Per rispondere alla domanda dichiarata - se Alice non arriva in un hotel fino a una settimana dopo che Bob se ne è andato - o, in realtà, se arriva al momento giusto dopo che Bob ha terminato la sua attività delicata - allora è improbabile che qualunque cosa attività nefande che Alice intraprende - nel contesto del targeting degli ospiti - comprometterà Bob.
Nonostante la prima legge Schneiers, sarebbe inusuale per un hotel catturare e immagazzinare il traffico, e sarebbe anche inusuale per Alice indirizzare quel particolare repository di dati, se anche lei ne fosse a conoscenza. Le persone attualmente in hotel saranno obiettivi molto più interessanti, in quanto la loro presenza offre maggiori opportunità per consentire loro di essere compromessi.
Il phishing in generale è di gran lunga il metodo di compromesso più comune, e la maggior parte dei compromessi che si verificano sono, dal punto di vista dell'attaccante, semplicemente transazioni commerciali opportunistiche. Gli ospiti che soggiornano in un hotel possono rivelare molte informazioni su di loro che possono essere impiegate per convincerli ad aprire un'e-mail con un'offerta interessante e apparentemente affidabile, che forse sembra essere stata inviata direttamente dallo staff dell'hotel. Non per scherzare sulla metafora, ma gli stagni dell'hotel sono ben forniti.
Naturalmente, le informazioni sensibili su Bob verranno memorizzate nei sistemi che l'hotel utilizza per condurre la propria attività, che includono software per archiviare e gestire i dati di pagamento nonché le informazioni sui contatti degli ospiti, le preferenze e eventuali note relative al loro soggiorno da parte dell'hotel personale. Se Alice dovesse bersagliare e compromettere questi sistemi, le informazioni di Bob sarebbero state esposte a lei.
Sul tema generale dell'igiene degli hotel, a tutti gli effetti, i servizi Internet di un hotel sono come altri servizi condivisi come piscine e ristoranti, servizi mirati a un pubblico in cattività. Pulizia, qualità e altri attributi non sono necessariamente requisiti competitivi. I servizi Internet non sono diversi.
Gli hotel hanno sempre disegnato anche elementi che cercano di approfittare degli ospiti - che non hanno familiarità con la zona, che non soggiornano a lungo, che hanno orari e vincoli logistici che impediscono loro di seguire gli inconvenienti, e chi in vacanza spesso abbassa la guardia.
Naturalmente, non è probabile che tu venga derubato in un grande hotel in una grande città degli Stati Uniti, e probabilmente non avrai le tue credenziali rubate. Ma se sei incline a prendere precauzioni, non sei pazzo di farlo.
Da una prospettiva pratica:
- Se disponi di un fornitore di servizi sensibili che per qualche motivo non richiede https, cerca un altro fornitore di servizi
- Se viaggi e frequenti affari tramite Wi-Fi pubblico o hotel, per email e altri account sensibili trova provider che supportano il link 2FA
- Se devi controllare la carta di credito o i conti bancari da un hotel e non hai 2FA e sei preoccupato, preferisci ottenere una connessione di rete dal tuo telefono utilizzando la rete dell'hotel, cablata o wireless. Probabilmente non fa la differenza in nessun caso specifico, ma in generale le reti di dati sulle celle sono più sicure.
- Tor e VPN non sono migliori di https sul problema specifico della protezione delle credenziali. Tutti questi strumenti proteggono il contenuto delle tue comunicazioni. Ciò che Tor e VPN fanno anche è impedire a qualcuno che monitora il traffico di rete di sapere con chi ti sei occupato in quelle comunicazioni. Con https, qualcuno che guarda il traffico di rete può dire che hai avuto una sessione con Bank of America che è iniziata alle 14:00 e durava per 15 minuti, anche se non possono dire quali credenziali e altri dati hai scambiato. Con la VPN, qualcuno che guarda il traffico di rete può solo dire che sei connesso al tuo provider VPN alle 14:00, non a chi hai comunicato via VPN. Solo il tuo provider VPN lo sa. E con Tor, al di fuori degli attori statali, nessuno che controlla la rete ha idea di cosa hai fatto.