Le persone tendono a favorire l’utilizzo del Wi-Fi su cellulare per ovvi motivi: di solito è più veloce, non consuma il proprio traffico dati ed è ampiamente disponibile. Tuttavia, c’e’ un certo numero di rischi nell’utilizzo del Wi-Fi che bisognerebbe sapere.
- Il telefono lascia una scia di cookie Wi-Fi
Per rilevare le reti WI-FI la maggior parte degli smartphone utilizza un metodo chiamato ” probe request’” (richiesta di sondaggio). Ciò significa che ogni minuto il Wi-Fi di uno smartphone è abilitato (ma non connesso) e sta trasmettendo il nome di ogni rete Wi-Fi a cui si è mai collegato nelle vicinanze. Queste particolari emsisioni sono chiamate “digital exhaust”. Queste informazioni sono facilmente accessibili. Un piccolo script che funziona sulla maggior parte dei Mac può ascoltare le “probe” inviate da qualsiasi smartphone in una determinata area. Se si considera il numero di reti Wi-Fi utilizzate da uno smartphone dei dipendenti negli ultimi due anni, si tratta di un’infinità di informazioni che vengono trasmesse.
- Gli aggressori stanno mettendo il naso negli hotspot aperti
Le reti non sicure rendono visibile tutto il traffico dati a qualsiasi malintenzionato che vuole vedere le comunicazioni online di persone fisicamente vicine. Quasi ogni coffee shop, hotel, aeroporto, treno, ospedale, ecc. offre un servizio di connettività Wi-Fi aperta ai propri clienti con zero sicurezza, crittografia o privacy.
Qual è il grosso problema? Quando viene utilizzato un sito o una app non sicura su una rete Wi-Fi aperta, le informazioni non crittografate possono essere raccolte da un malintenzionato o da “man-in-the-middle”. A seconda di ciò che è trapelato, questo rischio Wi-Fi potrebbe portare a furti di carte di credito, furto di identità o persino il riutilizzo delle credenziali di accesso per accedere a una rete aziendale.
- Gli aggressori possono colpirti a livello di rete
È qui che i rischi per il Wi-Fi diventano un po’ più seri. Gli aggressori possono compromettere fisicamente un’infrastruttura wireless o manomettere la rete locale.
Un esempio è lo SSID spoofing, quando un hacker pubblicizza lo stesso nome di un hotspot legittimo o WLAN aziendale, causando la connessione dei dispositivi nelle vicinanze al proprio hotspot dannoso. Questi hotspot maligni sono chiamati “Evil Twins”. Per crearne uno, gli hacker possono usare gli strumenti per “ascoltare” le probe request provenienti dai dispositivi vicini, scoprire i SSID (service set identifier) a cui si stanno connettendo e iniziare automaticamente a pubblicizzare i nomi di quei SSID.
Gli hacker creano una rete fittizia per rispecchiare quella reale, liberamente disponibile, gli utenti si collegano inconsapevolmente alla rete fasulla, quindi un hacker può rubare i nomi degli account e le password, reindirizzare le vittime verso siti malware e intercettare i file. Steve Fallin, Senior Product Manager su NetMotion Wireless
Un secondo esempio è lo spoofing ARP o ARP cache poisoning. Un utente malintenzionato collegato allo stesso hotspot di una vittima può ingannare due dispositivi che pensano di comunicare tra loro associando l’indirizzo MAC dell’utente malintenzionato con l’indirizzo IP della vittima intercettando quindi tutto il traffico ad esso destinato.
Un terzo esempio di attacchi a livello di rete è KRACK, che sfrutta una grave debolezza riscontrata in WPA2, il protocollo di sicurezza che protegge le più moderne reti Wi-Fi.
- Gli aggressori possono manomettere una sessione apparentemente sicura
È qui che l’aggressore si focalizza sulla connessione stabilita tra un’applicazione client e Internet, manomettendo i protocolli di sicurezza.
Un esempio è la SSL strip, nota anche come attacchi di downgrade HTTP. HTTPS utilizza un tunnel sicuro, comunemente chiamato SSL (Secure Socket Layer), per trasferire e ricevere dati. In SSL Strip, viene degradato a HTTP permettendo il transito di informazioni sensibili in chiaro e facilmente leggibili da un aggressore.
Un altro esempio è il dirottamento della sessione del browser. Il principio alla base della maggior parte delle forme di dirottamento di sessione è che se alcune parti della sessione possono essere intercettate, allora tali dati possono essere utilizzati per impersonare un utente per accedere alle informazioni sulla sessione. Ciò significa che se un hacker ha acquisito il cookie utilizzato per mantenere la sessione tra il browser e il sito Web al quale è stato effettuato l’accesso, potrebbe presentare tale cookie al server Web e impersonare la connessione su un altro sito Web.
Un terzo esempio è il DNS spoofing. E’ una tecnica MitM utilizzata per fornire un falso indirizzo IP in risposta a una richiesta di dominio effettuata nel browser. Ad esempio, quando si digita un indirizzo Web come www.mybank.com nel browser, viene effettuata una richiesta DNS con un numero di identificazione univoco a un server DNS. L’utente malintenzionato potrebbe utilizzare un falso ARP o un altro metodo inline per intercettare la richiesta DNS. Da lì l’utente malintenzionato può rispondere alla richiesta DNS con l’indirizzo IP del proprio sito Web dannoso utilizzando lo stesso numero di identificazione in modo che sia accettato dal computer della vittima.
- Il dispositivo può essere costretto a fidarsi dei servizi malevoli
Di gran lunga la forma più grave di attacco man-in-the-middle è quella che implica la manomissione di certificati e profili per fare in modo che il dispositivo si fidi implicitamente dell’aggressore.
Ogni dispositivo viene fornito con un elenco di root certificate authorities attendibili. In questo modo, un dispositivo si fida automaticamente dei certificati firmati da queste autorità che controllano le richieste di certificati.
Se un certificato di terze parti malevole viene installato sul dispositivo, un malintenzionato può creare un certificato per qualsiasi risorsa e all’utente finale non verrà segnalato alcun errore. E ora l’aggressore ha il controllo e la piena visibilità del dispositivo e del suo traffico senza alcun messaggio di avviso all’utente del dispositivo.
Proteggi la tua azienda dai rischi del Wi-Fi
Continueranno a emergere rischi, prodotti e attacchi Wi-Fi. Gli amministratori della sicurezza devono essere a conoscenza delle nuove minacce, valutare la loro posizione di sicurezza e adottare le misure appropriate per proteggere le loro reti e i loro dispositivi aziendali. Raccomandiamo le seguenti precauzioni:
- Evitare l’uso di reti Wi-Fi aperte per accedere a informazioni riservate. Gli utenti dovrebbero disattivare il Wi-Fi quando provano a pagare le bollette o effettuare acquisti online.
- Se l’utilizzo del Wi-Fi pubblico è inevitabile, si consiglia di offrire una VPN ai propri utenti. Le VPN creano una rete privata per i tuoi dati in transito, aggiungendo un ulteriore livello di sicurezza alla tua connessione. È necessario assicurarsi che la VPN sia instradata in modo sicuro ed elaborata in base ai propri standard.
- Avere un prodotto di sicurezza in grado di rilevare servizi Web non sicuri e bloccare le perdite di dati per ridurre drasticamente il rischio che le minacce WiFi pongono.
- Configurare le impostazioni del dispositivo per disabilitare la connessione automatica agli hotspot Wi-Fi disponibili. Ciò ti impedirà di connetterti inconsapevolmente alle reti pubbliche. I servizi di Enterprise Mobility Management (EMM) possono aiutare a gestire centralmente la configurazione del dispositivo, eliminando la necessità di affidarsi all’azione dell’utente finale.
- Implementare una soluzione di sicurezza in grado di identificare gli hotspot e di allertare gli amministratori durante i presunti attacchi MitM.
Il modo migliore per proteggere i propri dispositivi mobili dai rischi del Wi-Fi è di avere una soluzione di sicurezza che monitorizzi il traffico del dispositivo in ogni momento assicurando che l’attività e le comunicazioni man-in-the-middle siano rilevate e bloccate in tempo reale.
Ottieni maggiori consigli dal report di Wandera
Download “Wi-fi report” Wi-fi_report.pdf – Scaricato 791 volte – 6 MB
Fonte: Wandera