19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
06/09/2016: Seminario sul rischio stress
Convegno gratuito a Sesto san giovanni il 12 settembre
06/09/2016: Infografiche: molestie sessuali e violenza sul luogo di lavoro
I dati principali su questi problemi
05/09/2016: Aumento denunce infortuni sul lavoro
“+2,8% nei primi 5 mesi 2016
02/09/2016: SECURITY Essen 2016: la fiera del settore della sicurezza
Dal 27 al 30 settembre si terrà ad Essen la tradizionale mostra sulla sicurezza e la prevenzione degli incendi. Di Adalberto Biasiotti
01/09/2016: Nuove norme tecniche di prevenzione incendi per le attività ricettive turistico-alberghiere.
Pubblicata in Gazzetta ufficiale la regola tecnica
01/09/2016: Sul decreto ministeriale 12 luglio 2016
modifica agli allegati 3A e 3B del D.Lgs 81/08. Il commento di Pietro Ferrari.
31/08/2016: Convegno di aggiornamento tecnico-normativo in materia di salute e sicurezza sul lavoro.
A Bari lunedì 12/9/2016 il convegno "Formazione, Giurisprudenza, Appalti Pubblici e Antincendio. Novità e aggiornamento tecncio-normativo".
31/08/2016: L'EU-OSHA promuove ambienti di lavoro sani e sicuri per i giovani lavoratori
I giovani, in età compresa tra i 18 e i 24 anni, sono particolarmente vulnerabili ai rischi negli ambienti di lavoro.
30/08/2016: Lavori sotto tensione: pubblicato il quinto elenco dei soggetti abilitati
Adottato il quinto elenco delle "aziende autorizzate" e dei "soggetti formatori" a effettuare i lavori sotto tensione su impianti elettrici, di cui all'articolo 82, comma 1, lettera c), del Decreto legislativo 9 aprile 2008, n. 81.
19/08/2016: Pubblicato in Gazzetta Ufficiale l'Accordo Stato - Regioni del 7 luglio sulla formazione RSPP
Con la pubblicazione in Gazzetta Ufficiale, e trascorsi 15 giorni, l'Accordo entra in vigore
05/08/2016: Disponibili le risorse della campagna europea 2016/2017
Disponibili le risorse relative alla campagna europea 2016-2017 “Ambienti di lavoro sani e sicuri ad ogni età”.
03/08/2016: Sistri: ultimi aggiornamenti
Aggiornamento Sezione Documenti
02/08/2016: Bando Isi-Agricoltura 2016
Stanziati 45 milioni di euro per il miglioramento della sicurezza nelle micro e piccole imprese
22/07/2016: Accordo RSPP: disponibile il testo approvato in Conferenza Stato Regioni
Pubblicato sul sito della Conferenza Stato-Regioni il nuovo accordo che modifica non solo percorsi formativi di RSPP/ASPP ma anche la formazione di molti altri soggetti che si occupano di gestione della sicurezza.
19/07/2016: Condanna dirigenti Olivetti restituisce giustizia a familiari vittime
Il commento del presidente ANMIL Franco Bettoni
18/07/2016: Prassi e strategie di riabilitazione innovative per la sicurezza e la salute negli ambienti di lavoro
Quali misure sono adottate attualmente e quali misure danno risultati positivi e sostenibili?
12/07/2016: Norme tecniche di prevenzione incendi per le attività di ufficio
Pubblicato il Decreto 8 giugno 2016 'Approvazione di norme tecniche di prevenzione incendi per le attività di ufficio, ai sensi dell'articolo 15 del decreto legislativo 8 marzo 2006, n. 139
08/07/2016: Il testo del nuovo accordo sulla formazione RSPP/ASPP
In Conferenza Stato-Regioni è stato approvato un nuovo accordo che modifica la formazione alla sicurezza in Italia. In attesa del documento ufficiale, PuntoSicuro pubblica il testo arrivato il 7 luglio in Conferenza per l’approvazione definitiva.
07/07/2016: Approvata la revisione degli accordi sulla formazione RSPP
Sancito in Conferenza Stato-Regioni il nuovo Accordo in materia di formazione per la sicurezza sul lavoro.
07/07/2016: Corsi sulla sicurezza: undici inchieste su certificati falsi
Le violazioni dell'accordo Stato-Regioni sulla formazione in materia di sicurezza sempre più spesso finiscono in procura.
78 79 80 81 82 83 84 85 86 87 88