Proteggere una rete Wireless domestica?
Spesso sento domandarmi se è necessario proteggere una rete WI-FI realizzata per usi domestici.
La risposta è sicuramente sì. Ora cercherò anche di spiegare il perchè.
Per prima cosa bisogna prendere in considerzione il principio giuridico di responsabilità, che nel nostro caso si può formulare come: "chi installa una attrezzatura informatica e la gestisce, è responsabile del suo corretto utilizzo". Facciamo un esempio chiarificatore: un privato cittadino compra un dispositivo wireless per permettere l'accesso a internet senza fili ai suoi familiari, ma lo installa dimenticando (o ignorando) l'importanza di impostare una password di accesso alla rete.
Un pirata informatico (di seguito cracker) dopo essere entrato abusivamente nella sua rete commette altri reati, ad esempio scaricando e/o condividendo materiale pedopornografico. In questo caso, però, potrebbe essere molto difficile per l'ignaro cittadino dare prova della propria estraneità ai fatti. In queste situazioni potrà essere sempre chiamato a rispondere di ciò che avvenuto, perchè non ha saputo correttamente vigilare sulle strumentazioni informatiche in suo possesso.
Ma anche inserendo una password di accesso "debole" oppure utilizzando protocolli superati o poco sicuri, il possessore della rete wireless potrebbe essere chiamato a risponderne. Supponiamo che un cracker, utilizzando i programmi in grado di attaccare algoritmi di protezione delle reti wireless, i quali permettono di scoprire la password utilizzata nel giro di qualche minuto e sono liberamente scaricabili da internet, riuscisse ad accedere a una rete WIFI domestica e conseguentemente alla connessione internet altrui. Supponiamo anche che il cracker utilizzi questa connessione internet per effettuare altri reati informatici e la cosa finisse in mano agli inquirenti, implicandone anche il possessore della connessione internet che in ogni caso dovrebbe almeno dimostrare la sua estraneità alla vicenda, cosa non sempre facile da fare(1).
Allora ecco alcune semplici regole da seguire nell'acquisto e configurazione di hardware WI-FI:
- Scegliete solo dispositivi che supportino WPA2 (Wi-Fi Protected Access 2). Questo è il più recente e ancora inviolato algoritmo per proteggere una rete wireless.
- Una volta acceso l'access point, attivate la protezione con WPA2-PSK (Pre Shared Key) o anche noto come WPA2-AES, protocollo utilizzato per le reti domestiche visto che non richiede un server esterno di autenticazione. Vi verrà richiesto di creare una chiave pre condivisa, da utilizzare per creare il profilo sul vostro PC, in modo che solo chi è a conoscenza di questa chiave possa accedere alla rete wireless. Bisogna notare che questa non è la chiave con cui sono coperte le comunicazioni, ma è solo una chiave utilizzata inizialmente dagli apparti per scambiarsi un'altra password che invece è generata in modo randomico e cambiata a intervalli regolari.
- Utilizzate una chiave forte per il punto 2. Una chiave forte è una stringa composta da almeno 8 caratteri alfanumerici, scelti quindi con un adeguata distribuzione tra: lettere minuscole, maiuscole, numeri e simboli. Meglio se la chiave scelta non ha senso compiuto ed evitate le combinazioni di tasti vicini, perchè queste sono tra le prime chiavi testate dai cracker 2.
- [Opzionale] Non attivate la funzione di broadcast del SSID, cioè dell'identificatore univoco della rete (spesso è confuso con il suo nome). In questo modo il cracker deve fare un piccolo sforzo in più per reperire anche questa informazione.
Con queste poche regole, sarete in grado di assicurare un elevato standard di protezione alla vostra rete wireless e di conseguenza vivere questa tecnologia, che è veramente molto comoda, con meno angoscia.
(1) Altrimenti tutti potremmo giocare fare i cracker a casa e utilizzando la nostra connessione internet, per poi dichiarare, quando arriva la polizia postale, che ci hanno bucato la rete. Non trovate?
(2) Questa tecnica è nota come attacco a vocabolario, cioè esistono database di password comuni (o di senso compiuto) che vengono testati da automi, con il fine di carpire password deboli.
Commenti
"In queste situazioni potrà essere sempre chiamato a rispondere di ciò che avvenuto, perchè non ha saputo correttamente vigilare sulle strumentazioni informatiche in suo possesso."
Sicché, se oggi compro un access point che supporta un protocollo di protezione che dopo un paio di mesi viene violato, io sarei responsabile delle conseguenze dell'eventuale violazione ? Ma per piacere :-P
Si, ogni utente è responsabile della propria connessione internet e comunque non è proprio bello avere un hacker che si muove liberamente all'interno della propria rete.
La questione è la responsabilità, non se si debba o meno configurare la sicurezza del proprio access point.
E' ridicolo, se non folle, affermare che chiunque usi un dispositivo wireless debba essere a tal punto istruito e consapevole delle tecniche di protezione dell'accesso, da poter essere considerato "responsabile" per il suo (cattivo) uso da parte di terzi.
Gli avvocati si fanno grasse risate (fra sé e sé) a sentire queste scemenze.
"Ignorantia legis non excusat - La legge non ammette ignoranza" dicevano i latini.
Un qualsiasi avvocato non ride, perchè conosce bene il codice penale e sa che l'articolo 615-ter recita:"Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a 3 anni".
Questo articolo, sebbene sembra avvalorare la tua (mi permetto di darti del tu visto, che tu non ti sei nemmeno firmato) tesi, in realtà stabilisce un grosso principio, i sistemi informatici DEVONO essere protetti, altrimenti si coresponsabili di quello che avviene, nella fattispecie si è complici di chi compie azioni illecite con chi sta sfruttando la nostra connessione internet.
Facciamo un parallelo. Ti rubo l'auto e tu non hai ancora denunciato l'accaduto. Io con l'auto investo una persona e la uccido, così abbandono l'auto e scappo a piedi.
Secondo te gli inquirenti a chi vanno a suonare prima, a casa mia o casa tua?
Buona serata.
Dunque, secondo te, uno si compra un media center dell'epoca delle chiavi WEP (mica è antiquariato eh!), conseguentemente configura la sicurezza del suo access point (sta proteggendo la sua rete wireless, sì?), passa nei paraggi di casa sua uno script kid a caccia di connettività, gli buca la rete, compra biglietti di un concerto per se' e per gli amici suoi usando una carta di credito trovata nell'undernet, e il ragazzo proprietario del media center è RESPONSABILE del furto ?
Dunque sarebbero responsabili di crimini tecnicamente paragonabili tutti quelli che non gettano nella spazzatura dispositivi wifi al cambio di generazione dei protocolli di protezione ? E che ne sanno ? Ma soprattutto, che ne possono sapere ?
E quale giudice potrà mai decidere se una password è forte o debole ? Ma che dici ?
Chi se ne importa se l'inquirente suona alla mia porta. E' così facile dimostrargli che sta sbagliando. Sono così deboli, nella sostanza, le sue ragioni.
Senti, io li odio i seminatori di paura. A maggior ragione se la paura è fatua. E ancora di più se il seminatore di paura ha un interesse personale perché può speculare in qualche modo su quella paura.
Queste fantasie da bignami del diritto sono utili, secondo me, soltanto a riempire un po' di spazio di qualche pagina del web, a fare i fichi chiacchierando amenamente con i babbani dell'IT, a far funzionare lo schifoso trita-portafogli dell'obsolescenza programmata, e a far fare marchette a tecnici sedicenti.
Mi chiamo Gigi. E ora che cambia ?
Ciao Gigi,
Se tu leggessi bene e non sputassi sentenze, oltre che accusare le persone ingiustamente, ti accorgeresti che non ho detto che è responsabile ma è coresponsabile, inoltre nel mio articolo si legge chiaramente: [...] Supponiamo che il cracker utilizzi questa connessione internet (la connessione craccata n.d.r.) per effettuare altri reati informatici e la cosa finisse in mano agli inquirenti, implicandone anche il possessore della connessione internet che in ogni caso dovrebbe almeno dimostrare la sua estraneità alla vicenda, cosa non sempre facile da fare [...]
Mi sembrava chiara questa affermazione, ma probabilmente non lo sono stato. Ora cerco di usare il tuo esempio per provare a spiegare meglio la cosa; siamo arrivati al fatto che lo scrptkid compra i bigletti "via internet" con una carta di credito (cdc) fraudolenta. Ma la cosa viene rilevata dal leggittimo proprietario della cdc o dal negozio online, il quale sporgono denuncia all'autorità giudiziaria. Dai log emerge che la transazione è stata effettuata da un certo indirizzo IP, assegnato al sig. Pinco Pallo, il quale è ovviamente all'oscuro di tutto.
E' evidente che Pinco Pallo sarà chiamato a fornire un adeguata prova sulla sua estranietà nella vicenda, cosa per niente facile se non si ha almeno dei log di tentativi di accesso illeciti alla rete. Nel caso specifico per craccare una rete WEP ci vuole qualche minuto(1) e la cosa non lascia segni sull'access point, in quanto si arriva a indovinare la chiave semplicemente sniffando il traffico generato dall'access point.
Come farò Pinco Pallo a dimostrare che è innocente?
Ora ti saluto e ti auguro una buona serata.
PS: a casa mia, sebbene abbia la rete WIFI protetta con WPA2, quando questa non mi serve più la spengo. Kevin Mitnick ebbe a dire: Un computer sicuro è un computer spento".
(1) Il WEP si basa su una chiave conosciuta dall'access point e dai client la quale serve per criptare il contenuto e si basa sull'algoritmo di cifratura RC4. Il problema di questa chiave è che 24 dei suoi bit sono derivati direttamente dal vettore di inizializzazione (IV) del RC4, che viene trasmesso in chiaro essendo i bit dedicati al vettore di inizializzazione pochi con un ampio scambio di dati gli IV possibili (2^24) si esauriscono velocemente, per questo motivo più scambio di dati è presente sulla rete prima uno sniffer riesce a decifrare la chiave WEP. Per maggiori informazioni, sebbene il web ne sia pieno, leggi: www.tomshw.it/business.php?guide=20050518
Alfredo, non ti dispiacere, lascia stare il diritto, o prima di parlarne ancora, per favore, confrontati con qualcuno che ne capisce perché lo pratica. Pinco Pallino non deve dimostrare un bel niente, se l'inquirente, come lo chiami tu, non può dimostrare, al di là di ogni ragionevole dubbio, un nesso CERTO fra un'azione e un attore. E secondo te un nesso CERTO, nel nostro caso, può mai discendere dalla debolezza di una password o dall'aggiornamento di un firmware o di un protocollo di sicurezza ? Manco la corresponsabilità, trust.
E quando pure Pinco Pallino dovesse trovarsi a dimostrare che non c'entra nulla, gli basterebbe dimostrare che non si trovava nel raggio dell'access point in quel momento. Questo è più facile no?
Non ti crucciare, le persone oneste non hanno bisogno di preoccuparsi di capire se è meglio TKIP o AES. Gli basta l'AP configurato dal tecnico del negozio di fronte. E chissà se lui la sa la differenza (mi sorge la domanda "il tecnico che ha configurato l'AP di Pinco Pallino è corresponsabile pure lui?").
Buona serata pure a te.
PS: anche se non capisco dove ho accusato chicchessia ingiustamente, ti chiedo scusa se ti è sembrato che volessi accusarti di qualunque cosa ti sia sembrato volessi accusarti.
Quanto a sputare sentenze l'unico che ha sentenziato, tirando in ballo addirittura principi giuridici, sei tu. L'avevo detto che non mi piacciono i seminatori di paure gratuite ?
Caro Gigi,
Abbi pazienza, ma permettimi di dire che stai facendo un pò di confusione, perchè tu ti concentri sul come, mentre io sto parlando del cosa.
La cosa che stiamo discutendo non è il non avere il protocollo, o il non fare l'aggiornamento/upgrade, il non sapere come funziona una tecnologia.
Quello di cui stiamo discutendo è il lasciare una tua proprietà, di cui sei l'amministratore/conduttore, in mano a delle persone senza scrupoli. Se ciò dovesse verificarsi, tu sei responsabile civilmente per i danni causati verso terzi dalla tua proprietà, e penalmente per non avere impedito il fatto.
Infatti quando tu mi parli del nesso CERTO tra un'azione e un attore di certo ti riferisci al "Rapporto di Casualità", ma ti ricordo che l'articolo 40 del cp continua con "Non impedire un evento, che si ha l'obbligo giuridico di impedire, equivale a cagionarlo."
E quando anche riuscissi a dimostrare che tu non c'entri, perchè non eri in casa, perchè eri in vacanza o tutto quello che vuoi, mi darai ragione che per il normale cittadino, quello che campa tranquillo a casa sua, avere a che fare con la giustizia per dimostrare la propria innocenza non sia proprio quello che augureremmo ai nostri amici?
Per concludere rispondo alle tue domane: "ci hai accusato di voler vendere seminando paura, setenziando che siamo tecnici sedicenti, oltre altre amene cose". Peccato ti sia sfuggito il fatto che noi facciamo consulenze ad aziende e non alle persone fisiche, quindi non vogliamo vendere proprio niente a nessuno, meno che mai con la strategia del terrore, tanto più che proprio in prima pagina del sito c'è un articolo, scritto da me, che spiega come avere un PC più performante senza spendere un centesimo.
Te lo consiglio: 8 software gratuiti che velocizzano il pc
Ora ti saluto, spero continuerai a seguirci sempre con lo stesso occhi critico ma meno ira nei nostri confronti.
Alfredo
Ottimo Alfredo, il punto è precisamente questo:
"Non impedire un evento, che si ha l'obbligo giuridico di impedire, equivale a cagionarlo."
Quello che non vuoi proprio ammettere, quanto meno pubblicamente, qui e ora, è che è inconcepibile che una persona normale possa *impedire* la violazione della propria rete wireless. E siccome per me, persona normale, è impossibile impedire la violazione della mia rete wireless, NON DEVO AVER PAURA se qualche farabutto usa la mia rete wireless per commettere un crimine. Soprattutto non posso essere responsabile per non aver impedito un fatto se non è possibile impedire il fatto.
Se affermi il contrario, semini una paura gratuita (e affermi, inoltre, una cosa illogica).
E quando figuri lo scenario dove si insegue nei log del provider di connettività l'indirizzo IP coinvolto in una transazione fraudolenta per risalire all'assegnatario, non stai facendo un'operazione di verità. Perché, nella normalità dei casi, il circuito del clearing o la banca intermediaria, appena il proprietario di una carta di credito nega di essere autore di una transazione, stornano l'importo. Di prima, senza starci a pensare due volte. Perchè, nella loro esperienza, è impossibile, o enormemente costoso, già solo dimostrare il nesso CERTO fra la transazione fraudolenta e il proprietario della connettività. Il merchant, l'unico che ci perde, non ci pensa neanche: si avvelena un po', annota in bilancio la perdita e continua a incassare la stragrande maggioranza delle transazioni oneste.
L'uso a mo' di spauracchio (hai usato addirittura la parola "complice"), della Legge e della Giustizia, è l'altro errore che, secondo me, fai. Legge e Giustizia sono amiche delle persone oneste, non controparti temibili solo perché l'errore, molto più raro di quello che si crede, è sempre in agguato. Il messaggio dovrebbe essere, piuttosto e molto più semplicemente, "tranquilli, è importante proteggere la vostra rete wireless, ma basta che facciate del vostro meglio, con tutti i vostri limiti, senza la pretesa di renderla invulnerabile". E poi magari si può approfittarne per spiegare come e perché aumentando il livello generale di alfabetizzazione informatica.
Scopro ora che sei nell'IT e nella sicurezza (credimi, non avevo neanche guardato la testata del sito, mi ero concentrato solo sul messaggio che comunicavi). Perché nei vostri contratti si usa la formula del "best effort" ("fare del proprio meglio")? Perché, per definizione, si tiene a sancire il sollevamento da responsabilità ? Perché la promessa di impedire la violazione dei sistemi è inconcepibile e quindi non è sostanzialmente mantenibile. Come si può pretendere, concettualmente, che un comune cittadino, invece, si adoperi con tale perizia nella protezione della rete wireless domestica da renderne impossibile l'uso fraudolento, perché altrimenti rischia di ritrovarsi "complice" di un delinquente ? Ma che sono queste semplificazioni ?
Per finire, per quale cappero di ragione se mi riferisco a "tecnici sedicenti" dovrei necessariamente riferirmi a te ? Mannaggia ai blogger egocentrici ;-)
Tranquillo Alfredo, non solo non sapevo manco che calcassi la scena dell'IT, ma mi riferivo specificatamente a una brutta razza che di sicuro conosci anche tu, che alimenta l'analfabetismo informatico per fare marchette. Parlo dei guru d'accatto del negozio dietro l'angolo, dell'impiantista convertito all'rj45, di quelli che si tengono stretto il poco che sanno perché sguazzano nell'ignoranza senza nessun interesse ad aumentare e diffondere conoscenza. Tu, piuttosto, mi sembri tenerci alla divulgazione. Solo, nella mia percezione, ti sei trovato a seminare paure. E secondo me abbiamo bisogno di tutt'altro.
Peace.
Ciao Gigi,
Quasi mi piace questa discussione che da blog è diventata forum.
Vorrei che tu capissi che non sto seminando nessuna paura. Se cerchi sulla rete quello che ho scritto io l'hanno già scritto altri come ad esempio:
wi-fi e pirati - ilsole24ore
Si legge:
[...] Fulvio Sarzana di Sant'Ippolito, esperto in diritto dell'informatica e delle telecomunicazioni spiega come difendersi dagli attacchi e quali illeciti vengono compiuti dai pirati. [...] Le modalità di difesa da parte dell'ignaro vicino sono varie: alcune riguardano la cd sicurezza fisica dei sistemi ( ad esempio posizionare gli hot spot lontani dai muri perimetrali della casa, schermare gli stessi hot spot per impedire l'estensione in larghezza e in altezza delle onde), altre riguardano più propriamente la sicurezza logica ed informatica ( come modificare gli IP di accesso alla connessione o impostare la sicurezza dei cd MacAddress), ed in ogni caso richiedono qualche conoscenza informatica in più rispetto a quelle in possesso del cittadino medio.
In ogni caso va tenuto presente che esistono precise norme all'interno del cd codice della Privacy che impongono al titolare di un sistema informatico di utilizzare "misure di sicurezza" per il trattamento dei dati personali al fine di non incorrere in sanzioni civili, penali ed amministrative.
Se quindi il cittadino non avrà utilizzato alcuna misura di sicurezza per il trattamento dei dati personali ( ad esempio non richiedendo la configurazione del sistema di crittografia o non utilizzando alcuna password per l'accesso al sistema wireless) si porranno problemi di mancata adozione dei sistemi di sicurezza previsti dalla legge.
In caso di commissione di reati attraverso il sistema wireless poi il cittadino dovrà essere in grado di dimostrare che non sia stato lui a compiere determinate attività, ma la prova di una sua estraneità ( essendo ad esempio il sistema aperto ed alla mercè di tutti) sarà presumibilmente molto difficile.
In ogni caso potrà essere sempre chiamato a rispondere lo stesso cittadino per una cd culpa in vigilando, per non avere cioè saputo correttamente vigilare sulle strumentazioni informatiche in suo possesso.
Volentieri peace e love... ma informati!
Ciao
Oddio!
"posizionare gli hot spot lontani dai muri perimetrali della casa, schermare gli stessi hot spot per impedire l'estensione in larghezza e in altezza delle onde"
E questa poi è una perla:
"[...] impostare la sicurezza dei cd MacAddress"(la pacchia degli hacker).
Pfui! E queste sarebbero le tue fonti di informazione? Ma informati meglio tu!
Senti Alfre', ho capito che non hai orecchie per sentire. Quello che volevo dirti, l'ho detto. Non sei entrato nel merito di una sola delle questioni che ho sollevato e questo la dice lunga sul tuo stile. Tu continua inconsapevolmente a seminare paure fatue che così qualcuno ti legge e io continuo a stare sereno senza spendere un secondo della mia vita a chiedermi "Mado', non è che hanno craccato pure WPA-2 ?".
E scommettiamo che nella giurisprudenza Italiana non esiste un caso, UNO, che ti dia ragione ?
La piega che assunto la discussione non permette più di astenermi.