Utilizzare gli Hotspot Wi-Fi pubblici in modo sicuro

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...uro_index.html

In viaggio o nel tempo libero è spesso indispensabile accedere al Web dal proprio dispositivo portatile. Ma è sicuro farlo utilizzando gli ormai diffusi Hotspot pubblici? E quali accortezze è bene prestare?

Click sul link per visualizzare l'articolo.

[NiubboXp]

Sarebbe stato carino avere delle info per proteggersi da queste problematiche su android visto che sicuramente viene utilizzato maggiormente rispetto ai pc

[Rubberick]

Quote:

Originariamente inviato da NiubboXp

Sarebbe stato carino avere delle info per proteggersi da queste problematiche su android visto che sicuramente viene utilizzato maggiormente rispetto ai pc

vedi che Fabio Boneschi forse l'aggiunge una pagina dedicata ai dispositivi mobili... l'articolo così può essere senza dubbio migliorato

Almeno una paginetta su iOs e Android..

[Ramolaccio]

Infatti.. troverei molto più utile un articolo incentrato su Android, iOs o altri sistemi mobili, visto che ormai tantissimi di noi girano con in tasca uno smartphone ma non un portatile.
Ad esempio, i servizi automatici di sincronizzasione (fb, gmail) trasmettono i miei dati di autenticazione in chiaro o no?
Posso anche collegarmi ad una vpn (ed io ne ho una a disposizione), ma se nei secondi in cui ho già il segnale wi-fi ed apro il programma per stabilire una connessione vpn, programmi come gmail o fb trasmettono già i miei dati in chiaro per la sincronizzazione automatica, allora tanto vale. (non lo so, lo chiedo)
Sono queste le cose che (credo) vorremmo sapere.

[koni]

Quote:

Originariamente inviato da Ramolaccio

Infatti.. troverei molto più utile un articolo incentrato su Android, iOs o altri sistemi mobili, visto che ormai tantissimi di noi girano con in tasca uno smartphone ma non un portatile.
Ad esempio, i servizi automatici di sincronizzasione (fb, gmail) trasmettono i miei dati di autenticazione in chiaro o no?
Posso anche collegarmi ad una vpn (ed io ne ho una a disposizione), ma se nei secondi in cui ho già il segnale wi-fi ed apro il programma per stabilire una connessione vpn, programmi come gmail o fb trasmettono già i miei dati in chiaro per la sincronizzazione automatica, allora tanto vale. (non lo so, lo chiedo)
Sono queste le cose che (credo) vorremmo sapere.

con la vpn crei un collegamento sicuro dal tuo pc remoto col server vpn e tutti i dati che passano da pc a server sono protetti e non in chiaro nella rete wifi pubblica
un altro vantaggio di usare una vpn con le rete pubbliche e che si possono usare tutte le porte che vuoi :P io gioco online con diablo è uno un lag di 250 ms con un server vpn in canada

[Ramolaccio]

Lo so cosa è una VPN, koni (uso airvpn).
Il mio problema sono gli istanti in cui sono già connesso alla wi-fi pubblica, cerco il programma OpenVPN e lo avvio.
In quegli istanti che non sono ancora nel tunnel... gmail e fb ad esempio, che si sincronizzano in automatico, stanno trasmettendo in chiaro o cifrato???

[Fabio Boneschi]

la parte su mobile.. è in "fase di studio"

[koni]

Quote:

Originariamente inviato da Ramolaccio

Lo so cosa è una VPN, koni (uso airvpn).
Il mio problema sono gli istanti in cui sono già connesso alla wi-fi pubblica, cerco il programma OpenVPN e lo avvio.
In quegli istanti che non sono ancora nel tunnel... gmail e fb ad esempio, che si sincronizzano in automatico, stanno trasmettendo in chiaro o cifrato???

facebook essendo sotto https dovrebbe essere sicuro penso che anche per gmail l'https sia obbligatorio
il problema secondo me sono le email pop3 che sono in chiaro

[koni]

Quote:

Originariamente inviato da Fabio Boneschi

la parte su mobile.. è in "fase di studio"

una cosa la posso già dire : con Windows phone 7.8 non ci si può collegare ad una vpn e la cosa mi infastidisce e parecchio avendo un lumia 710
dato che sto pensando di passare al lumia 925 vorrei sapere se Windows phone 8.1 supporta le vpn

[Jena73]

come servizio vpn consiglio tunnelbear.
lo uso quotidianamente ed e' davvero ottimo e performante

[Ratberg]

Non me ne intendo molto, ma trattandosi alla fine di rete locale, per quanto WiFi (ma WiFi o cavo eth conta poco), non v'è rischio di attacchi a livello di data-link-layer con - ad esempio - arp poisoning? Cioè, capisco HTTPS, VPN e menate varie, tutto giusto, ma a livello di data-link i protocolli per assegnamento dell'IP dinamico, per quel che so, non sono mica tanto sicuri. Altrimenti non vi sarebbe necessità di avere switch che supportano le virtual lan e di mettere su le dmz. Secondo me le vulnerabilità più critiche stanno a quel livello, dove girano i MAC address, tanto per intenderci... O non mi è chiaro qualcosa?

[matte91snake]

Quote:

Originariamente inviato da Ramolaccio

Lo so cosa è una VPN, koni (uso airvpn).
Il mio problema sono gli istanti in cui sono già connesso alla wi-fi pubblica, cerco il programma OpenVPN e lo avvio.
In quegli istanti che non sono ancora nel tunnel... gmail e fb ad esempio, che si sincronizzano in automatico, stanno trasmettendo in chiaro o cifrato???

quotone

cerco di evitare le reti wifi che non siano mie, quando mi capita di usare wifi pubbliche ho sempre il terrore di aprire openvpn troppo tardi

[ciairuzz]

Quote:

Originariamente inviato da Ramolaccio

Lo so cosa è una VPN, koni (uso airvpn).
Il mio problema sono gli istanti in cui sono già connesso alla wi-fi pubblica, cerco il programma OpenVPN e lo avvio.
In quegli istanti che non sono ancora nel tunnel... gmail e fb ad esempio, che si sincronizzano in automatico, stanno trasmettendo in chiaro o cifrato???

gmail o fb utilizzano certificati verificati firmati da terze parti, quindi il protocollo TLS (HTTPS sta per HTTP over TLS) cifra tutto tra client e server.

http://en.wikipedia.org/wiki/Transport_Layer_Security

Quote:

Originariamente inviato da Ratberg

Non me ne intendo molto, ma trattandosi alla fine di rete locale, per quanto WiFi (ma WiFi o cavo eth conta poco), non v'è rischio di attacchi a livello di data-link-layer con - ad esempio - arp poisoning? Cioè, capisco HTTPS, VPN e menate varie, tutto giusto, ma a livello di data-link i protocolli per assegnamento dell'IP dinamico, per quel che so, non sono mica tanto sicuri. Altrimenti non vi sarebbe necessità di avere switch che supportano le virtual lan e di mettere su le dmz. Secondo me le vulnerabilità più critiche stanno a quel livello, dove girano i MAC address, tanto per intenderci... O non mi è chiaro qualcosa?

Un attaccante con un arp poisoning può convincere client e server di parlare con sè facendo a turno da client farlocco e server farlocco.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Se l'attacco riesce con HTTP possono rubarti le credenziali di accesso ad un portale web. Su HTTPS in genere fallisce perchè il browser si accorge che stai utilizzando un certificato farlocco non verificato da terze parti e mostra un avviso di sicurezza. A questo punto non si va avanti a meno che l'utente non aggiunga quel certificato alla lista delle eccezioni.

[Ratberg]

Quote:

Originariamente inviato da ciairuzz

gmail o fb utilizzano certificati verificati firmati da terze parti, quindi il protocollo TLS (HTTPS sta per HTTP over TLS) cifra tutto tra client e server.

http://en.wikipedia.org/wiki/Transport_Layer_Security


Un attaccante con un arp poisoning può convincere client e server di parlare con sè facendo a turno da client farlocco e server farlocco.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack

Se l'attacco riesce con HTTP possono rubarti le credenziali di accesso ad un portale web. Su HTTPS in genere fallisce perchè il browser si accorge che stai utilizzando un certificato farlocco non verificato da terze parti e mostra un avviso di sicurezza. A questo punto non si va avanti a meno che l'utente non aggiunga quel certificato alla lista delle eccezioni.

Ok, quindi a meno che uno non abbia a che fare con qualche cosa che prevede un protocollo in chiaro, in teoria non ci dovrebbero essere problemi. Quindi per gli altri protocolli, come POP3 e SMTP senza SSL però bisogna stare in campana comunque, no?

[ciairuzz]

Quote:

Originariamente inviato da Ratberg

Ok, quindi a meno che uno non abbia a che fare con qualche cosa che prevede un protocollo in chiaro, in teoria non ci dovrebbero essere problemi. Quindi per gli altri protocolli, come POP3 e SMTP senza SSL però bisogna stare in campana comunque, no?

Anche POP3 e SMTP possono andare su TLS con STARTTLS
http://en.wikipedia.org/wiki/STARTTLS

Bisogna stare in campana comunque, specie con antivirus non aggiornati, update non installati, porte aperte a caso sul pc etc. senza dimenticare che a volte è più semplice ingannare un utente con il phishing piuttosto che realizzare un attacco.

[Ratberg]

Quote:

Originariamente inviato da ciairuzz

Anche POP3 e SMTP possono andare su TLS con STARTTLS
http://en.wikipedia.org/wiki/STARTTLS

Si, questo si sa, e wikipedia è pure molto utile.

Basta stare attenti alle imprecisioni, che non ce ne sono poche. Del resto è agggggratis!!! Come ci si può lamentare?

Quote:

Originariamente inviato da ciairuzz

Bisogna stare in campana comunque, specie con antivirus non aggiornati, update non installati, porte aperte a caso sul pc etc. senza dimenticare che a volte è più semplice ingannare un utente con il phishing piuttosto che realizzare un attacco.

Gli antivirus potrebbero anche non esserci (basterebbe lasciare - almeno su windows - l'UAC come deve stare), ma sugli update ti do ragione: quando vedo macchine con gli update automatici spenti, inorridisco quasi sempre. Le porte aperte di per se non sarebbero sempre un problema, se i protocolli fossero un minimo intrinsecamente sicuri. Ma la morale di tutta la storia, alla fine e se non ho capito male, è che sulle WLAN pubbliche è meglio non fare transitare nulla che non sia cifrato. D'altro canto mi stupisco sempre come diavolo faccia la gente a cascare ancora nel phishing, magari usando un URL farlocco ricevuto in una mail ed allegramente cliccato (magari con successivo riempimento di una form con tutti i caxxi loro; che come minimo, se proprio non ci sono le password, c'è materiale per l'ingegneria sociale).

Posso capire le repliche di siti "famosi" o "critici" (home banking, etc...) con taroccamento del DNS, visto che in molti casi, il DHCP fornisce un DNS assieme a Gateway, netmask ed ip. Non saprei (per profonda ignoranza) se con ARP poisoning si riesce persino a "impestare" il protocollo relativo al DHCP, ma se fosse possibile, il pericolo di sostituzioni del DNS è reale. Dal canto mio, sui settaggi - almeno dell'IPV4 - di tutti i NIC metto sempre i DNS di Google, che almeno "vado dove voglio" e forse evito pure un po' di problemi come quelli appena citati.

Si, comunque il tuo messaggio è chiaro: solo TSL e compagnia cantanti sui protocolli nelle WLAN pubbliche.

[randorama]

Quote:

Poter accedere al Web in modo rapido e veloce è ormai una necessità primaria.

ma anche no....

[kid06]

Con srumenti come bactrack o kali l'attacco a reti wifi è diventato alla portata di molti. Se però si è utenti accorti i rischi sono limitati.

A mio avviso il rischio maggiore rimangono le honeypot con attacco man in the middle... ma siamo al limite...

Più comune un hotspot con traffico in chiaro. Sniffo e analizzo con calma. Però in cerca di cosa? Tutti i servizi seri sono crittati.

I miei 2 centesimi...

[ArteTetra]

Tor Browser.

[HomerJS]

Inorridisco quando mi viene un cliente a chiedere un ripetitore wi-fi per prendere la rete aperta che ha vicino la finestra ma che non arriva fino al suo pc... A quel punto tutto quello che fa è a disposizione di chi ha lasciato la rete aperta e/o quelli collegati ad essa... Non so se dovrei fare terrorismo informatico e spiegarglielo o lasciar perdere...