Ormai, la maggior parte delle persone sa che una rete Wi-Fi aperta consente alle persone di intercettare il tuo traffico. La crittografia WPA2-PSK standard dovrebbe impedire che ciò accada, ma non è così infallibile come potresti pensare.
Questa non è una grande notizia dell'ultima ora su un nuovo difetto di sicurezza. Piuttosto, questo è il modo in cui WPA2-PSK è sempre stato implementato. Ma è qualcosa che la maggior parte delle persone non sa.
Reti Wi-Fi aperte e reti Wi-Fi crittografate
RELAZIONATO: Perché l'utilizzo di una rete Wi-Fi pubblica può essere pericoloso, anche quando si accede a siti Web crittografati
Non dovresti ospitare una rete Wi-Fi aperta a casa , ma potresti trovarti a usarne uno in pubblico, ad esempio in un bar, mentre attraversi un aeroporto o in un hotel. Le reti Wi-Fi aperte non hanno crittografia , il che significa che tutto ciò che viene inviato via etere è "in chiaro". Le persone possono monitorare la tua attività di navigazione e qualsiasi attività web che non sia protetta dalla crittografia stessa può essere ficcata. Sì, questo è vero anche se devi "accedere" con un nome utente e una password su una pagina web dopo aver effettuato l'accesso alla rete Wi-Fi aperta.
Crittografia - come la crittografia WPA2-PSK che consigliamo di utilizzare a casa - risolve in qualche modo questo. Qualcuno nelle vicinanze non può semplicemente catturare il tuo traffico e curiosare su di te. Riceveranno un sacco di traffico crittografato. Ciò significa che una rete Wi-Fi crittografata protegge il tuo traffico privato dall'essere spiato.
Questo è un po 'vero, ma qui c'è una grande debolezza.
WPA2-PSK utilizza una chiave condivisa
RELAZIONATO: Non avere un falso senso di sicurezza: 5 modi non sicuri per proteggere il tuo Wi-Fi
Il problema con WPA2-PSK è che utilizza una "chiave pre-condivisa". Questa chiave è la password, o passphrase, che devi inserire per connetterti alla rete Wi-Fi. Chiunque si connetta utilizza la stessa passphrase.
È abbastanza facile per qualcuno monitorare questo traffico crittografato. Tutto ciò di cui hanno bisogno è:
- La passphrase : Tutti coloro che sono autorizzati a connettersi alla rete Wi-Fi avranno questo.
- Il traffico di associazione per un nuovo client : Se qualcuno sta catturando i pacchetti inviati tra il router e un dispositivo quando si connette, ha tutto ciò di cui ha bisogno per decriptare il traffico (supponendo che abbia anche la passphrase, ovviamente). È anche banale ottenere questo traffico tramite "Deauth" attacchi che disconnettono forzatamente un dispositivo da una rete Wi_Fi e lo costringono a riconnettersi , provocando il ripetersi del processo di associazione.
Davvero, non possiamo sottolineare quanto sia semplice. Wireshark ha un'opzione integrata per decrittografare automaticamente il traffico WPA2-PSK purché si disponga della chiave precondivisa e si acquisisca il traffico per il processo di associazione.
Che cosa significa in realtà
RELAZIONATO: La crittografia WPA2 del tuo Wi-Fi può essere violata offline: ecco come
Ciò che in realtà significa è che WPA2-PSK non è molto più sicuro contro le intercettazioni se non ti fidi di tutti sulla rete. A casa, dovresti essere al sicuro perché la tua passphrase Wi-Fi è un segreto.
Tuttavia, se vai in un bar e usano WPA2-PSK invece di una rete Wi-Fi aperta, potresti sentirti molto più sicuro nella tua privacy. Ma non dovresti: chiunque abbia la passphrase Wi-Fi del bar potrebbe monitorare il tuo traffico di navigazione. Altre persone sulla rete, o solo altre persone con la passphrase, potrebbero spiare il tuo traffico se lo volessero.
Assicurati di tenerne conto. WPA2-PSK impedisce alle persone senza accesso alla rete di ficcare il naso. Tuttavia, una volta che hanno la passphrase della rete, tutte le scommesse sono disattivate.
Perché WPA2-PSK non tenta di fermarlo?
WPA2-PSK in realtà cerca di fermarlo tramite l'uso di una "chiave transitoria a coppie" (PTK). Ogni client wireless ha un PTK univoco. Tuttavia, questo non aiuta molto perché la chiave univoca per client è sempre derivata dalla chiave pre-condivisa (la passphrase Wi-Fi). Ecco perché è banale acquisire la chiave univoca di un client finché si dispone del Wi- Passphrase Fi e può acquisire il traffico inviato tramite il processo di associazione.
WPA2-Enterprise risolve questo problema ... per reti di grandi dimensioni
Per le grandi organizzazioni che richiedono reti Wi-Fi sicure, questa debolezza della sicurezza può essere evitata utilizzando l'authantication EAP con un server RADIUS, a volte chiamato WPA2-Enterprise. Con questo sistema, ogni client Wi-Fi riceve una chiave davvero unica. Nessun client Wi-Fi ha informazioni sufficienti per iniziare a curiosare su un altro client, quindi questo fornisce una sicurezza molto maggiore. Per questo motivo, grandi uffici aziendali o agenzie governative dovrebbero utilizzare WPA2-Enteprise.
Ma questo è troppo complicato e complesso per la stragrande maggioranza delle persone, o anche per la maggior parte dei geek, da usare a casa. Invece di una passphrase Wi-FI che devi inserire sui dispositivi che vuoi connettere, dovresti gestire un server RADIUS che gestisce l'autenticazione e la gestione delle chiavi. Questo è molto più complicato da configurare per gli utenti domestici.
In effetti, non vale nemmeno la pena dedicare del tempo se ti fidi di tutti sulla tua rete Wi-Fi o di chiunque abbia accesso alla tua passphrase Wi-Fi. Questo è necessario solo se sei connesso a una rete Wi-Fi crittografata WPA2-PSK in un luogo pubblico - bar, aeroporto, hotel o anche un ufficio più grande - dove anche altre persone di cui non ti fidi hanno il Wi- Passphrase della rete FI.
Allora, il cielo sta cadendo? No certo che no. Ma tienilo a mente: quando sei connesso a una rete WPA2-PSK, altre persone con accesso a quella rete potrebbero facilmente spiare il tuo traffico. Nonostante ciò che la maggior parte delle persone potrebbe credere, quella crittografia non fornisce protezione contro altre persone con accesso alla rete.
Se devi accedere a siti sensibili su una rete Wi-Fi pubblica, in particolare siti Web che non utilizzano la crittografia HTTPS, considera di farlo tramite un VPN o anche un file SSH tunnel . La crittografia WPA2-PSK sulle reti pubbliche non è abbastanza buona.
Credito immagine: Cory Doctorow su Flickr , Food Group su Flickr , Robert Couse-Baker su Flickr
