19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
06/12/2016: La verifica dei limiti di esposizione ai campi elettromagnetici
Divulgato dall’ARPAT Toscana un documento sul rischio dei campi elettromagnetici prodotti da radio/TV e telefonia mobile.
05/12/2016: La Corte di Cassazione si esprime sul reato ambientale
Il primo caso che riguarda il delitto di inquinamento ambientale
02/12/2016: Verso un Testo Unico in materia di amianto
Il disegno di legge promosso dalla Commissione parlamentare d’inchiesta sul fenomeno degli infortuni e delle malattie professionali.
02/12/2016: Due strumenti per migliorare la sicurezza uomo/macchina
Workshop gratuito a Modena: “Stato dell’arte e normativa: due strumenti per migliorare la sicurezza uomo/macchina”,
01/12/2016: Defibrillatori, nota esplicativa del Ministero della Salute
Disposizioni in ordine alla dotazione e all'impiego, da parte delle società sportive dilattentistiche, dei defibrillatori semiautomatici.
30/11/2016: Informazione e giustizia per la sicurezza dei lavoratori.
Premiato il giornalismo d'inchiesta a Taranta Peligna.
29/11/2016: Firenze, al via il Forum Risk management in sanità
Dal 29 novembre al 2 dicembre 2016: centralità del fattore umano e innovazione, per garantire qualità e sicurezza delle cure.
29/11/2016: Disaster Manager: professionista della protezione civile
Pubblicata la norma nazionale UNI 11656 Disaster Manager
28/11/2016: Report sulle malattie professionali Lombardia: i posti di lavoro più a rischio
I settori più a rischio rimangono edilizia e industria.
25/11/2016: La global supply chain security
Conflict diamonds ed altro. Di Adalberto Biasiotti.
24/11/2016: Chiarimenti sul controllo a distanza dei lavoratori
La circolare del Ministero del Lavoro
23/11/2016: Giornata Nazionale della Sicurezza nelle Scuole
Promozione della salute e sicurezza nelle istituzioni scolastiche
22/11/2016: Incontri informativi in tema di incentivi di sostegno alle imprese che investono in sicurezza
L’iniziativa illustra le modalità operative di fruizione degli incentivi economici e delle agevolazioni tariffarie messe a disposizione dall’Istituto nei confronti delle imprese che realizzano interventi di miglioramento delle condizioni di salute e sicurezza dei luoghi di lavoro
17/11/2016: Riduzione del gas ‘radon’ in ambiente confinato
Pubblicata legge relativa alla riduzione dalle esposizioni alla radioattività naturale derivante dal gas ‘radon’ in ambiente confinato
16/11/2016: Albo Gestori ambientali: deliberazione n. 3 del 13/7/2016
Nuove modalità di iscrizione per trasporto trasfrontalieri
15/11/2016: Inail e Federchimica: una concreta e virtuosa collaborazione
Un nuovo Protocollo d’Intesa per sviluppare la cultura della Sicurezza sul Lavoro e realizzare iniziative per ridurre sistematicamente gli eventi infortunistici e le malattie professionali.
14/11/2016: 15 novembre: obbligo di catene o pneumatici da neve
In vigore l'obbligo di catene da neve o pneumatici invernali.
11/11/2016: Il vincitore del premio cinematografico Ambienti di lavoro sani e sicuri
Il trailer del film vincitore per il 2016.
10/11/2016: Molestie e violenza sul lavoro: firmato l'accordo quadro in Veneto
Quali sono le azioni concrete per individuare, prevenire e gestire i problemi derivanti da questi abusi?
09/11/2016: 6° Convegno Nazionale sulle attività negli Spazi Confinati
Il 23 Novembre a Modena si svolgerà il convegno gratuito: Confined Spaces Safety: something new?
76.5 77.5 78.5 79.5 80.5 81.5 82.5 83.5 84.5 85.5 86.5