19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
29/10/2024: Parità di genere in Europa, l'obiettivo è ancora lontano
Il Parlamento uscito dalle elezioni non vede un’equa rappresentanza. Ma Ursula von der Leyen punta sulla Commissione.
28/10/2024: Rapporto Inail sull’accertamento tecnico per la sorveglianza del mercato delle macchine
Prevista a Milano il 28 e 29 novembre la presentazione dell'11° Rapporto Inail sull’accertamento tecnico per la sorveglianza del mercato delle macchine. Rilascio di crediti Ecm
23/10/2024: Il riutilizzo delle acque reflue urbane da impianti di depurazione urbani
Ricognizione sui controlli e quadro conoscitivo nazionale
22/10/2024: Le settimane della sicurezza 2024
Il programma dei seminari gratuiti organizzati dall'Associazione Tavolo 81 Imola
17/10/2024: Settimana europea per la sicurezza e la salute sul lavoro
Dal 21 al 25 ottobre torna la Settimana europea per la sicurezza e la salute sul lavoro, e quest'anno è tutta dedicata al lavoro sicuro e sano nell'era digitale!
16/10/2024: L'ONU fa un'istantanea dei progressi verso l'uguaglianza di genere
Un rapporto che presenta prove sulla parità di genere in tutti i 17 SDG.
15/10/2024: Settimana Europea salute e sicurezza sul lavoro
I convegni gratuiti organizzati in Lombardia
14/10/2024: Salute e sicurezza in Agricoltura: cambiamenti climatici e innovazioni tecnologiche
Convegno nazionale agricoltura, 17-18 ottobre 2024 - Cividale del Friuli
14/10/2024: La nuova norma UNI 11763-2 sulle casseforme orizzontali
A Torino il 30 ottobre l’evento organizzato dall’Ordine Ingegneri locale e dal CNI
10/10/2024: L’ANMIL celebra il 13 ottobre la 74ª Giornata Nazionale per le Vittime degli Incidenti sul Lavoro
Sono previste iniziative in tutta Italia
10/10/2024: Guida dell’EU-OSHA ai finanziamenti 2024
Programmi di finanziamento dell’UE per la sicurezza e la salute sul luogo di lavoro: una nuova guida delo'Eu-Osha
09/10/2024: Un patto rivoluzionario per il futuro per trasformare la governance globale
I leader mondiali hanno adottato un Patto per il futuro che include un Global Digital Compact e una Dichiarazione sulle generazioni future.
03/10/2024: La sicurezza sul lavoro nell’insegnamento dell’educazione civica
Approvato prima alla Camera nel mese di marzo 2024 e poi recentemente approvato, ma con modifiche, al Senato, un disegno di legge sull'insegnamento della sicurezza nei luoghi di lavoro nell'ambito dell'educazione civica.
02/10/2024: Zoonosi: la prossima pandemia potrebbe arrivare dall’Artico
La rivista scientifica Nature lancia l’allarme: la regione artica potrebbe diventare un focolaio di patogeni virali. Lo scioglimento dei ghiacci sta rilasciando microrganismi congelati da migliaia di anni. È necessario un trattato.
30/09/2024: Una circolare per la prevenzione dei rischi con le piattaforme di lavoro
Pubblicata dal Ministero del lavoro e delle politiche sociali la circolare n. 7 del 12 settembre 2024 avente per oggetto le problematiche di sicurezza legate all’uso delle piattaforme di lavoro elevabili (PLE).
27/09/2024: Uno studio indica che chi lavora di notte rischia di meno
Pubblicato dall’Inail uno studio sul lavoro notturno che analizza la normativa, i lavoratori occupati, gli infortuni ricorrenti e gli indici di rischio in questo ambito specifico.
25/09/2024: D.Lgs. 81/2008: disponibile il testo coordinato nell'edizione settembre 2024
Pubblicato il testo coordinato del Decreto Legislativo 9 aprile 2008 n. 81 in materia di salute e sicurezza nei luoghi di lavoro nella versione di settembre 2024. Le novità generali.
24/09/2024: Una nuova proroga per la qualificazione dei tecnici manutentori
Il nuovo Decreto 13 settembre 2024 contiene modifiche ed integrazioni al decreto 1° settembre 2021. Le disposizioni relative alla qualificazione dei tecnici manutentori entreranno in vigore dal 25 settembre 2025.
23/09/2024: Pubblicato in Gazzetta Ufficiale il decreto attuativo sulla patente a crediti
Nella Gazzetta Ufficiale è stato pubblicato il nuovo regolamento relativo all'individuazione delle modalità di presentazione della domanda per il conseguimento della patente per le imprese e i lavoratori autonomi operanti nei cantieri temporanei o mobili.
19/09/2024: Sanificazione degli ambienti indoor
In consultazione pubblica le due parti del progetto di prassi di riferimento.
1 2 3 4 5 6 7 8 9 10 11