L’Agenzia Nazionale per la Cybersicurezza ha diramato dei consigli al pubblico in occasione della Giornata della sicurezza su Internet. Tutti corretti, tranne uno che potrebbe creare più danni dei benefici ed indicato al punto otto: In vacanza, in albergo, in viaggio, evita di usare wi-fi pubblici non sicuri. Se puoi usa una Virtual Private Network (Vpn) affidabile.
Perché non sembra la scelta giusta
La prima opposizione a questo suggerimento è di natura politica e anche commerciale se consideriamo che il governo consiglia un prodotto, una VPN, ne suggerisce uno di qualità ma non dice quale sia. Perché il problema principale è proprio il fatto che il principio di affidabilità di una VPN è difficile da stabilire per due motivi in particolare.
Primo, nessuno può dare garanzia di non trattenere i dati di navigazione dell’utente.
Secondo, il Governo può suggerire di utilizzare una VPN affidabile, ma non può dire quale lo sia realmente perché nessuno “crederebbe” ai consigli di una Istituzione per anonimizzare il traffico Internet usando uno specifico prodotto di terze parti.
E se le “terze parti” avessero un accordo con il Governo e quindi hanno pubblicità per poi fornire dati di navigazione?
Perché tecnicamente non convince molti esperti IT?
Chiedendo in giro a diversi esperti del settore IT, il protocollo https, raccomandato nella lista dei consigli, è già efficace se consideriamo che ha già un ruolo di criptare i traffico tra un dispositivo ed il destinatario, a maggior ragione abbia il famoso “lucchetto” attivato nella barra degli indirizzi.
La VPN può dare garanzie al consumatore di tutelare i propri dati, ma non certezze, l’unica sarebbe invece quella di modificare la geolocalizzazione perché forniscono la possibilità è possibile scegliere da dove risultare connessi. Il governo consiglia di affidarsi a privati affidabili per non essere intercettati in un contesto come quello moderno dove gli stessi sistemi operativi lavorano per garantire connessioni sicure alla base e “l’utilizzo di una o l’altra vpn va valutato con accortezza” come riferito da una fonte molto accreditata nel settore che ha preferito restare anonima.
Matrice Digitale ha chiesto un parere al ricercatore informatico Odisseus che non ha bocciato del tutto il suggerimento dell’Agenzia della Cybersicurezza perchè “è una best practice molto diffusa, meglio usare una vpn perchè se per caso usassi http e non https su qualche (vecchio) server saresti protetto”. Nonostante la teoria comprensibile, Odisseus non lesina critiche alla comunicazione dell’ACN sul tema perchè “delegare al cittadino utente la “sicurezza” di un wifi pubblico è da irresponsabili, perchè non puoi sapere chi c’è dietro e se quello che scarichi è sicuro (vedi le app), così come parlare di VPN affidabile è allo stesso modo da principianti perchè l’utente che non sa nulla sul tema ne deve scegliere una. Quindi, per concludere le raccomandazioni di ACN in tal senso non sono complete ed esaustive“
Tre esperti a confronto: valutazione e consigli sul tema
La redazione ha richiesto e ricevuto un’analisi dettagliata scritta a sei mani sul consiglio dispensato da ACN da tre professionisti del settore IT con a margine dei suggerimenti su come navigare nelle reti WiFi pubbliche anche senza VPN. Gli autori sono Pietro di Maria, Cyber Intelligence Advisor, Stefan Uygur, CEO di 4 Securitas, Alessandro Parisi Computer Scientist, Quantitative Analyst, Data Protection & Cybersecurity Specialist
Le reti Wi-Fi pubbliche sono intrinsecamente insicure e bisogna quindi fare attenzione quando ci si collega con il laptop, smartphone e tablet perché tutti soggetti a rischi di sicurezza.
Quindi no, non è sicuro utilizzare una rete WiFi pubblica per le transazioni finanziarie o per l’accesso a informazioni riservate e per utilizzare servizi di terze parti che richiedono l’accesso tramite login. In realtà le reti pubbliche non dovrebbero mai essere utilizzate.
Queste reti possono essere compromesse da criminali informatici che cercano di intercettare le informazioni sensibili degli utenti. È sempre meglio utilizzare una rete privata e sicura o una connessione dati cellulare protetta. Il consiglio di utilizzare una VPN non è un consiglio sbagliato, oltre al fatto che bisogna avere una VPN affidabile, che fornisce una completa sicurezza al dispositivo con cui ci si collega.
Le VPN hanno il compito di incapsulare il traffico di rete in entrata ed uscita creando una rete dedicata e isolata e del tutto criptata. Per cui tutto il traffico che è in entrata ed in uscita verrà protetto dalla VPN, il dispositivo però, in principio, ad eccezione del traffico Internet, è completamente esposto nella rete in cui si è collegati, quindi la rete wifi.
Di conseguenza tutte le vulnerabilità presenti nel sistema possono essere sfruttate ed il sistema può sempre essere compromesso. Un altro fattore è quello di identificare una VPN di qualità per gli utenti ordinari, per come viene indicato da ACN (livello di crittografia, livello di politica della privacy, dislocazione dei server). Per avere un minimo di sicurezza su una rete WiFi pubblica, se non si dispone di una VPN, è possibile seguire questi consigli che comunque sono configurazioni abbastanza complesse per utente intermedio:
- Configurare un utente secondo il principio del minimo privilegio
- Non utilizzare la rete pubblica per operazioni di natura sensibili quali accesso a siti bancari, di pagamento, servizi di terze parti con richiesta di accesso tramite login
- Disattivare la condivisione di file e stampa in modo che i propri dati non vengano condivisi accidentalmente sulla rete.
- Utilizzare un software antivirus aggiornato.
- Configurare il proprio dispositivo per disconnettere automaticamente dalla rete WiFi pubblica quando non viene utilizzato.
Questi sono alcuni dei consigli per aumentare la sicurezza su una rete WiFi pubblica senza utilizzare una VPN.
