Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'

19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2

Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.

Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.

Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).

Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.

Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.

Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.

Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.

Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.

 

Fonte: certnazionale


19/12/2018: Salute e sicurezza sul lavoro, all’Inail un seminario a dieci anni dal decreto 81/2008

Organizzato dall’Avvocatura generale dell’Istituto, con il patrocinio del Consiglio Nazionale Forense, l’incontro, ospitato dal 12 al 14 dicembre presso la direzione generale di Roma, si è focalizzato sulle tutele universali e sui nuovi strumenti regolativi


17/12/2018: Albo Nazionale Gestori Ambientali: requisiti responsabile tecnico

I nuovi requisiti a carico dei responsabili tecnici per l'iscrizione in categoria 1 dei centri di raccolta


14/12/2018: Albo Nazionale Gestori Ambientali: categoria 1

Chiarimenti della circolare n.15 del 07/12/2018 per iscrizione in alcune sottocategorie


13/12/2018: Il nuovo schiavismo e gli incidenti sul lavoro

Le nuove frontiere del giornalismo nel web-doc di due giovani autori, vincitori del premio Di Donato. Parlano i fantasmi del lavoro nero che miete vittime di cui non si conosce l'identità


12/12/2018: OiRA: una nuova infografica per gli acconciatori

Prova lo strumento OiRA destinato al settore degli acconciatori a livello nazionale


11/12/2018: Albo Nazionale Gestori Ambientali: chiarimenti

Nomina del Responsabile Tecnico per la categoria 10: i chiarimenti della circolare n.152 del 07/12/2018


10/12/2018: Prevenzione del rischio occupazionale da radiazione solare

Un convegno gratuito a Modena il 19 dicembre


07/12/2018: Gdpr e imprese extra Ue

Avviate a consultazione le Linee guida approvate dai Garanti Europei sull’ambito di applicazione


06/12/2018: Il difficile cammino del giornalista d'inchiesta.

Intervista a Marco Menduni, l'inviato che ha vinto il premio giornalistico Di Donato andando sui luoghi del lavoro che uccide.


05/12/2018: DL semplificazioni: abolizione Sistri dal 2019?

La qualifica di 'rifiuto' si potrà stabilire caso per caso


04/12/2018: Recipienti a pressione per trasporto di GPL

UNI EN 12493:2018 “Attrezzature e accessori per GPL - Recipienti a pressione di acciaio saldato per cisterne per trasporto su strada di GPL - Progettazione e fabbricazione”


03/12/2018: Accordo di collaborazione tra Inail e ATS

Progetto “Informazione e sviluppo della cultura della prevenzione per RLS"


30/11/2018: Finanziamenti per la prevenzione in Piemonte

Pubblicato sul sito dell’Inail l’avviso pubblico per selezionare i migliori progetti: è possibile presentare le manifestazioni di interesse fino al 14 dicembre 2018


29/11/2018: DPI: approvato il Decreto di adeguamento al Regolamento UE 2016/425

In arrivo una modifica alla normativa nazionale in materia di dispositivi di protezione individuale


28/11/2018: Esamina fatti e cifre sulle sostanze pericolose

L’EU-OSHA presenta un’infografica interattiva creata a sostegno della campagna Salute e sicurezza negli ambienti di lavoro in presenza di sostanze pericolose .


27/11/2018: Verifiche periodiche: è online il 20esimo elenco dei soggetti abilitati

Il Decreto del 23 novembre 2018, n. 89 sostituisce integralmente il precedente elenco.


26/11/2018: La fatica e lo stress dei marittimi

I fattori di stress rendono il marittimo particolarmente vulnerabile sotto il profilo psico-fisico, e inficiano in termini di sicurezza anche le condizioni di navigazione.


23/11/2018: Kit di informazione e disseminazione per i RLS in sanità

Convegno gratuito a Firenze valido ai fini dell’aggiornamento di ASPP, RSPP ed RLS


22/11/2018: Giornata Nazionale della Sicurezza nelle Scuole

Concorso ANMIL: A ciascuno il proprio outfit. La prevenzione degli incidenti sul lavoro passa anche attraverso ciò che indossiamo


21/11/2018: Aziende a rischio di incidente rilevante in Toscana

Gli esiti delle ispezioni agli stabilimenti di soglia inferiore e superiore nell’Annuario dei dati ambientali della Toscana


53.5 54.5 55.5 56.5 57.5 58.5 59.5 60.5 61.5 62.5 63.5