RDP (Remote Desktop Protocol) è una soluzione comoda. Bastano pochi clic e sei già nel tuo ambiente di lavoro, seduto a casa al tuo computer portatile o persino al telefono in un bar. Ma c'è un "ma": RDP è anche un bersaglio preferito dagli aggressori. Gli hacker scansionano costantemente la rete alla ricerca di porte RDP aperte, violano password e rubano chiavi. Se non ti prendi cura della sicurezza, il tuo "desktop remoto" si trasforma in una "porta aperta a tutti".
La buona notizia è che esistono alcuni accorgimenti semplici ma efficaci che renderanno il tuo sistema molto più stabile. Vediamoli uno per uno.
Le password non sono "123456"
Sembra banale, ma è qui che iniziano la maggior parte degli attacchi informatici. Password come qwerty, admin o password1 sono una manna dal cielo per i bot. Controllano prima queste opzioni.
La regola è semplice: almeno 12 caratteri, una combinazione di lettere, numeri e simboli. Meglio ancora, usa un gestore di password per risparmiarti la fatica. Un generatore di password può aiutarti a creare facilmente combinazioni complesse.
Un esempio lampante: nel 2023, un'azienda statunitense ha perso il controllo del proprio server semplicemente perché l'amministratore di sistema ha lasciato la password Welcome2022. Gli hacker hanno scaricato il database dei clienti in due ore. E non si trattava di una piccola azienda, ma di un servizio con 200.000 utenti.
Autenticazione a due fattori (2FA)
Anche se la tua password viene rubata o indovinata da un bot, una seconda verifica ti salverà la situazione. Può trattarsi di un codice OTP di Google Authenticator, di un SMS o di una notifica push.
In Windows Server, è possibile collegare ulteriori soluzioni 2FA, e funziona davvero. Sì, a volte può essere scomodo, ma pensateci: cosa è meglio, perdere 20 secondi a scrivere codice o perdere la propria base clienti e dover ricostruire la propria reputazione per anni?
Cambia la porta e limita l'accesso
Di default, l'RDP si trova sulla porta 3389. Ed è proprio questa porta che migliaia di bot stanno "attaccando". Cambiare la porta è un piccolo ma fastidioso problema.
Ancora meglio è consentire l'accesso solo a determinati IP. Ad esempio, è possibile accedere solo dall'ufficio o tramite VPN. Certo, è un po' complicato, ma un hacker del Bangladesh non potrà "bussare" al tuo server, nemmeno teoricamente.
L'analogia è la seguente: immaginiamo di dover traslocare dal primo piano con una finestra aperta al ventesimo piano con un citofono. È possibile entrare in un'abitazione del genere? Teoricamente sì. Ma le probabilità sono molto inferiori.
Utilizza la crittografia e non dimenticare di aggiornare
RDP ha una funzionalità chiamata Autenticazione a Livello di Rete (NLA). Aggiunge l'autenticazione prima che una sessione venga stabilita. Disabilitare l'NLA è come lasciare una porta aperta.
E il secondo sono gli aggiornamenti di Windows. Molte vulnerabilità RDP sono già state risolte tramite aggiornamenti. La mancanza di una patch apre le porte agli hacker.
Un esempio lampante è l'attacco BlueKeep del 2019, che si è diffuso proprio attraverso vecchi server Windows non aggiornati. La vulnerabilità ha consentito il controllo completo della macchina senza password. E indovinate un po'? Migliaia di aziende semplicemente non hanno aggiornato i propri sistemi.
Registri e monitoraggio: la tua scatola nera
Nessuna password o autenticazione a due fattori ti salverà se non sai cosa sta succedendo nel sistema. Controlla:
chi ha effettuato l'accesso e da quale IP;
Ci sono stati centinaia di tentativi di accesso falliti?
Ci sono state delle strane sessioni notturne, quando tutti dormivano?
Per questo esiste il Visualizzatore eventi di Windows, ma è meglio collegare servizi di monitoraggio esterni. Ti avviseranno immediatamente, non quando sarà troppo tardi.
Diversi miti comuni sull'RDP
"Non verrò hackerato, sono piccolo." Ai bot non importa chi sei. Si limitano a scansionare gli indirizzi IP e ad attaccare tutto quello che trovi, uno dopo l'altro.
"Una VPN sarà sufficiente." La VPN è una buona soluzione, ma se la password RDP è debole, non ti salverà.
"Il nostro responsabile IT controlla tutto." Sì. Al momento è in vacanza e non ci sono patch sul server.
RDP in azione reale
Nel 2021, un'azienda di logistica ucraina è stata "chiusa" per una settimana. Il motivo era un RDP aperto senza restrizioni. L'attività è stata ripresa in 10 giorni.
Un freelance di Fiverr ha ammesso che i suoi account sono stati hackerati dopo che il server RDP su cui conservava i suoi progetti è stato compromesso. La password era admin123. I clienti se ne sono andati e il profilo è stato bannato.
Queste non sono storie dell'orrore, sono pratiche quotidiane.
Per riassumere
L'RDP non è un lusso, ma uno strumento senza il quale è difficile immaginare di lavorare da remoto. Ma se non si presta attenzione alle impostazioni di base, questo strumento si ritorcerà contro di voi.
Una password complessa, 2FA, una porta non standard, filtraggio IP, crittografia e aggiornamenti, oltre al monitoraggio: ecco la tua checklist minima.
E se utilizzi Windows VDS di Hyperhost , allora avrai già parte di questo "pacchetto sicurezza" di default: data center, SSD fault-tolerant, canali sicuri. Il resto dipende da te. Perché nel 2025, "hackerato tramite RDP" non suona come una notizia, ma come una diagnosi: "non ho configurato le cose elementari".
