Sicurezza delle reti Wireless: gli orvietani acquistano punti e corrono ai ripari

Sembra che l` iniziativa organizzata l`11 luglio ad Orvieto (con il nome di Cracca Al Tesoro) abbia effettivamente fatto presa sul territorio, personalmente non ci avrei affatto scommesso, ma oggi posso dire qualcosa di positivo.

L` impatto mediatico ed il lavoro in background sembra sia servito.

Nelle settimane precedenti alla manifestazione, nel pieno della notte, si contavano la bellezza di 655 punti di accesso wireless su frequenze definite "consumer" (2.4 - 2.5 GHz) di cui: 268 con chiave WPA (la piu` sicura ma comunque attaccabile in tempi ragionevoli se con password non alfanumerica e minore di 16 caratteri), 203 con chiave WEP (attaccabile con successo in una manciata di minuti) ed in fine 184 non munite di alcuna protezione.

Tolte specifiche situazioni ad alto rischio per la sicurezza dove sono intervenuto personalmente con il collega Alessandro Scoscia, contattando gli interessati e spiegando/dimostrando la situazione, dopo una seconda verifica sul territorio, posso dire che la situazione è effettivamente migliorata.

Prendendo i campioni precedentemente utilizzati si è potuto notare come il livello di sicurezza (almeno a livello apparente) si sia effettivamente capovolto.

La zona industriale contava il 75% di reti senza fili (ovviamente aziendali) non protette o con protezione facilmente eludibile, oggi invece gli stessi target (obbiettivi delle nostre statistiche) risultano con un grado di protezione accettabile tranne qualche piccola eccezione.
Zone come centro storico e periferia non sono rimaste a guardare, anche loro hanno subìto vari cambiamenti adottando in modo consono le misure di difesa consigliate durante i vari talk e interviste avvenute durante la giornata dell` 11 luglio.

E` evidente che sia servito "utilizzare", concedetemi il termine, la città di Orvieto per far capire a quali rischi si va incontro utilizzando la tecnologia in modo non-sicuro: non solo per far conoscere le logiche malevole di un possibile "cattivo" che ha intenzione di carpire informazioni, utilizzare ponti per fare attacchi verso terzi (launchpad) e via discorrendo.. ma anche per ribadire le normative vigenti che quasi nessuna azienda o ente sembrerebbe assolvere.

A tal proposito, un ringraziamento particolare mi sento di farlo al Capitano dei Carabinieri Andrea Lachi, che con il suo intervento nella mattinata ha ottimamente spiegato e riportato le normative vigenti sul territorio italiano: tra cui il "Decreto Anti-Terrorismo" che ad oggi nelle situazioni reali sembra effettivamente essere diventato un optional.

Ed anche il DPS (Documento Programmatico sulla Sicurezza) che ogni azienda ed ente dovrebbe redigere e far verificare almeno una volta ogni 6 mesi (con test di Assessment e Penetrazione da parte di società specializzate), pena: Sanzioni Penali, Civili ed Amministrative:

• Multe da 3.000 a 50.0000 euro (elevabile al triplo).
• Reclusione fino a 3 anni. 
• Possibilità di estinguere il reato penale, adeguandosi alla normativa e pagando una sanzione pecuniaria. 
• Risarcimento del danno cagionato ex art. 2050

Come territorio forse siamo ancora lontani da quella che dovrebbe essere definita "normalità" in campo di IT Security, ma un primo passo è stato fatto e come "Evengelist" auspichiamo che le nostre parole, le nostre statistiche ed i nostri consigli vengano colti.

Concetti che possono tranquillamente essere sintetizzati in una frase:

"Che tu sia alla guida di un' auto o di un' azienda, metti la sicurezza al primo posto."

Allegato: Slides talk http://backtrack.it/~emgent/talks/11072009_-_CAT2009.pdf