Violato il protocollo WPA2 cosa significa, cosa fare e cosa comunicare?

Repost di un articolo scritto da me per il blog di Allnet.Italia che prova a spiegare l'impatto dell'attaco nominato Krack.
Buona lettura
La notizia è stata resa ufficiale lunedì 16 ottobre (https://www.krackattacks.com/) uno dei protocolli di sicurezza delle reti Wi-Fi più utilizzati è stato violato. Senza scendere nel dettaglio tecnico della scoperta, tramite questo attacco (nominato KRACK) si riesce a violare il meccanismo di handshake a quattro vie del protocollo e intercettare il traffico. Una volta violata la sicurezza del canale di comunicazione, l’attaccante è nella posizione di poter dirottare le connessioni, fare injection di contenuti malevoli ed ovviamente violare la confidenzialità delle nostre comunicazioni. Raccomandiamo a tutti gli operatori del settore di seguire con attenzione i risvolti di questa scoperta per la sua entità ed importanza.
Di seguito alcuni consigli utili per una corretta comunicazione della criticità ai vostri clienti:
Punti fondamentali:
  • Ad oggi Tutti gli apparati che utilizzano WPA2 per connettersi alle reti Wi-Fi sono da ritenersi vulnerabili: Smartphone, Router Wi-Fi, Access Point, dispositivi IOT, laptop sono coinvolti e molto probabilmente vulnerabili.
  • Non tutti i produttori hanno rilasciato patch o aggiornamenti di sicurezza.
  • Non solo perdita di confidenzialità, la vulnerabilità offre all’attaccante la possibilità di agire in maniera attiva ad esempio per fare injection di codice malevole, redirect del traffico ecc..
  • I dettagli della vulnerabilità sono noti, ma non è stato rilasciato un exploit pubblico (ad oggi)
  • Non si hanno notizie di attacchi che sfruttano questa vulnerabilità (ad oggi)
Come difendersi?
Semplicemente, ogni volta che ci colleghiamo ad una rete Wi-Fi con WPA2, dobbiamo immaginare che ci stiamo connettendo ad un W-Fi aperto senza sistemi di encryption, quindi applicare tutti gli accorgimenti che siamo abituati ad adottare quando ci colleghiamo ad una rete pubblica.
  • Aggiornare i sistemi, se il produttore ha già reso disponibili patch o aggiornamenti per risolvere questa vulnerabilità, non bisogna esitare!
  • Se possibile, preferire la connessione Wired a quella Wireless.
  • Utilizzare servizi VPN ci permette di instaurare comunicazioni sicure attraverso un canale insicuro.
  • Preferire i servizi che utilizzano canali di comunicazione sicuri: https per il Web, SFTP ecc. (questo accorgimento risolve solo in parte la problematica poiché molti servizi essenziali, come il DNS, spesso viaggiano in chiaro, quindi soggetti ad attacchi MITM)
Referenze:



Post popolari in questo blog

Informati e consapevoli: la chiave per una strategia di cyber security davvero efficace

Repost di un mio articolo, pubblicato su https://www.cybersecurity360.it/  per conto di Deda Cloud  Ormai sia gli specialisti del settore sia il pubblico più generalista sono quasi abituati a numeri di data leak e  data breach   da record. Come dimenticare il   data breach di Yahoo   – rivelato nel 2017 – che nel 2013 coinvolse 3 milioni di account? Così come i casi di   Adult Friend Finder , che nel 2016 causò l’esposizione dei dati di 412 milioni di utenti, e di   Equifax , che nel 2017 portò alla violazione di oltre 160 account. Ultimo in ordine temporale, ma non di volumi, è quello di   LinkedIn che nel giugno 2021 coinvolse 700 milioni account , il 92% degli utenti totali del social network, appena due mesi dopo che 500 milioni di profili erano stati messi in vendita su un popolare forum di hacker. Come mostra questa breve lista,  le fughe e violazioni di dati sono in costante aumento e interessano un numero sempre più importante di account e informazioni , tanto che è ormai diffi
Read more »

Android VM for Developer (1/2)

Get Started  “Everything you need to start developing apps for Android is available here on developer.android.com.” Questa è la frase che chiunque si sia avvicinato al mondo android (come sviluppatore ) ha letto la prima volta che è approdato sul sito ufficiale del progetto  developer android . Seguendo attentamente i tutorial e la documentazione effettivamente in poco tempo chiunque riesce ad avere il suo set di strumenti per modificare il classico “Hello World” con un più ironico “The World is Mine” , lanciarlo sull’emulatore, attendere un tempo indefinito e finalmente apprezzare il lavoro. Mediamente per tutto il tempo impiegato per lo sviluppo del primo progetto, il discorso ottimizzazione dell’emulatore non passa per la testa allo sviluppatore (mediamente) e ci si rassegna ad aspettare il deploy dell’app sull’emulatore. Presa confidenza con il framwork android, i nuovi costrutti, Logcat (e i suoi continui crash) lo sviluppatore; si ribella alla frustrazione dovuta all’attes
Read more »