19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
06/10/2016: 66° Giornata Nazionale per le Vittime degli Incidenti sul Lavoro
ANMIL a Venezia per la manifestazione nazionale con la partecipazione delle massime istituzioni.
06/10/2016: Un rischio per i lavoratori all’aperto
Alcune pillole informative di INAIL su un rischio per tutti i lavoratori che svolgono la propria attività all’aperto: i raggi solari.
05/10/2016: Medico competente e gare al ribasso
La mozione di SIMLII. Di Luigi Dal Cason
04/10/2016: Prevenzione incendi nelle strutture turistico-ricettive in aria aperta
Pubblicata dal Dipartimento dei Vigili del Fuoco la Nota prot. n. 11257 del 16/09/2016
03/10/2016: Al via l’attività dell’Ispettorato Nazionale del Lavoro
Insediati il Consiglio di Amministrazione e il Collegio dei Revisori
03/10/2016: Sicurezza stradale: online la nuova Piattaforma Nazionale del Miur
Una vetrina di buone pratiche e scambi didattici per le scuole
30/09/2016: L'uso dell'ironia e della creatività nella formazione in materia di salute e sicurezza sul lavoro
Convegno gratuito a Milano il 12 ottobre
29/09/2016: Piano strategico per la sicurezza sul lavoro in Toscana
Le azioni previste nel piano strategico regionale 2016 - 2020
29/09/2016: Seveso III: risposte a quesiti
Sono disponibili sul sito del Ministero dell'Ambiente delle risposte ad alcuni quesiti circa l'applicazione del d.lgs. 105/2015.
28/09/2016: Revisione delle forme contrattuali: impatto e ricadute sulla Sicurezza sul Lavoro
Workshop martedì 11 ottobre alle ore 9.00-18.00 alla Camera di Commercio di Modena
27/09/2016: Audit 231 procedure semplificate: modelli in ambito salute e sicurezza per le PMI
Convegno gratuito a perugia il 27 ottobre.
26/09/2016: Ancora una volta attenti alle inferriate!
Cerchiamo di trasformare gli errori degli altri in maggior sicurezza per noi. Di Adalberto Biasiotti.
26/09/2016: Il ruolo degli RLS nella sorveglianza sanitaria
Convegno a Milano il 5 ottobre.
23/09/2016: ISO 9001:2015. Linea Guida ANIMA-ICIM
Comprendere, interpretare e applicare la norma ISO 9001:2015
22/09/2016: Convegno sulla gestione del rischio chimico e cancerogeno
A Milano il 28 settembre
22/09/2016: L’ottimizzazione del lavoro dei “seniors”
Meglio invecchiare durante il Lavoro, un aspetto importante della prevenzione.
21/09/2016: Pubblicato l'elenco dei soggetti abilitati per l’effettuazione delle verifiche periodiche
Il suddetto elenco sostituisce integralmente il precedente elenco allegato al decreto direttoriale del 18 marzo 2016.
21/09/2016: VIS: Linee Guida per i professionisti e i valutatori
Linea Guida per la Valutazione di Impatto sulla Salute
20/09/2016: Convegno su sicurezza e trasporti
Convegno a Padova il 30 settembre: Sicurezza e trasporti: valore economico e valore etico
20/09/2016: Contratti di manutenzione: pubblicata la norma UNI EN 13269
Linee guida per la preparazione dei contratti di manutenzione
79 80 81 82 83 84 85 86 87 88 89