Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'

19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2

Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.

Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.

Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).

Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.

Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.

Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.

Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.

Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.

 

Fonte: certnazionale


29/05/2017: Nuovo regolamento europeo sull’uso e lo smaltimento del mercurio

Regolalmento (UE) n.2017/852 del 17 maggio 2017


25/05/2017: Solo il 5% dei magazzini ha scaffalature antisismiche

Cosa dice la legge?


24/05/2017: L’Anmil per la cultura della sicurezza dei giovani

La sicurezza come ottica, come un modo di vivere lo stare a scuola, negli edifici come nel gioco con i compagni, nella vita a casa, come nello sport, alla guida come nel divertimento, fino ad arrivare ai contesti di lavoro.


23/05/2017: Verifiche periodiche: il Decreto Interdirettoriale n. 35/17

Regolamentazione del provvisorio rinnovo dell'iscrizione negli elenchi dei soggetti abilitati all'effettuazione delle verifiche periodiche delle attrezzature di lavoro.


23/05/2017: Verifiche periodiche: pubblicata la circolare per la presentazione dell'istanza di rinnovo

Indicazioni per il rinnovo quinquennale dell'iscrizione nell'elenco dei soggetti abilitati all'effettuazione delle verifiche periodiche delle attrezzature di lavoro.


22/05/2017: Online i tutorial di Abrasives Safety

Alcune raccomandazioni basilari di sicurezza per evitare incidenti con i prodotti abrasivi.


19/05/2017: Infortunio: I tre errori più gravi che portano al rinvio a giudizio

Si terrà a Venezia il 9 giugno il convegno gratuito "Infortunio: I tre errori più gravi che portano al rinvio a giudizio"


18/05/2017: KANBrief 1/2017: UE e Paesi terzi

Disponibile in lingua italiana il KANBrief 1/2017 sul tema centrale: “UE e Paesi terzi”.


17/05/2017: Tecnologie “smart” per la sicurezza industriale: in un seminario idee e progetti di ricerca

L’utilizzo di strumenti intelligenti e a costo contenuto per ridurre i rischi in ambiente lavorativo.


16/05/2017: Smartworking: approvato il disegno di legge

Approvato definitivamente al Senato il disegno di legge "Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato".


15/05/2017: Presentazione palestra per la sicurezza

Inaugurata la Palestra per la Sicurezza sul Lavoro dedicata a formazione e addestramento per lavorare in sicurezza


12/05/2017: Convegno: Rischi Psicosociali: ruolo del RLS

Si terrà a Milano il 24 maggio il seminario gratuito "Rischi Psicosociali: ruolo del RLS"


11/05/2017: Al via la V edizione del Premio “Imprese per la sicurezza”

Valorizzare l’impegno delle aziende per la prevenzione e a diffondere le migliori pratiche.


10/05/2017: Convegno sulle radiazioni non ionizzanti

Previsto a Roma il 16 maggio il convegno gratuito "Problematiche relative agli utilizzi più significativi di radiazioni non ionizzanti in ambienti di lavoro"


10/05/2017: In che modo i cambiamenti nelle TIC condizioneranno il lavoro nel futuro?

Principali tendenze e fattori di cambiamento nelle tecnologie dell’informazione, della comunicazione e delle sedi di lavoro.


09/05/2017: 9 maggio: giornata dell’Europa

Siamo sulla strada verso migliori condizioni di lavoro in Europa?


08/05/2017: Fondo per le vittime dell’amianto

Quali sono e come funzionano le prestazioni in favore dei soggetti colpiti da malattie asbesto-correlate e dei loro superstiti.


05/05/2017: Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali

Nuovo Regolamento Ue sulla privacy. Dal Garante la prima Guida applicativa.


04/05/2017: Convegno sull’utilizzo dei dati della cartella sanitaria e di rischio

Convegno gratuito il 9 giugno a Bergamo: Il Medico Competente, La promozione della salute e l’utilizzo dei dati della cartella sanitaria e di rischio.


03/05/2017: Premi per le buone pratiche 2016-2017

La campagna «Ambienti di lavoro sani e sicuri»


70.5 71.5 72.5 73.5 74.5 75.5 76.5 77.5 78.5 79.5 80.5