Datemi un punto d’accesso…e pubblicherò i tuoi dati!

Nello scorso articolo avevo preso spunto dall’analisi Symantec per porre all’attenzione il discorso di sicurezza legato al settore degli alberghi, ma ora è arrivato il momento di raccontarti una storiella interessante.

Parliamo di un albergo, molto bello e molto apprezzato dai suoi clienti: ottime recensioni sui siti specialistici, accoglienza al top, wi-fi sempre disponibile per gli ospiti…ed è proprio da qui che sono venuti fuori tutti i problemi!

Ma andiamo con ordine…

Si presenta in reception un giovane rampante che, forse preso dalla noia o dall’adrenalina, decide di collegarsi alla rete wi-fi e scopre che la password di default della rete non è stata cambiata.

Quindi una volta avuto l’accesso alla rete dell’albergo, tenta di arrivare al server sul quale è installato il software che gestisce le anagrafiche dei clienti e arriva al database SQL…sfonda il database e trova un tesoro composto di dati anagrafici, password e numeri di carta di credito.

Tutto questo ben di Dio, poi, viene messo a disposizione e pubblicato on-line nel dark-web.

Tutto inventato? No!

E’ quello che è successo durante un convegno di hacker e il protagonista è un giovane ragazzi cinese che se l’è cavata con una multa di soli € 3’200.00 e una tirata d’orecchie perché il suo gesto è stato definito una ragazzata.

Però non concentriamoci tanto sul protagonista o sul fatto che forse è stato sottovalutato il gesto, ma sul fatto di come sia stato semplice (e possibile) entrare nella rete dell’albergo e accedere ai dati!

Un po’ di errori e di mancanze ci sono state da parte del gestore:

• innanzitutto l’utente guest ha avuto libero accesso ad una rete senza chiave di protezione;
• la rete guest si appoggia alla rete principale: non utilizza una classe di IP diversa, ma la stessa e quindi può avere libero accesso a tutte le risorse di rete (server, dischi condivisi, stampanti…);
• tutto ciò mi dà da pensare al fatto che le policy di sicurezza sul server non siano gestite in maniera corretta;
• il database del gestionale è stato bucato: era protetto correttamente?

Inoltre, in tutto questo: di chi è poi la responsabilità? Chi dovrebbe assumersi il rischio per quanto è successo?

La sicurezza passa da piccoli accorgimenti, e il semplice fatto di far viaggiare gli utenti ospiti sulla stessa rete degli utenti interni può essere un grosso problema!

Nonché il fatto di dare l’accesso agli utenti guest ad una rete senza password e senza registrazione: può permettere, quindi, a chiunque di entrare e usare la rete per far ciò che vuole.

E’ il caso, ad esempio, di un’altra struttura alberghiera che, pensando di offrire un buon servizio ai clienti fornendo l’accesso libero alla rete wi-fi, si è ritrovato con problemi alla connettività e col servizio chiuso dal suo fornitore per abuso del collegamento e invio massivo di mail.

Questo dovuto al fatto che un utente si è collegato alla rete dell’albergo e ha iniziato a fare invio massivo di mail utilizzando la connessione ospiti e a continuare nel suo intento in maniera indisturbata

Inoltre c’è anche tutto un discorso legato anche alla privacy e al controllo degli accessi.

Ad esempio, in Svizzera secondo la Legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT), gli operatori di WLAN pubblici gestiti professionalmente sono tenuti a identificare gli utenti finali con mezzi adeguati.

Quindi? Come ne puoi uscire fuori?

Innanzitutto adottare un sistema di access point che possa suddividere le reti ospiti e private, dando loro delle classi di IP diverse.

Poi non dare un accesso libero, ma sempre con un livello di protezione adeguato.

Il sistema migliore sarebbe quello di adottare un sistema che permetta all’utente di autenticarsi tramite un codice ricevuto via mail o SMS (di solito quest’ultimo è il più veloce e meno invasivo!); così facendo in qualche modo posso anche tenere traccia di chi si collega alla rete wi-fi (ovviamente nel rispetto della privacy e, soprattutto, con adeguati sistemi di sicurezza).

Infine, appunto, tenere traccia di chi si collega alla rete ospiti.

Tutto semplice?

Sulla carta sì, ma in tutto questo processo sei pronto anche ad assumerti la responsabilità del sistema?

Sai che ci sono servizi che permettono di dare anche questa gestione in outsourcing?

Swisscom, grazie al servizio Public WLan Basic non solo ti permette di poter gestire la rete pubblica, offrendo al cliente a noleggio anche l'hardware e la soluzione di gestione, ma dal profilo della Legge sulle telecomunicazioni e in particolare anche nei confronti delle autorità, Swisscom è considerato l’operatore e il principale interlocutore per tale collegamento.

Nell’ambito dei doveri previsti dalla Legge sulle telecomunicazioni, Swisscom registra preliminarmente l’utente dell’accesso a internet (eventualmente in concomitanza con il punto di consegna di codici/buoni per l’accesso a internet ) e fornisce alle autorità le informazioni sugli utenti in caso di indagini su abusi.

Interessante, no?

E tu sei pronto a prenderti il rischio? O preferisci valutare una soluzione in outsourcing?

Probabilmente l’albergatore di cui ti parlavo sopra, avrà sicuramente preso provvedimenti e si è affidato ad un partner affidabile che, soprattutto, gli tolga il peso della gestione della problematica, concentrandosi così sul proprio business.

Vuoi qualche informazione in più?

Contattami pure senza impegno e potremmo approfondire assieme la situazione attuale e come poter risolvere una volta e per tutta le gestione della rete wi-fi pubblica.