Pericoli del Wi-Fi pubblico (anche con HTTPS ovunque)

Qualche anno fa il consiglio per usare la rete di un bar era semplice e cupo: dai per scontato che qualcuno stia leggendo il tuo traffico. Poi HTTPS e diventato lo standard quasi ovunque, i browser hanno iniziato a gridare contro i siti in chiaro, e molte persone hanno smesso in silenzio di preoccuparsi.

E proprio quella seconda parte il problema. I pericoli del Wi-Fi pubblico non sono spariti con la vittoria di HTTPS — si sono spostati. L'origliatore passivo che un tempo catturava dall'aria la tua password di Gmail e stato in gran parte messo fuori gioco. Quello che resta e piu interessante, piu mirato e piu difficile da notare, perche l'icona del lucchetto fa sembrare tutto a posto.

Questo articolo ripercorre cosa ha davvero risolto HTTPS, cosa no, e le poche abitudini che cambiano in modo concreto la tua esposizione sulle reti che non sono tue.

Cosa ha davvero risolto HTTPS

Va dato a Cesare quel che e di Cesare. HTTPS — la versione crittografata del protocollo web — ha davvero risolto la versione piu grossolana del problema del Wi-Fi pubblico.

Nel 2014, qualcuno sulla tua stessa rete in aeroporto poteva avviare uno strumento gratuito, guardare il tuo browser caricare Facebook e andarsene con il cookie della tua sessione. Quella classe di attacchi e ormai quasi morta. La combinazione di HTTPS-by-default, HSTS (un flag che dice ai browser “non caricare mai piu questo sito su HTTP semplice”) e regole sui cookie piu rigide fa si che lo sniffing passivo casuale dei siti mainstream non renda granche.

Se il tuo modello di minaccia e “non voglio che un adolescente annoiato tre tavoli piu in la legga la mia email”, HTTPS ti ha portato fin li.

Il modello di minaccia di un livello superiore e dove le cose si fanno piu oneste.

Cosa non copre HTTPS

HTTPS cifra il contenuto della tua connessione a un server specifico. Non protegge i passaggi prima che quella connessione sia stabilita, e non ti protegge da te stesso quando qualcosa sembra leggermente strano. Ecco dove vivono ancora i pericoli del Wi-Fi pubblico.

Iniezione tramite captive portal

La pagina “accetta i nostri termini” che compare sul Wi-Fi di hotel e aeroporti si chiama captive portal. Per funzionare, la rete deve intercettare la tua prima richiesta web e reindirizzarla dove decide lei. E un man-in-the-middle per progettazione. Autorizzato, ma pur sempre un man-in-the-middle.

Un captive portal ben gestito e innocuo. Uno gestito male (o deliberatamente ostile) puo servirti JavaScript, spingere finti aggiornamenti software o profilare in silenzio ogni dispositivo che si connette. Il telefono spesso mostra il portale in un browser ridotto senza la barra degli indirizzi completa, il che rende piu difficile capire cosa stai davvero guardando.

DNS hijack su resolver deboli

Quando digiti bank.com, il dispositivo chiede al resolver DNS della rete “qual e l'indirizzo IP corrispondente?” Su una rete pubblica, quel resolver e gestito da chiunque possieda l'access point.

Un resolver mal configurato o malevolo puo mentire. Puo mandarti a un server che non e la tua banca, poi presentare il proprio certificato. I browser moderni ti avvertono — ma solo se il certificato e sbagliato, e solo se leggi l'avviso invece di cliccare per proseguire.

SSL stripping su siti mal configurati

L'SSL stripping e un vecchio trucco che funziona ancora in casi limitati. L'attaccante si mette tra te e il sito che stai cercando di raggiungere. Tu digiti example.com (senza il prefisso https://), la rete lo intercetta, recupera lei stessa la vera pagina HTTPS e ti serve una copia in HTTP semplice.

I siti che usano il preloading HSTS sono immuni. Quelli che non lo usano (di solito servizi piu piccoli, strumenti interni o qualsiasi cosa raggiungi tramite un vecchio segnalibro) no. La barra degli indirizzi mostrera discretamente http://al posto dell'icona del lucchetto, e la maggior parte delle persone non guarda.

Access point fasulli ed evil twin

Questo e quello che vale la pena capire bene, perche aggira gran parte delle difese viste sopra.

Il telefono ricorda le reti. Quando vede un beacon (un piccolo pacchetto di broadcast che annuncia un nome Wi-Fi) che corrisponde a una a cui si e gia connesso, puo collegarsi automaticamente. Un attaccante con hardware di uso comune puo trasmettere un beacon che dichiara di essere Starbucks WiFi o Hotel Guest, inviare un frame di deautenticazione per buttare il tuo telefono fuori dalla rete legittima e guardare il dispositivo passare alla sua senza che tu tocchi nulla.

Da li, l'attaccante e la rete. Controlla il DNS. Gestisce il captive portal. Vede quali app sul tuo dispositivo stanno cercando di raggiungere quali server, anche se i contenuti sono cifrati. Puo servire le proprie pagine di captive portal, tentare l'SSL stripping su tutto cio che non e in preload e chiedere le credenziali dentro quello che sembra un normale flusso di accesso.

Il nome tecnico e “evil twin”, e la parte silenziosa e che nulla ti avverte che sta succedendo. Il telefono mostra semplicemente la familiare icona del Wi-Fi.

Assuefazione agli avvisi sui certificati

I browser sono diventati bravi a dare avvisi. Gli utenti sono diventati bravi a ignorarli.

Quando vedi un avviso sul certificato a tutta pagina e in rosso, quasi sempre significa che qualcosa non va nella connessione. A volte in modo innocuo (un certificato scaduto), a volte no (un man-in-the-middle attivo). La soluzione e non cliccare per proseguire. In pratica, anni di reti aziendali mal configurate hanno abituato le persone a schiacciare il pulsante “procedi comunque” senza leggere.

Sulla rete di un bar, quel pulsante puo essere l'intero attacco.

Come funziona davvero un attacco evil-twin

Se vuoi un'immagine concreta di come si incastra tutto questo, l'attacco evil-twin e l'esempio piu pulito.

L'attaccante porta in un bar un laptop o un piccolo dispositivo portatile. Avvia un software che fa tre cose in sequenza.

Primo, scansiona l'aria alla ricerca delle reti Wi-Fi vicine e annota il nome (l'SSID) di quella legittima. Diciamo che e Cafe Guest. Poi inizia a trasmettere i propri beacon frame con lo stesso nome, spesso a potenza piu alta cosi che i dispositivi lo preferiscano.

Secondo, invia frame di deautenticazione ai client gia connessi alla rete vera. I frame di deauth sono una parte normale del funzionamento del Wi-Fi — dicono a un dispositivo “sei stato disconnesso, riconnettiti.” Sulla maggior parte delle reti non sono autenticati, il che significa che chiunque puo inviarli. I telefoni sulla rete vera vengono buttati fuori e cercano un posto a cui riconnettersi.

Terzo, l'attaccante presenta un captive portal. Potrebbe chiedere un'email e una password “per accedere al Wi-Fi gratuito.” Potrebbe imitare la pagina di accesso dell'hotel. Potrebbe semplicemente lasciarti passare in silenzio, instradare il tuo traffico attraverso la propria connessione e registrare tutto. Dal punto di vista del tuo telefono, sei online. Dal punto di vista dell'attaccante, ora e lui il tuo ISP.

La difesa non e leggere gli header dei pacchetti. E rendere l'attacco poco interessante — non connettendoti automaticamente a reti sconosciute, instradando il tuo traffico sensibile attraverso qualcosa che la rete locale non puo vedere, e non inserendo credenziali in pagine a cui non sei arrivato di proposito.

Il Wi-Fi pubblico e sicuro nel 2026?

Risposta onesta: abbastanza sicuro per la maggior parte delle cose, non abbastanza per tutto.

Leggere le notizie, cercare una ricetta, scorrere i social — va bene. Il costo di sbagliare con quel traffico e basso e le protezioni dei browser moderni sono reali.

Accedere alla tua banca, entrare in un pannello di amministrazione di lavoro, approvare un bonifico o registrarti a un nuovo servizio che ti manda un codice di recupero via SMS — questi sono momenti di valore piu alto in cui conta la differenza tra “probabilmente va bene” e “va sicuramente bene.” La risposta economica per chiudere quel divario e non farli su reti che non controlli.

Cinque passi pratici

Nessuno di questi richiede di pensare ai frame dei pacchetti. Sono abitudini.

1. Disattiva l'accesso automatico alle reti sconosciute.Su iPhone, questo si trova in Impostazioni → Wi-Fi → Accesso automatico hotspot, e per singola rete in Wi-Fi → (nome della rete) → Accesso automatico. Il punto e far chiedere al tuo dispositivo prima di connettersi a qualcosa con un nome familiare. Vedi la nostra guida alla configurazione della VPN su iPhone per i passaggi correlati.
2. Quando possibile, preferisci la rete cellulare o il tuo hotspot.Una connessione 5G non e perfettamente privata, ma ha un unico operatore responsabile, e non c'e un modo semplice per un estraneo di inserirsi nel mezzo. Per qualsiasi cosa sensibile in viaggio, l'hotspot del telefono e di solito una risposta migliore della rete dell'hotel.
3. Usa una VPN per i momenti che contano.Una VPN, sigla di virtual private network, instrada il tuo traffico attraverso un tunnel crittografato verso un server di cui ti fidi, cosi la rete locale vede solo quell'unica connessione e nulla su dove sta andando. Questo neutralizza la maggior parte delle categorie viste sopra: il captive portal puo ancora infastidirti, ma non puo vedere le tue richieste DNS, non puo fare SSL stripping sui siti che visiti e non puo profilare quali app stai usando. Se l'idea e nuova per te, la nostra introduzione su cosa sia davvero una VPN copre le basi, e la nostra guida alle VPN in viaggio entra nei dettagli. Snap e una delle opzioni costruite attorno a questo approccio, ma l'abitudine piu ampia conta piu del marchio.
4. Non cliccare mai per proseguire oltre gli avvisi sui certificati sulle reti pubbliche. Se vedi un avviso del browser a tutta pagina su un certificato, chiudi la scheda. Sulla tua rete di casa e quasi sempre un sito mal configurato; sul Wi-Fi di un bar potrebbe esserci qualcuno attivamente nel mezzo. Il costo di sbagliare e abbastanza alto da rendere “riprova piu tardi” la scelta predefinita corretta.
5. Rimanda accessi e transazioni sensibili alle reti fidate. Operazioni bancarie, reset di password, qualsiasi cosa che coinvolga un codice di recupero o un flusso a due fattori — valgono la piccola scomodita di aspettare di tornare sulla rete cellulare o sul Wi-Fi di casa. Il vantaggio di comodita nel farli in aeroporto non vale l'asimmetria di cio che puo andare storto.

Cosa risolve una VPN e cosa no

Su questo punto c'e molto rumore, quindi vale la pena essere precisi.

Una VPN risolve davvero:

• La capacita della rete locale di vedere le tue richieste DNS
• L'SSL stripping (il tuo traffico non attraversa la rete ostile in chiaro)
• La profilazione del captive portal dopo che lo hai superato
• La capacita di un access point fasullo di imparare qualcosa di utile sulla tua attivita

Una VPN non risolve:

• Un avviso sul certificato oltre cui clicchi comunque per proseguire
• Le pagine di phishing in cui accedi attivamente
• Il malware gia presente sul tuo dispositivo
• Il fatto che i siti che visiti possano comunque identificarti tramite account e cookie

E uno strumento affilato per una specifica classe di pericoli del Wi-Fi pubblico. Non e uno scudo magico, e i prodotti che lo vendono come tale esagerano quello che fa. La nostra rassegna dei miti comuni sulle VPN entra di piu nel divario tra marketing e realta.

In sintesi

HTTPS ha risolto la versione facile del problema. La versione piu difficile, lo strato sotto la connessione dove vivono DNS, captive portal e access point fasulli, e per lo piu invisibile finche qualcosa non va storto.

Non devi diventare un ingegnere di rete per essere ragionevole su questo. Disattiva l'accesso automatico, sii diffidente verso i captive portal, non cliccare per proseguire oltre gli avvisi sui certificati e usa la rete cellulare o una VPN quando la posta in gioco e reale.

Se vuoi che la parte VPN sia gestita in modo pulito su iOS — nessuna email alla registrazione, nessun log del traffico, abbonamento addebitato discretamente tramite il tuo Apple ID — Snap e costruito esattamente attorno a questo approccio. macOS e in arrivo. In ogni caso, la cosa piu importante non e quale app installi; e che tu smetta di trattare la rete del bar come se fosse la tua.