I saggi su SecLab
La (in)sicurezza dell'etere
SecLab n° 1, gennaio 2003
Qualche giorno fa in un gruppo di amici si parlava di reti wireless, e c'era chi decantava i vantaggi di questa tecnologia soprattutto in ambito domestico. Il più "smanettone" del gruppo rimaneva stranamente silenzioso ad ascoltare l'entusiasta di turno, che affermava con enfasi: "Ma vuoi mettere la libertà di spostarti per casa col notebook o il palmare, rimanendo sempre connesso ad Internet?". Ancora silenzio da parte del guru. Presto si scopre che lui, contrariamente alle aspettative degli altri, non ha Wi-Fi in casa. Inevitabile la domanda fatidica da parte dei più giovani: "E che aspetti ad installarti un Access Point?". Risposta secca: "Aspetto che lo faccia il mio vicino".
Forse qualcuno si ricorderà quando, negli anni '80, giunsero in Italia i primi telefoni cordless rigorosamente non omologati: erano semplici ricetrasmittenti sui 49 MHz, con modulazione analogica in FM di due canali audio full-duplex trasmessi assolutamente in chiaro, caratterizzati da una discreta potenza trasmissiva e dalla possibilità di scegliere la frequenza da utilizzare nell'ambito di un numero estremamente limitato di canali standard. Lo sport preferito da molti giovinastri dell'epoca (ma non solo da loro…) divenne ben presto quello di andarsene in giro per la città con il cordless in tasca, in cerca di posti dove il proprio terminale "agganciasse" una base posta nelle vicinanze: si poteva così telefonare a spese di qualche ignaro, approfittando della sua… involontaria gentilezza. Se poi l'intenzione non era quella di telefonare a sbafo ma di farsi gli affari altrui, la cosa era ancora più semplice: un qualunque radioricevitore "fuori banda", da radioamatore o modificato per l'occasione, poteva tranquillamente sintonizzarsi sulle frequenze dei cordless permettendo di ascoltare le telefonate di tutto il vicinato.
Ci sono voluti dieci anni, ed uno standard internazionale evoluto quale il DECT, per porre sul mercato telefoni cordless non facilmente disponibili a truffe del genere: la modulazione digitalmente codificata impedisce l'ascolto non autorizzato, ed un meccanismo di sicurezza ragionevolmente robusto impedisce ad un telefono "anonimo" di collegarsi ad una base e quindi di fare traffico in modo fraudolento.
Lo standard IEEE 802.11 recentemente approvato, che regola l'utilizzo delle trasmissioni radiofoniche come veicolo per i segnali di rete al posto dei cavi di rame, non è così ingenuo come i primi cordless: esso infatti incorpora nativamente alcune caratteristiche di sicurezza, complessivamente denominate WEP (Wired Equivalent Privacy) che dovrebbero garantire l'inviolabilità di una rete wireless contro i rischi di intercettazione ed impersonazione. Tuttavia il WEP soffre di alcuni difetti di progetto che lo rendono meno efficace di quanto dovrebbe essere, in particolare contro attacchi sistematici mirati alle sue debolezze crittografiche. Come se ciò non bastasse, molte delle funzioni del WEP non sono attivate di default negli apparati in commercio, col risultato che molte installazioni, sia per motivi di presunta maggiore efficienza sia per incuria o pigriza degli installatori, risultano prive anche di quel minimo di sicurezza fornito dal WEP.
Della debolezza delle reti wireless ne sa qualcosa la Microsoft, che a SMAU 2002 si è resa involontaria protagonista di un fatto eclatante: il suo megastand, quest'anno interamente realizzato in tecnologia wireless, sin dalla prima mattinata di apertura della mostra è stato fatto oggetto di un attacco massiccio mirato sia ad effettuare connessioni abusive alla rete sia a inibirne il buon funzionamento. A nulla sono servite le indagini degli esperti della Polizia della Comunicazioni, immediatamente accorsi in seguito alla denuncia dell'azienda: la fonte degli attacchi non è stata identificata, così i responsabili dello stand, non potendo garantire il corretto funzionamento della rete senza fili, hanno dovuto in fretta e furia abbandonare le onde radio e ricorrere al buon vecchio rame, cablando da zero (ed in tempi rapidissimi!) l'enorme campus allestito all'interno della Fiera di Milano.
In conclusione il wireless è senz'altro uno strumento potentissimo di produttività, in quanto consente di installare rapidamente e facilmente una rete in un locale senza dover passare cavi; ma non è ancora una tecnologia sufficientemente matura da poter essere utilizzata "out-of-the-box" senza neppure un minimo di pianificazione. Una rete wireless, per essere considerata sicura, specie in ambienti sensibili, deve essere progettata attentamente e portare in conto tutti quegli accorgimenti, sia di natura fisica che informatica, che possano minimizzare i rischi di intercettazione dei segnali e di intrusione sulla rete da parte di estranei.
Saggio pubblicato su SecLab n° 1, anno I, del 17 gennaio 2003
Copyright © 2003, Corrado Giustozzi. Tutti i diritti riservati.
Ultima modifica: 4 settembre 2006
Visitatori dal 6 maggio 2003: 29,494
Torna alla Pagina dei saggi sulla newsletter SecLab
Vai alla Pagina dei Commenti