19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
10/06/2019: Storie di donne per la sicurezza delle donne
Progetto Omero: un focus sulla donne che svolgono il delicato compito di RLS
07/06/2019: Reinserimento lavorativo: la “bella storia” di Claudio, di nuovo al lavoro nella sua terra
Online il video-racconto in cui un agricoltore 51enne parla dell’esperienza di riabilitazione e recupero del proprio ruolo professionale dopo un infortunio.
06/06/2019: Prevenzione 2020: formazione e buone pratiche per generare valore
Presentati dati ed esperienze delle attività realizzate dagli enti del progetto Prevenzione 2020 in compartecipazione con l’Inail e il supporto delle parti sociali per lo sviluppo della comunità professionale dei Rls/Rlst.
05/06/2019: Il 29 maggio presentate le nuove banconote europee
Due nuove banconote da 100 e 200 €, che rappresentano un balzo in avanti in termini di protezione anticontraffazione.
04/06/2019: EU-OSHA 25th Anniversary ceremony
Guarda lo streaming il 5 giugno alle 15:30
03/06/2019: Intercettazioni e tecnologia, i pericoli da evitare
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
31/05/2019: La gestione dei siti contaminati e dei rischi per i lavoratori
Un convegno Inail gratuito a Venezia il 13 e 14 giugno.
30/05/2019: 31 maggio: giornata mondiale senza tabacco
Dite no al fumo e proteggete la salute dei vostri polmoni
29/05/2019: Una puntata di Blob sugli infortuni sul lavoro
Una scia di sangue dagli anni ’50 ai nostri giorni raccontata attraverso immagini di archivio di ieri e di oggi
28/05/2019: INAIL: nuove tariffe dei premi
L'edizione delle tariffe dei premi aggiornata nei contenuti all'anno 2019.
27/05/2019: Buone pratiche per l’Europa
L’Inail premiato al Forum Issa di Baku, anche per i progetti Belle Storie e #storiediprevenzione.
24/05/2019: Vigilanza o accanimento sanzionatorio?
Medico Competente sanzionato per aver trasmesso il giudizio di idoneità al lavoratore tramite l’ufficio personale aziendale via cellulare.
23/05/2019: Test your OSH knowledge with our 25th anniversary quiz!
12 domande conducono attraverso le azioni principali dell'Agenzia e forniscono fatti informativi su questioni relative al lavoro. Scopri quanto sai!
22/05/2019: La nuova tariffa INAIL: non solo riduzioni dei premi per le imprese
Analizziamo nel dettaglio la revisione delle tariffe INAIL entrata in vigore il 1°gennaio 2019
21/05/2019: AIA: le novità del decreto 104
Le nuove modalità di redazione della relazione di riferimento da allegare alla richiesta di rilascio dell'autorizzazione integrata ambientale - AIA
20/05/2019: PREVENZIONE 2020: Le pratiche che generano valore
Si terrà il 30 maggio a Roma il Seminario finale del progetto di INAIL.
17/05/2019: Un focus sui DPI: cosa sono e a cosa servono
Conosciamo meglio i presidi che possono salvare la vita sul posto di lavoro insieme al dott. Franco D’Amico, di ANMIL.
16/05/2019: Contro il totalitarismo digitale serve un Privacy Shield Ue-Cina
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
15/05/2019: Certificazione e verifica di impianti e apparecchi: online dal 27 maggio
Pubblicata la circolare che chiarisce le modalità di utilizzo del nuovo applicativo Civa messo a disposizione dall’Istituto sul proprio sito.
14/05/2019: Albo Gestori Ambientali: categoria 6
Chiarimenti sull’iscrizione di imprese svizzere
48 49 50 51 52 53 54 55 56 57 58