È sicuro usare internet dagli hotspot WiFi pubblici aperti?

Sì, è possibile utilizzare il WiFi pubblico, con alcune avvertenze. Devo davvero mettere in dubbio la validità delle risposte finora, dal momento che molte di esse sono allarmiste all'estremo e una sembra cercare di promuovere o vendere un servizio VPN specifico.

Il WiFi pubblico può essere pensato come una strada pubblica o un marciapiede. Se fai qualcosa di stupido, come andare in giro con la tua carta di credito attaccata alla fronte, allora sì, i tuoi dati saranno banalmente raccolti. In effetti, vi raccomanderei di evitare di fare qualsiasi transazione finanziaria mentre siete connessi a una rete WiFi pubblica, nello stesso modo in cui dico ai dirigenti di non discutere i dettagli degli affari in metropolitana. Le probabilità sono che nessuno stia ascoltando o si preoccupi del fatto che si potrebbe comprare un edificio in un quartiere specifico, ma se qualcuno lo fa, le conseguenze potrebbero essere molto negative. Per la stragrande maggioranza delle persone non sono abbastanza preziose in termini di informazioni o finanze perché un professionista le prenda di mira in modo specifico. Ciò a cui siamo tutti molto più vulnerabili è lo skimming non specifico (più spesso tramite lettori di carte di credito) e il MITM non mirato (spesso tramite AP compromessi o dispositivi IOT).

Non mirato significa proprio questo, qualcuno ha piazzato un dispositivo che può scoprire informazioni preziose. Questo significa più comunemente le informazioni della tua carta di credito, ma anche informazioni personali come compleanni, nomi completi, indirizzi, così come nomi utente e password. Ora, dato che questo riguarda il WiFi, mi limiterò a questi vettori di attacco. Se qualcuno ha compromesso l'AP WiFi di un hotel o di un bar, allora avrà accesso a tutto il tuo traffico, ma questo non garantisce che possa farci qualcosa e se stai attento non ci riuscirà. La prima cosa è (di nuovo) non esporre informazioni finanziarie su una rete pubblica. Questo significa non pagare le bollette, non fare acquisti su Amazon (anche se non devi inserire il tuo numero di CC), e non accedere al sito web della tua banca a meno che tu non sia sicuro di capire la rete a cui sei connesso e che i siti che stai usando abbiano certificati TLS adeguati (non certificati autofirmati) e il tuo traffico sia criptato. I browser moderni rendono questo relativamente facile da controllare, di solito guardando nella barra degli indirizzi. Se non sei sicuro, allora o ti connetti a una VPN (e in questo caso devi essere sicuro della VPN) o aspetti di essere su una rete privata per fare la tua transazione. La ragione per cui una VPN aiuta è la stessa per cui TLS aiuta, cioè cripta il tuo traffico in rotta. Ciò che non aiuta, e sostengo che spesso dà agli utenti un falso senso di sicurezza, è che una VPN non ti aiuta se il sito web che stai visitando è stato compromesso.

Questa storia ci racconta di un sito che raccoglieva contributi politici che aveva un software CC skimmer in atto da mesi.

Sito repubblicano truccato con un malware di skimmer per carte di credito per 6 mesi

Se siete interessati a come questo tipo di skimming funziona in dettaglio (e potete almeno leggere JavaScript) questo potrebbe essere interessante:

Credit card skimming code @ store.nrsc.org

Nessuna VPN (o connessione TLS per quella materia) avrebbe aiutato le persone che hanno usato quel sito. I loro dati sono stati inviati a un server in Russia e i loro dettagli e il numero di CC sono stati sicuramente già venduti in massa, probabilmente più volte.

Il punto che sto cercando di fare è che la crittografia aiuta, ma non è certo una garanzia, e la maggior parte delle volte la crittografia "normale" per i siti web da TLS è sufficiente a proteggere i tuoi dati. Quando non lo è, spesso è perché il sito stesso è compromesso e la VPN non aiuta comunque. Sono molto più favorevole al fatto che la maggior parte di tutte le nostre comunicazioni HTTP passino a HTTPS piuttosto che all'uso diffuso di VPN, che ha i suoi problemi di sicurezza. Dopo tutto, non c'è alcuna garanzia che un particolare provider VPN sia affidabile o sicuro e se la loro rete è compromessa, allora ti sei reso più vulnerabile piuttosto che meno.