19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
11/03/2016: Mamma mia, quante frodi!
È stato recentemente pubblicato un documento della servizio informativo criminale degli Stati Uniti, che prende in esame le varie tipologie di frode, di cui restano vittime ogni giorno aziende e consumatori. Di A.Biasiotti.
10/03/2016: Nuova Direttiva VIA: disponibile il testo coordinato
traduzione non ufficiale del testo coordinato redatto dalla Commissione europea
09/03/2016: Milleproroghe: disposizioni sul SISTRI
Con la legge di conversione 25 febbraio 2016, n. 21 del Decreto 30 dicembre 2015, n. 210 sono state inserite nuove disposizioni in materia di SISTRI.
09/03/2016: Come prevenire le cadute in piano
Studio delle cause e proposta di soluzioni migliorative per la prevenzione
08/03/2016: Autotrasporto: regolamento 165/2014-tachigrafo
Dal 2 marzo 2016 sono entrate a pieno regime le disposizioni in materia di tachigrafo contenute nel Regolamento (UE) n. 165/2014.
08/03/2016: Una terminologia comune per la sicurezza delle informazioni
Tutte le informazioni contenute ed elaborate da un'organizzazione sono soggette a rischi potenziali.
08/03/2016: GIORNATA DELLA DONNA 2016
Vite di donne a confronto: come sono cambiati il lavoro e la tutela al femminile negli ultimi 50 anni. Il volume "Il vecchio e il nuovo" di ANMIL.
07/03/2016: Linee guida per la VIIAS nelle procedure di autorizzazione ambientale
La valutazione integrata di impatto ambientale e sanitario
07/03/2016: Gli oneri di sicurezza aziendali vanno indicati sempre!
Consiglio di Stato, sentenza n. 5873 del 30 dicembre 2015
04/03/2016: Terre e rocce da scavo: il parere del Consiglio di Stato
Un provvedimento sulla disciplina semplificata della gestione delle terre e rocce da scavo
04/03/2016: Su RadioRai1 si parla di sicurezza
Ospiti Raffaele Guariniello e Franco Bettoni, Presidente di ANMIL
03/03/2016: L'omicidio stradale e la sicurezza sul lavoro
I nuovi reati di omicidio stradale e lesioni personali stradali e gli intrecci con le norme di prevenzione.
03/03/2016: Omicidio stradale: è legge
Introduzione del reato di omicidio stradale e del reato di lesioni personali stradali
02/03/2016: Promemoria: Sorveglianza Sanitaria per i lavoratori agricoli stagionali
Il Decreto 6 marzo 2013 del Ministero del Lavoro, in materia di sorveglianza sanitaria dei lavoratori stagionali del settore agricolo.
02/03/2016: Come sapere tutto sul nuovo regolamento generale europeo sulla protezione dei dati
Come i lettori ben sanno, tra breve verrà pubblicato il nuovo regolamento generale europeo sulla protezione dei dati, che innova profondamente le regole attuali. Ecco come saperne di più. Di Adalberto Biasiotti.
01/03/2016: Al via il bando Incentivi Isi 2015 di INAIL
L’INAIL finanzia le imprese che investono in sicurezza
01/03/2016: OT24: chiarimenti da Inail
Le risposte alle domande più frequenti ricevute da Inail.
29/02/2016: Cosa fa l’Europa per il contrasto al terrorismo
Le numerose iniziative che l’Europa sta attuando, per rendere sempre più efficiente ed efficace la lotta al terrorismo. Di Adalberto Biasiotti.
29/02/2016: Convegno nazionale amianto: gli atti
Disponibili gli atti del convegno nazionale promosso dalla fondazione vittime dell’amianto “Bepi Ferro.
26/02/2016: Guardare all’Europa - La prevenzione
Il terzo volume della collana pone il confronto tra i sistemi di prevenzione e di salute e sicurezza nei luoghi di lavoro di Danimarca, Germania, Italia e Regno Unito.
84.5 85.5 86.5 87.5 88.5 89.5 90.5 91.5 92.5 93.5 94.5