19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
20/02/2025: Regolamento sull'intelligenza artificiale
Il regolamento dell'UE sull'intelligenza artificiale, il primo atto legislativo al mondo a disciplinare la materia, è inteso a garantire che i sistemi di IA siano sicuri, etici e affidabili.
19/02/2025: L’andamento meteo-climatico del 2024
Le analisi sull’andamento meteo-climatico del 2024 in alcune regioni italiane, curati dagli appositi servizi delle Agenzie regionali per l’ambiente.
18/02/2025: Sgravio contributivo lavoratrici madri
L'interpello n. 2 del 5 febbraio 2025 pubblicato dal Ministero del Lavoro e delle Politiche Sociali.
13/02/2025: Verifiche periodiche delle attrezzature di lavoro: 59° Elenco
Pubblicato il Decreto direttoriale n. 2 dell'11 febbraio 2025 contenente il 59° Elenco dei soggetti abilitati per l’effettuazione delle verifiche periodiche delle attrezzature di lavoro
12/02/2025: INAIL: regole tecniche per il bando formazione e informazione
Pubblicate le regole tecniche sulle modalità di funzionamento dello sportello informatico.
11/02/2025: Interpello n. 1/2025 : Delocalizzazioni e licenziamenti
Il Ministero del Lavoro risponde in materia di applicabilità della procedura regolata dalla Legge 234/2021
06/02/2025: Cybersicurezza e sicurezza delle informazioni
In consultazione pubblica il progetto di prassi di riferimento per l’armonizzazione della UNI CEI EN ISO/IEC 27001 e il NIST Cybersecurity Framework 2.0.
04/02/2025: Qualità dell’aria 2024
I primi dati relativi all’andamento della qualità dell’aria nel corso dell’anno 2024
03/02/2025: Automazione sicura del lavoro
Un nuovo strumento di valutazione interattiva dei rischi online
30/01/2025: Consumo di suolo, sempre più ridotto “l’effetto spugna”
Il fenomeno rallenta, ma rimane elevato: 20 ettari ogni 24 ore, sopra la media decennale.
29/01/2025: In scadenza l’assicurazione casalinghi
Entro il 31 gennaio è necessario effettuare il versamento per l'assicurazione obbligatoria contro gli infortuni domestici 2025
28/01/2025: Insoddisfazione nel posto di lavoro ibrido
Studio FIOH: cosa spinge i dipendenti a restare a casa?
23/01/2025: Pubblicato in GU il codice dei contratti pubblici con le note
E' stato ripubblicato in Gazzetta Ufficiale il testo del decreto legislativo 31 dicembre 2024, n. 209, corredato delle relative note.
22/01/2025: Ambiente in Italia: uno sguardo d’insieme
Disponibile l'annuario dei dati ambientali 2023 di ISPRA
21/01/2025: Strumenti di valutazione dei rischi per il settore manufatturiero
L'OiRA fornisce una migliore protezione in materia di salute e sicurezza sul lavoro per i lavoratori del settore manifatturiero
17/01/2025: Avviso pubblico formazione e informazione 2024
Pubblicato nella Gazzetta Ufficiale l'avviso di modifica dell’Avviso pubblico per il finanziamento di progetti di formazione e informazione a contenuto prevenzionale.
16/01/2025: Riconoscimento del COVID-19 come malattia professionale?
Un aggiornamento dei rapporti statistici pubblicati da Eurostat
15/01/2025: Schede per il monitoraggio dell’ambiente marino
Schede metodologiche utilizzate nei programmi di monitoraggio del secondo ciclo della Direttiva Strategia Marina
14/01/2025: Non fidarti degli insoliti sospetti
Al via la nuova campagna di comunicazione dell’Inail contro gli infortuni domestici
09/01/2025: Calendario sulla sicurezza 2025
Un calendario per ricordare l’importanza di prestare attenzione a cosa ciascuno può fare ogni giorno a casa, al lavoro e nel tempo libero
1 2 3 4 5 6 7 8 9 10 11