19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
19/08/2016: Pubblicato in Gazzetta Ufficiale l'Accordo Stato - Regioni del 7 luglio sulla formazione RSPP
Con la pubblicazione in Gazzetta Ufficiale, e trascorsi 15 giorni, l'Accordo entra in vigore
05/08/2016: Disponibili le risorse della campagna europea 2016/2017
Disponibili le risorse relative alla campagna europea 2016-2017 “Ambienti di lavoro sani e sicuri ad ogni età”.
03/08/2016: Sistri: ultimi aggiornamenti
Aggiornamento Sezione Documenti
02/08/2016: Bando Isi-Agricoltura 2016
Stanziati 45 milioni di euro per il miglioramento della sicurezza nelle micro e piccole imprese
22/07/2016: Accordo RSPP: disponibile il testo approvato in Conferenza Stato Regioni
Pubblicato sul sito della Conferenza Stato-Regioni il nuovo accordo che modifica non solo percorsi formativi di RSPP/ASPP ma anche la formazione di molti altri soggetti che si occupano di gestione della sicurezza.
19/07/2016: Condanna dirigenti Olivetti restituisce giustizia a familiari vittime
Il commento del presidente ANMIL Franco Bettoni
18/07/2016: Prassi e strategie di riabilitazione innovative per la sicurezza e la salute negli ambienti di lavoro
Quali misure sono adottate attualmente e quali misure danno risultati positivi e sostenibili?
12/07/2016: Norme tecniche di prevenzione incendi per le attività di ufficio
Pubblicato il Decreto 8 giugno 2016 'Approvazione di norme tecniche di prevenzione incendi per le attività di ufficio, ai sensi dell'articolo 15 del decreto legislativo 8 marzo 2006, n. 139
08/07/2016: Il testo del nuovo accordo sulla formazione RSPP/ASPP
In Conferenza Stato-Regioni è stato approvato un nuovo accordo che modifica la formazione alla sicurezza in Italia. In attesa del documento ufficiale, PuntoSicuro pubblica il testo arrivato il 7 luglio in Conferenza per l’approvazione definitiva.
07/07/2016: Approvata la revisione degli accordi sulla formazione RSPP
Sancito in Conferenza Stato-Regioni il nuovo Accordo in materia di formazione per la sicurezza sul lavoro.
07/07/2016: Corsi sulla sicurezza: undici inchieste su certificati falsi
Le violazioni dell'accordo Stato-Regioni sulla formazione in materia di sicurezza sempre più spesso finiscono in procura.
06/07/2016: Un bilancio infortunistico in chiaroscuro
Il commento di ANMIL all'andamento infortunistico del 2015
05/07/2016: La sfida della sicurezza e della salute sul lavoro
Che cosa si può fare nelle micro e piccole imprese?
04/07/2016: Il 7 luglio la possibile approvazione dell’Accordo sulla formazione RSPP
Arriva il 7 luglio, nella sede della Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano, il testo della revisione dell’Accordo sulla formazione degli RSPP e ASPP del 26 gennaio 2006.
01/07/2016: I rischi per la salute legati alle attività che si svolgono in piscina
Rischi dovuti all’attività in acqua, microbiologici, sostanze chimiche, affogamento o annegamento
30/06/2016: Strada e lavoro: un binomio ad alto rischio
La componente lavorativa ha un peso non indifferente nella incidentalità stradale.
29/06/2016: INAIL: la relazione annuale 2015
Disponibile la Relazione annuale 2015 con i dati statistici
29/06/2016: Privacy: la prima guida del Garante sul nuovo Regolamento Ue
Quali sono le principali novità contenute nel nuovo Regolamento europeo sulla protezione dei dati personali?
28/06/2016: Un protocollo d’intesa tra Inail e Federchimica
Protocollo per l'attuazione delle attività in materia di salute e sicurezza dei lavoratori.
27/06/2016: Un incontro sulla tutela di salute e sicurezza negli appalti
A Chiusdino (SI) il 13 luglio 2016 si terrà il seminario tecnico “Verso il nuovo codice degli appalti. La tutela della salute e della sicurezza dei lavoratori”.
81 82 83 84 85 86 87 88 89 90 91