosi, ad esempio, con una piattaforma ricchissima di dati personali qual è un social network utilizzando solo il protocollo HTTP, il “session cookie” creato sul proprio sistema a login effettuato viene scambiato con il server remoto per tutta la durata della sessione di lavoro. Tale cookie contiene importanti informazioni legate all’autenticazione sul sito web: qualora un malintenzionato riuscisse a mettere le mani sul contenuto del cookie, potrebbe immediatamente loggarsi sul servizio impersonificando l’altrui identità. Un’operazione del genere, sulle reti Wi-Fi pubbliche, è semplicissima da porre in essere: ecco perché l’adozione di HTTPS è divenuta un imperativo sempre più pressante (vedere anche HTTPS Everywhere invita ad usare connessioni “sicure”.
Le più recenti versioni dei vari browser web ben evidenziano quando si sta utilizzando una connessione HTTP e quando, invece, ci si è collegati ad una pagina web che fa uso del protocollo HTTPS. Sia Internet Explorer, sia Chrome, sia Firefox, ad esempio, espongono un lucchetto nella barra degli indirizzi insieme con l’indicazione https:
ogniqualvolta si utilizzi una pagina che utilizza un certificato digitale e che quindi provvede a crittografare i dati cambiati tra client e server (e viceversa).
Per maggiori informazioni, vi suggeriamo di fare riferimento agli articoli Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti e I certificati digitali e gli attacchi subiti dalle autorità di certificazione: l’accaduto e le difese da porre in campo.
Tutte le caselle di posta accessibili attraverso una webmail solitamente prevedono l’utilizzo del protocollo HTTPS.
Nel caso in cui, per scaricare ed inviare la posta elettronica, si utilizzasse un software client (Thunderbird, Eudora, Opera Mail,…) installato sul sistema, è indispensabile verificare che i dati vengano inviati e ricevuti utilizzando connessioni sicure (protocollo SSL/TLS):
Nell’esempio, Thunderbird è stato configurato per scaricare la posta in arrivo da un account Google Gmail. Come si vede, Gmail consente di attivare una connessione dati cifrata in modo che il contenuto delle e-mail scaricate non possa essere intercettato da parte di terzi (nell’articolo Configurare Gmail ed usare l’account al meglio abbiamo spiegato come configurare il client di posta per prelevare ed inviare e-mail utilizzando una connessione sicura).
L’utilizzo dei tradizionali protocolli POP3 sulla porta 110 e SMTP sulla porta 25 sono assolutamente sconsigliati durante l’impiego di una rete Wi-Fi pubblica. In questo caso, infatti, le informazioni vengono scambiate “in chiaro”, senza alcuna forma di cifratura. È quindi piuttosto semplice, per un malintenzionato, “leggere” il contenuto dei messaggi di posta in transito.
Alcuni siti web, pur utilizzando di default il protocollo HTTP (informazioni trasmesse “in chiaro”), permettono comunque di utilizzare HTTPS. Quando non si è loggati su Google con il proprio account, ad esempio, tutte le interrogazioni sul motore di ricerca avvengono normalmente utilizzando il protocollo HTTP. Per passare ad HTTPS e, quindi, nascondere agli “occhi indiscreti” tutte le ricerche effettuate, basterà digitare https://www.google.it
nella casella di ricerca.
3. Usare una VPN per proteggere tutte le comunicazioni durante l’uso di una connessione Wi-Fi pubblica
Una rete VPN è un collegamento instaurato tra sistemi che utilizzano un mezzo di comunicazione pubblico qual è Internet ma che hanno la necessità di scambiarsi dati in modo sicuro. Creando una VPN, i vari partecipanti alla rete, vengono a far parte di una rete privata anche se si trovassero fisicamente a migliaia di chilometri di distanza. Attraverso la rete VPN è possibile scambiarsi informazioni in modo molto simile a quanto accade in una connessione privata punto-punto. L’approccio utilizzato dà modo di rendere il computer remoto parte di una rete privata interna alla struttura aziendale o domestica creando un “tunnel” virtuale attraverso la rete Internet. Per simulare un collegamento punto-punto, i dati vengono incapsulati con l’aggiunta di un’intestazione che fornisce le informazioni di routing e cifrati in modo da renderne possibile la lettura da parte di eventuali aggressori, sprovvisti delle necessarie chiavi crittografiche.
Nell’articolo Reti VPN: scambiare dati in sicurezza con i sistemi collegati alla LAN. Amahi e OpenVPN abbiamo spiegato come allestire, a casa, in ufficio od in azienda, un agile server Linux basato su OpenVPN che non solo consente ad un sistema remoto di collegarsi alla rete locale ma anche di scambiare dati in forma cifrata.
L’unico problema è che in questo caso il server VPN dovrà essere mantenuto sempre costantemente acceso altrimenti non sarà possibile avviare una connessione da remoto.
Software come Spotflux, invece, permettono di attivare una connessione VPN con i server della società produttrice del programma. Tutte i dati scambiati in Rete passeranno prima, attraverso il “tunnel” cifrato, dai server di Spotflux che provvederanno quindi a smistarli verso le opportune destinazioni. Attivando Spotflux mentre si è connessioni ad una rete Wi-Fi pubblica, nessun aggressore potrà più intercettare alcun dato, neppure se scambiato attraverso normali connessioni HTTP.
L’unico requisito necessario per usare Spotflux è la presenza, sul sistema in uso, dell’ultima versione del pacchetto Java Runtime Environment.
Tutte le informazioni sull’installazione e sull’utilizzo di Spotflux sono pubblicate nel nostro articolo Navigare anonimi con Spotflux grazie alla VPN ed alla cifratura dei dati.
Piuttosto valido è anche VersaVPN servizio che, nella versione gratuita, permette esclusivamente l’uso del protocollo OpenVPN ma non impone particolari limitazioni sul traffico dati scambiato (la velocità massima consentita per il download dei dati è pari a 300 Kb/sec, valore più che accettabile).
Per attivare un collegamento VPN con VersaVPN in ambiente Windows, suggeriamo di scaricare questo file ed estrarne il contenuto in una cartella di propria scelta, sul disco fisso.
Nella sottocartella \Free Account\VersaVPN Windows Only- FREE
, si troverà il file denominato OpenVPNPortable.exe
; bisognerà avviarlo con i diritti di amministratore:
Alla comparsa del messaggio seguente bisognerà cliccare su Sì per confermare l’installazione dell’interfaccia virtuale di VersaVPN:
Dopo alcuni minuti di attesa, nell’area della traybar di Windows verrà visualizzata l’icona di VersaVPN (due computer di colore rosso):
Cliccando con il tasto destro del mouse, si potrà scegliere uno dei server VPN in lista. Gli utenti di account gratuiti possono usare solo i server VPN marcati con il prefisso “FREE”.
Consigliamo di scegliere sempre un server con l’indicazione Safermode: in questo modo verrà utilizzato il protocollo SSL.
Quali credenziali d’accesso bisogna inserire alla richiesta di username e password?
Innanzi tutto è necessario creare un account sul sito di VersaVPN facendo riferimento alla pagina di registrazione. Per procedere, è indispensabile inoltrare un ordine gratuito (servizio Free Account – Shared OpenVPN).
Dopo aver effettuato il login con l’e-mail indicata e la password scelta, bisognerà accedere all’area clienti, cliccare sul pulsante View details in corrispondenza di Free Account – Shared OpenVPN, selezionare Port forwarding ed annotare Username e Password visualizzati.
L’informazione è sicuramente molto nascosta ma il nome utente e la password presenti in questa schermata sono quelli da digitare nel client OpenVPN di VersaVPN.
Confermata la connessione mediante la pressione del tasto OK, dopo alcuni secondi l’icona di VersaVPN diverrà di colore verde. Il tunnel VPN è così creato e tutte le comunicazioni saranno automaticamente cifrate.
Avviando il browser web e collegandosi ad un sito come What is my IP si noterà che l’indirizzo IP col quale ci si presenta in Rete è cambiato ed è diverso da quello assegnato dal provider Internet locale (nel caso di una rete Wi-Fi pubblica, l’indirizzo IP assegnato al router dall’ISP).
Per chiudere la connessione VPN, basterà cliccare nuovamente con il tasto destro del mouse sull’icona di VersaVPN, scorrere fino in fondo l’elenco dei server e scegliere Exit. Il programma richiederà se s’intende disinstallare l’interfaccia virtuale di OpenVPN.
Se si prevede di riutilizzare nuovamente la connessione VPN, si può rispondere negativamente.