Nelle reti wireless devono essere affrontati e gestiti gli stessi problemi di sicurezza di una normale rete cablata, più uno del tutto specifico per questo tipo di reti: il rischio di intercettazione da parte di terminali che si trovano semplicemente nelle vicinanze dei locali dell’organizzazione che possiede la rete. Infatti, in una normale rete locale Ethernet, supponendo di aver adeguatamente sbarrato la strada ad accessi da Internet per mezzo di firewall e altre misure complementari, la cattura del traffico circolante sulla LAN richiederebbe il collegamento fisico con un dispositivo di rete o l’installazione di una derivazione da un cavo di rete. Inoltre, a seconda della struttura della rete, la porzione di traffico complessivo catturabile dipende dal punto in cui fisicamente si effettua il collegamento o la captazione.
In una topologia di rete wired basata su un Ethernet switch che fa da centro stella, collegato con cavi individuali a ogni singola postazione, collegarsi allo switch o a uno di questi cavi consente di captare fondamentalmente il solo traffico che origina o termina sul PC attestato all’estremità della tratta interessata (più il traffico broadcast). Risulta quindi difficile, in una rete del genere, catturare tutto il traffico fra un PC e l’altro della LAN. Con una LAN wireless (WLAN) invece questo è possibile (almeno da un punto di vista fisico ed elettromagnetico) da qualunque punto dell’area coperta con sufficiente potenza dal segnale Wi-Fi emesso dall’access point o dalle schede di rete delle altre macchine che partecipano alla WLAN. A condizione di trovarsi semplicemente entro una distanza non eccessiva dall’access point e dalle postazioni di lavoro, tenuto conto anche delle pareti e degli altri ostacoli alla propagazione radio che provocano un’attenuazione del livello di campo rilevabile, il PC dell’intruso potrebbe captare tutto il traffico scambiato tra l’access point e uno qualunque degli host della rete wireless.
Questo richiede che tale PC disponga di una scheda di rete wireless capace di funzionare in “promiscuous mode”: si tratta di una modalità operativa nella quale la scheda di rete passa al sistema operativo locale non solamente i pacchetti ricevuti che risultano diretti al proprio MAC address (e che quindi è legittimo prendere in considerazione) ma tutti quelli captati. In tal modo, un apposito programma (sniffer) potrà esaminare anche i pacchetti destinati ad altri host e magari memorizzarli, per riesaminarli con comodo fuori linea. Uno sniffer freeware davvero eccellente è, per esempio, Ethereal. Quasi tutte le schede wireless possono funzionare in “promiscuous mode”: quando questo non è possibile, si tratta generalmente di una restrizione del driver. Può anche esservi una restrizione imposta dal sistema operativo, tale per cui l’attivazione del promiscuous mode viene consentita solamente all’utente amministratore della macchina. Su un sistema come un PC tuttavia il problema di procurarsi privilegi amministrativi non costituisce certo un ostacolo. Il rilevamento della presenza nella WLAN di un PC in “promiscuous mode”, per individuare eventuali attaccanti, non è purtroppo impresa facile: esistono tecniche basate sul riconoscimento del traffico spurio che a volte questi Pc sono portati a emettere, ma non sono né di semplice impiego né di efficacia garantita. L’unica difesa efficace è la prevenzione. Oltre al rischio delle intercettazioni, le WLAN presentano anche il rischio di intromissioni temporanee anche di breve durata, finalizzate o a causare danno e disservizio alla rete attaccata o – minaccia più sottile ma non meno seria – a sfruttare la WLAN violata solo per accedere gratis, attraverso essa, ad Internet. Questo accesso non autorizzato a Internet potrebbe a sua volta essere finalizzato a sferrare attacchi a siti Internet. Così, fino a dimostrazione del contrario, gli attacchi o comportamenti illeciti apparirebbero provenienti da un host appartenente alla WLAN violata, con possibili conseguenze per chi ne è amministratore, responsabile sicurezza e legittimo utilizzatore.
In una WLAN installata in un edificio isolato e abbondantemente distante dal perimetro della proprietà il segnale potrebbe anche non arrivare all’esterno con un’intensità sufficiente per intercettazioni ed intromissioni: in questo caso il rischio descritto sarebbe meno grave (non si dimentichi comunque che l’attaccante potrebbe impiegare un’antenna ad altissimo guadagno e captare ancora utilmente segnali ormai debolissimi). Lo scenario nel quale l’ampiezza della proprietà è tale da garantire una sufficiente attenuazione di segnale già entro i suoi confini è però praticamente irreale. Nella stragrande maggioranza delle situazioni, le reti WLAN sono installate in appartamenti e uffici ubicati in luoghi ad alta densità abitativa. In queste situazioni, tutto quello che separa i propri locali da quelli dei potenziali cracker è in genere una semplice parete non schermata: ci vuole ben altro per attenuare il segnale Wi-Fi portandolo a livelli che rendano impossibile l’intercettazione. Senza adeguate misure di sicurezza, in conclusione, la tecnologia Wi-Fi sarebbe assolutamente incompatibile con un utilizzo professionale o anche solo personale. Per questo esistono tecnologie che proteggono i dati scambiati via etere da intercettazioni ed accessi non autorizzati. Queste contromisure sono basate sia su tecniche crittografiche (WEP, WPA, WPA2) sia su semplici accorgimenti prudenziali in grado di aumentare il grado di sicurezza se usati in sinergia con le prime.
Protezioni WEP, WPA, WPA2
WEP (Wired Equivalent Privacy)
La tecnologia WEP è la più vecchia forma di protezione crittografica del traffico Wi-Fi ed è infatti supportata da tutti i dispositivi 802.11x. WEP utilizza uno schema di cifratura basato sull’algoritmo RC4 e sull’impiego di chiavi a 64, 128 o 256 bit; come al solito, a chiavi di lunghezza maggiore corrisponde una sicurezza maggiore. Tuttavia WEP, a causa di alcune caratteristiche del protocollo su cui si basa, non offre una sicurezza sufficientemente alta per mettere al riparo dati di grande importanza: risale ormai ad alcuni anni fa la notizia della scoperta di metodi per scoprire la chiave segreta WEP analizzando una quantità sufficiente di traffico WLAN (dell’ordine di 1-2 milioni di pacchetti). Questo richiede di captare pacchetti per un tempo sufficientemente lungo: in caso di traffico elevato possono bastare poche ore. Questo tempo cresce al crescere della lunghezza della chiave usata, tuttavia esistono schemi di attacco attivi nei quali con opportune tecniche si inducono gli host della WLAN a produrre traffico addizionale, abbreviando di fatto il tempo richiesto per la scoperta delle chiavi. Il principale punto di debolezza del WEP è legato all’insufficiente lunghezza del cosiddetto Initialization Vector (IV). Si tratta di una sequenza di 24 bit pseudocasuali, ogni volta diversi, che vengono affiancati ai bit forniti dalla chiave al fine di costruire una chiave complessiva che abbia almeno una parte immune da ripetizioni. Lo scopo dell’aggiunta di questa parte è quello di contrastare gli attacchi all’algoritmo RC4 che sarebbero facilitati da un utilizzo ripetitivo delle stesse chiavi. Così, per esempio, quando si parla di “WEP a 128 bit” in realtà la chiave è formata da due parti: 104 bit provengono dalla chiave impostata dall’utente, mentre 24 bit rappresentano l’Initialization Vector. Purtroppo 24 bit corrispondono a “solo” 16.777.216 combinazioni: troppo poche per abbassare a sufficienza la probabilità di un riutilizzo della stessa chiave entro un tempo limitato. La contromossa consiste nel cambiare molto frequentemente la chiave WEP, ma l’esperienza insegna che per pigrizia, per negligenza o per semplice mancanza di tempo, sono molti gli utenti e gli amministratori di rete che non lo fanno sufficientemente spesso. Peggio ancora, perdura specialmente in ambito domestico la pericolosa abitudine di installare una WLAN senza attivare alcun tipo di protezione crittografica su di essa. Data la provata fragilità del WEP come schema di protezione Wi-Fi, va senz’altro raccomandata l’adozione di standard più sicuri ed avanzati quali WPA e il recentissimo WPA2. Questo potrebbe richiedere un upgrade degli apparati di rete più vecchi, se capaci di supportare solo il “vetusto” WEP.
WPA (Wireless Protected Access)
In considerazione delle debolezze dello standard WEP, l’IEEE diede inizio ai lavori per un nuovo standard che assicurasse una adeguata sicurezza nelle WLAN. L’attività del comitato 802.11i avrebbe portato, nel giugno 2004, alla ratifica della bozza di standard omonimo. Nel frattempo, però, la Wi-Fi Alliance, di cui sono membri molti produttori di dispositivi Wi-Fi, standardizzava fin dal 2003 una soluzione intermedia che già di per sè garantiva un salto di qualità rispetto al WEP, e che numerosi prodotti si affrettarono ad adottare: il WPA. Nel sistema WPA le comunicazioni sono protette ancora mediante crittografia RC4, ma con importanti miglioramenti rispetto allo schema WEP. Innanzitutto viene usata una chiave di 128 bit abbinata con un Initialization Vector (IV) la cui lunghezza è stata portata da 24 a 48 bit: quest’ultima misura di sicurezza da sola rende circa 16 milioni di volte più improbabile che si ripeta un determinato valore di IV, e quindi rende proporzionalmente più difficili gli attacchi basati sul rilevamento di tale circostanza. Nel WPA l’RC4 è inoltre affiancato dal Temporal Key Integrity Protocol (TKIP), uno schema di cambiamento periodico automatico delle chiavi di cifratura che rispetto al WEP rende molto più difficili gli attacchi statistici che tentano di scoprire la chiave basandosi sull’analisi di brani di comunicazione sufficientemente lunghi. Il protocollo TKIP usato dal sistema WPA introduce inoltre misure di protezione aggiuntive contro l’alterazione intenzionale dei pacchetti a scopo di attacco. Appena questa circostanza viene rilevata, le chiavi vengono immediatamente cambiate in modo automatico. Oltre alla confidenzialità, anche l’integrità dei messaggi è tutelata molto meglio in WPA. Il WEP fa uso di un controllo basato su codice a ridondanza ciclica, o Cyclic Redundancy Check (CRC), relativamente facile da falsificare. In tal modo, pur non conoscendo le chiavi di cifratura WEP, è possibile alterare il contenuto di un pacchetto e adeguare il CRC in modo tale che il pacchetto sembri valido e che l’alterazione non venga scoperta. Inoltre il sistema usato da WEP protegge il contenuto dei pacchetti, ma non il loro header. WPA invece protegge l’intero pacchetto (header+contenuto), impiegando un robusto sistema Message Integrity Check (MIC) che si basa su checksum crittografico da 8 byte. L’utilizzo di un checksum crittografico assicura che risulti assolutamente arduo per l’attaccante riuscire a trovare un messaggio che dia luogo a un checksum uguale, permettendo di falsificare il pacchetto senza essere scoperto. Altro miglioramento di fondamentale importanza rispetto al WEP consiste nel fatto che fra gli “ingredienti” del MIC vi è anche un contatore che assume valori diversi per ogni frame: ciò dà modo al ricevente di controllare se il pacchetto ricevuto fa parte di una sequenza integra. Questo espediente evita che un attaccante possa semplicemente memorizzare un certo insieme di pacchetti captati e successivamente rispedirli per causare confusione e disservizio oppure per ottenere la ripetizione di una azione (replay attack). Sempre a proposito delle chiavi crittografiche usate bisogna sottolineare il fatto che mentre in WEP la chiave è la stessa per tutti gli utenti (host) della rete e per tutti i pacchetti, in WPA è previsto che ogni host possa utilizzare una chiave specifica. Tale chiave deve essere distribuita alle parti interessate da un server di autenticazione sicuro, come RADIUS. In ambito domestico o nei piccoli uffici (Small Office-Home Office: SOHO) tale infrastruttura di sicurezza potrebbe mancare; in questo caso si fa uso invece di un più semplice schema basato su una chiave concordata in precedenza (pre-shared key, PSK).
WPA2 (802.11i)
Il sistema WPA2 è una implementazione completa dello standard ufficiale IEEE 802.11i e differisce da WPA principalmente per il fatto che offre l’opzione di attivare un algoritmo crittografico ancora più sicuro dell’RC4, precisamente l’Advanced Encryption Standard (AES), successore dell’obsoleto Data Encryption Standard (DES). AES garantisce una sicurezza molto maggiore del DES, grazie non solo alle chiavi di 128 bit anziché 56 bit, ma anche per le proprietà crittografiche dell’algoritmo. AES è qui usato in modalità CCMP, che prevede la concatenazione dei blocchi crittografati per ostacolare la crittanalisi statistica o comparativa dei singoli pacchetti. Grazie all’AES la protezione delle comunicazioni migliora notevolmente, ma l’ovvia precondizione per il suo uso è che le schede di rete e gli access point in gioco siano tutti di tipo compatibile con questo sistema più avanzato.
In conclusione, al momento della scelta, è importante verificare che il modem router WiFi supporti WPA2.
Altre misure di protezione
Disattivazione della trasmissione SSID
Ogni rete Wi-Fi è caratterizzata da un identificatore che ne rappresenta il nome pubblico. Questo identificatore è denominato SSID (Service Set Identifier) ed è una stringa lunga fino a 32 caratteri. La conoscenza dell’SSID della rete è necessaria, come quella delle chiavi crittografiche, per potersi connettere (con l’unica eccezione delle reti intenzionalmente configurate come “open” per agevolare l’accesso pubblico). Per facilitare il rilevamento delle reti, normalmente gli access point “strillano” in continuazione il proprio SSID; un terminale client può così captare gli SSID delle reti esistenti e presentare all’utente un menu delle possibilità di connessione. Il lato negativo di questa indubbia comodità è un aiuto che di fatto viene dato agli eventuali attaccanti: senza la conoscenza dell’SSID infatti l’analisi diventa più difficile. Ecco perché la disabilitazione della trasmissione dell’SSID da parte degli access point può rappresentare una misura coadiuvante per la sicurezza della WLAN
Autenticazione di rete 802.1x
Lo standard IEEE 802.1x prescrive come debba avvenire il transito dei messaggi di autenticazione EAP su una rete wireless. EAP (Extensible Authentication Protocol) non è altro che un metodo generico per supportare vari possibili metodi di autenticazione per accesso a una risorsa di rete. È nato originariamente per generalizzare la procedura di autenticazione usata nel protocollo PPP su cui si basano molti schemi di connessione dialin. Con EAP (e quindi con 802.1x) l’autenticazione nell’accesso alla rete avviene avvalendosi dell’intermediazione di un soggetto terzo: il server di autenticazione, che deve essere considerato “fidato” sia dal client sia dal server. WPA e WPA2 (802.11i) prevedono, nella loro adozione più completa e rigorosa, l’uso di 802.1x per l’autenticazione nella fase iniziale dell’associazione.
Filtraggio dell’indirizzo MAC
Un’ultima tecnica di difesa, non particolarmente sicura ma pur sempre utile come prima linea di contrasto, consiste nel configurare l’access point in modo tale che accetti solamente pacchetti inviati da determinati indirizzi fisici MAC di rete. Tutto il traffico originato da un terminale la cui scheda di rete non abbia un MAC compreso fra quelli “conosciuti” sarà semplicemente ignorato. Si tratta di un sistema efficiente, perché richiede pochissime risorse di calcolo (specialmente rispetto alle elaborazioni richieste da un algoritmo crittografico), ma tutt’altro che sicuro, perché molte schede di rete possono essere configurate con un MAC diverso da quello di fabbrica, al fine di “spacciarsi” per schede “conosciute” e ottenere così l’accesso all’access point