Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'

19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2

Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.

Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.

Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).

Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.

Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.

Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.

Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.

Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.

 

Fonte: certnazionale


10/12/2015: Pubblicata norma UNI su indumenti di protezione per la saldatura

È entrata in vigore il 1° ottobre la norma UNI EN ISO 11611:2015 che riguarda gli indumenti di protezione utilizzati per la saldatura e i procedimenti connessi


10/12/2015: Salute e internet: come difendersi dalle bufale on line

Alcune regole per aiutare gli utenti della rete a difendersi dalle bufale on line.


09/12/2015: Antincendio: pubblicata in lingua italiana la norma europea UNI EN 54-22

Sistemi di rivelazione e di segnalazione d'incendio - Parte 22: Rivelatori lineari di calore ripristinabili


09/12/2015: Banca Dati delle Soluzioni: un progetto importante

Un progetto che vuole mettere a disposizione le soluzioni a problemi quali quello del rischio negli ambienti confinati e il rischio biomeccanico.


03/12/2015: Norma EN 795:2012: equipaggiamento personale anticaduta

Pubblicata la Decisione di Esecuzione 2015/2181 della Commissione


03/12/2015: Protezione attiva contro gli incendi: pubblicato il rapporto tecnico nazionale UNI/TR 11607

Specifica dei requisiti relativi alla progettazione, l'installazione, la messa in servizio, la verifica funzionale, l'esercizio e la manutenzione degli Avvisatori Acustici e/o Luminosi


02/12/2015: Si aggrava l'allarme per la crescita delle morti sul lavoro

Prima analisi dei dati ufficiosi e provvisori sui morti sul lavoro del 2015


02/12/2015: Ambienti di lavoro sani e sicuri ad ogni età

Conto alla rovescia per la campagna Ambienti di lavoro sani e sicuri 2016–2017


01/12/2015: V Rapporto del Registro nazionale dei mesoteliomi: l’Italia tra i Paesi più colpiti

I dati di incidenza e di esposizione ad amianto per i casi di mesotelioma maligno


30/11/2015: Valutazione della conformità . pubblicata la UNI CEI ISO/IEC TS 17021-6

Pubblicata in lingua italiana la specifica tecnica UNI CEI ISO/IEC TS 17021-6 sulla valutazione della conformità


30/11/2015: Lezioni sulla sicurezza, Inail Piemonte tra i promotori dell’alternanza scuola-lavoro

Migliorare l’offerta formativa, rispondere alle esigenze delle aziende e diffondere la cultura e la prassi del tirocinio


27/11/2015: Delitti contro l'ambiente: gli atti del convegno

Promosso dalla Commissione parlamentare d'inchiesta sul ciclo dei rifiuti


26/11/2015: Napo: rinnovato il sito web

Un formato più user-friendly, accessibile e con interessanti funzionalità aggiuntive


25/11/2015: Come autocertificare i crediti formativi

La circolare con il modello di autocertificazione e la guida alla compilazione


24/11/2015: Guida non vincolante per l'implementazione della direttiva 2013/35/UE sui campi elettromagnetici

Un supporto per la valutazione dei rischi da campi elettromagnetici nei luoghi di lavoro


23/11/2015: ECHA e-news: Edizione speciale sulla scadenza REACH 2018

Nel numero del 17 novembre l'ECHA fornisce informazioni e strumenti ultili alle imprese che devono prepararsi alla registrazione REACH del 2018.


23/11/2015: Applicazione delle norme della serie EN 1090

La Linea Guida CONFORMA


20/11/2015: Incidenti stradali sul lavoro: protocollo d’intesa tra Inail e dipartimento della Ps

L’obiettivo è la promozione della cultura della prevenzione per la riduzione degli infortuni in itinere e riguardanti i conducenti professionali, anche con interventi di formazione e sensibilizzazione


20/11/2015: REACH: pubblicata la bozza del CORAP 2016-2018

Una proposta per aggiornare il piano d' azione a rotazione comunitario per 2016-2018: prevista la valutazione di 138 sostanze tra le quali 53 di nuovo inserimento


19/11/2015: Facciamo il punto ad oggi sulla figura del coordinatore della sicurezza

Si terrà il 25 novembre a Pordenone il convegno gratuito che si propone di fare il punto sulla professione del Coordinatore della Sicurezza nei cantieri


92 93 94 95 96 97 98 99 100 101 102