La password WiFi sarà fornita solamente se il destinatario acconsentirà a cedere il proprio primogenito all’azienda, per la durata dell’eternità.
Il testo che avete appena letto è la Clausola Erode inserita nelle condizioni di servizio da accettare per essere abilitati ad utilizzare un hotspot WiFi pubblico a Londra, nell’ambito di un’indagine investigativa basata su un esperimento organizzato da F-Secure ed Europol e realizzata dal Cyber Security Research Institute con gli specialisti di sicurezza di SySS. La singolare clausola, che naturalmente non è mai stata applicata, è solo l’elemento più eclatante della disattenzione e della mancanza di consapevolezza degli utenti nell’utilizzo di servizi di connettività, concetti che l’esperimento aveva l’obiettivo di evidenziare.
Oltre al rischio di accettare e sottoscrivere clausole tutt’altro che chiare annegate nelle condizioni contrattuali, che troppo spesso vengono completamente ignorate per utilizzare un servizio, l’indagine ha fatto emergere che è sufficiente una spesa minima per mettere in funzione un accesso WiFi che, nel consentire l’accesso a Internet, possa spiare tutta l’attività dell’utente connesso.
F-Secure ha chiesto a Finn Steglich della SySS di realizzare un kit WiFi portatile, affinché potesse essere attivato agevolmente in un punto qualunque della città. Con una spesa di circa 200 euro è stato realizzato un piccolo sistema perfettamente funzionante e presentato in rete con un nome “credibile”.
Il primo obiettivo era rilevare quanti utenti avrebbe agganciato uno hotspot sconosciuto una volta posizionato e reso disponibile.
In mezz’ora sono stati rilevati 250 dispositivi, 33 dei quali si sono connessi, 21 sono stati identificati. Sono stati captati 32 MB e sei utenti hanno accettato la clausola erode prima che venisse disattivata la pagina in cui erano riportare le condizioni di servizio.
In ogni caso, chi ha utilizzato il servizio per navigare in Internet si è sottoposto ad una rilevazione costante di tutta l’attività svolta online durante tutto il collegamento. Il rischio esiste, anche in considerazione del fatto che su molti smartphone è attiva per default la ricerca e l’aggancio del miglior accesso WiFi disponibile in zona. Se l’access point è aperto e non protetto, il collegamento può avvenire senza che l’utente se ne accorga e nel frattempo – se esiste un’attività di cattura dei dati in transito sul dispositivo – questi dati possono essere rilevati e memorizzati (smartphone o tablet lavorano anche quando rimangono in una borsa, quando ad esempio sono attive la ricezione di mail e altre app che ricevono o trasmettono informazioni).
La conclusione: il WiFi è molto utilizzato (laddove disponibile), ma gli utenti non sono a conoscenza delle possibilità e dei rischi derivanti da un uso incauto di queste tecnologie. L’avvertimento di F-Secure è chiaro: nessuno deve dare per scontata la sicurezza di un WiFi pubblico, che è un servizio da utilizzare con consapevolezza e, qualora la sicurezza dei dati sia critica, è opportuno adottare soluzioni di sicurezza, dalla VPN ad altre soluzioni ad hoc in grado di proteggere i dati.
E come conclude oggi Federico Guerrini nel suo articolo, per quanto riguarda coloro che hanno accettato la clausola Erode, “F-Secure, bontà sua, non ha intenzione di far valere i propri diritti (che comunque sarebbero difficili da sostenere in tribunale). È probabile, però, che d’ora in poi i genitori facciano un po’ più di attenzione”.
Nel video (con audio in inglese), il racconto dell’esperimento.