19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
27/11/2015: Delitti contro l'ambiente: gli atti del convegno
Promosso dalla Commissione parlamentare d'inchiesta sul ciclo dei rifiuti
26/11/2015: Napo: rinnovato il sito web
Un formato più user-friendly, accessibile e con interessanti funzionalità aggiuntive
25/11/2015: Come autocertificare i crediti formativi
La circolare con il modello di autocertificazione e la guida alla compilazione
24/11/2015: Guida non vincolante per l'implementazione della direttiva 2013/35/UE sui campi elettromagnetici
Un supporto per la valutazione dei rischi da campi elettromagnetici nei luoghi di lavoro
23/11/2015: ECHA e-news: Edizione speciale sulla scadenza REACH 2018
Nel numero del 17 novembre l'ECHA fornisce informazioni e strumenti ultili alle imprese che devono prepararsi alla registrazione REACH del 2018.
23/11/2015: Applicazione delle norme della serie EN 1090
La Linea Guida CONFORMA
20/11/2015: Incidenti stradali sul lavoro: protocollo d’intesa tra Inail e dipartimento della Ps
L’obiettivo è la promozione della cultura della prevenzione per la riduzione degli infortuni in itinere e riguardanti i conducenti professionali, anche con interventi di formazione e sensibilizzazione
20/11/2015: REACH: pubblicata la bozza del CORAP 2016-2018
Una proposta per aggiornare il piano d' azione a rotazione comunitario per 2016-2018: prevista la valutazione di 138 sostanze tra le quali 53 di nuovo inserimento
19/11/2015: Facciamo il punto ad oggi sulla figura del coordinatore della sicurezza
Si terrà il 25 novembre a Pordenone il convegno gratuito che si propone di fare il punto sulla professione del Coordinatore della Sicurezza nei cantieri
19/11/2015: L'INAIL promuove Responsible Care
Prosegue la collaborazione tra INAIL e Federchimica con l’obiettivo di sviluppare in modo sempre più significativo la cultura della sicurezza sul lavoro
18/11/2015: I RLS di fronte agli infortuni lavorativi alla guida
Si terrà a Rimini il convegno gratuito "“ON THE ROAD”
17/11/2015: La sicurezza in edilizia: volere … non volare
Incontro tecnico-operativo sulla sicurezza del lavoro in edilizia: Trieste, 19 novembre 2015
17/11/2015: Settimana Europea per la Riduzione dei Rifiuti 2015
Il tema di quest'anno è la dematerializzazione, ovvero come “fare più con meno”
16/11/2015: Facebook Safety Check per gli attacchi terroristici di Parigi
Facebook ha attivato il Safety Check per gli attentati di Parigi: un servizio privato che, se coordinato da entità istituzionali, avrebbe maggior valore.
16/11/2015: UNI EN ISO 9001:2015: codici etici sempre più richiesti, ma ancora sconosciuti
La nuova UNI EN ISO 9001:2015 fornisce ulteriori spunti di riflessione, altre indicazioni da seguire e nuovi requisiti da considerare.
13/11/2015: La Cartella Sanitaria e di Rischio del Lavoratore e dell'Azienda
Quello della medicina del lavoro è forse l'unico caso nel nostro ordinamento in cui il contenuto minimo di una cartella sanitaria è stabilito per legge.
12/11/2015: Tempi di lavoro e tempi di vita: Quali rischi per i lavoratori?
Si terrà a Pontedera il 3 Dicembre 2015 il convegno gratuito "Tempi di lavoro e tempi di vita: Quali rischi per i lavoratori?"
12/11/2015: Il binomio sicurezza-appalti alla terza Giornata nazionale del Cni
Importante favorire la partecipazione e la collaborazione per realizzare un sistema efficiente
11/11/2015: Strategie per fornire istruzioni
Parlare ad un’altra persona fissa la memoria.
11/11/2015: UNI 10459: il professionista della Security
Professionista della Security: Requisiti di conoscenza, abilità e competenza
90 91 92 93 94 95 96 97 98 99 100