Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'

19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2

Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.

Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.

Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).

Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.

Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.

Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.

Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.

Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.

 

Fonte: certnazionale


06/05/2015: Convegno sulla valutazione dei rischi da campi elettromagnetici

Si terrà a Catania il 18 maggio il convegno gratuito "Il mondo moderno a 150 anni dalla teoria di Maxwell. Esposizione a campi elettromagnetici, salute e sicurezza".


05/05/2015: Convegno "TR ISO 12295 – Un’altra affermazione dell’Ergonomia"

Si terrà il 28 maggio a Rimini il seminario gratuito su TR ISO 12295 Un’altra affermazione dell’Ergonomia italiana nel mondo


05/05/2015: Save Kids Life per la sicurezza stradale

Parte la campagna social (#SAVEKIDSLIFE) indetta dalle Nazione Unite e dedicata ai bambini. Ogni giorno nel mondo muoiono in incidenti stradali 500 ragazzi sotto i 17 anni


04/05/2015: Il nuovo Comitato Nazionale per la Sicurezza Alimentare (CNSA)

Si è insediato il 27 aprile 2015 al Ministero della Salute il nuovo Comitato Nazionale per la Sicurezza Alimentare (CNSA).


04/05/2015: Seminario tecnico sui campi elettromagnetici negli ambienti di lavoro

Il 19 maggio 2015 si tiene a Rimini un seminario divulgativo sui campi elettromagnetici negli ambienti di lavoro.


30/04/2015: L’Inail all’Expo Milano 2015 con due postazioni nel Centro servizi per i partecipanti

In vista dell’inaugurazione del primo maggio, l’Istituto ha attivato i propri sportelli nella sede operativa delle amministrazioni centrali e periferiche dello Stato, realizzata all’interno del polo fieristico di Rho per fornire assistenza alle delegazioni presenti all’esposizione universale


30/04/2015: Un 1°maggio su cui riflettere con le morti sul lavoro in crescita nel primo trimestre 2015

I dati che nel primo trimestre 2015 mostrano una netta ripresa delle denunce passate dai 186 casi dei primi tre mesi 2014 ai 206 del 2015


29/04/2015: SISTRI: ultimi aggiornamenti

Nella Sezione Manuali e Guide sono stati pubblicati gli aggiornamenti di alcuni documenti, e nell’Area Iscrizione è stata pubblicata la nuova Sezione Modalità di cancellazione


28/04/2015: Omicidio colposo per non aver tenuto conto del giudizio di idoneità del medico competente.

La pericolosità di trascurare le limitazioni e le inidoneità espresse dal medico competente


28/04/2015: X giornata mondiale delle Vittime dell'amianto

Il dossier di Legambiente "Liberi dall’amianto"


28/04/2015: Giornata mondiale per la salute e la sicurezza sul lavoro

Insieme per costruire una cultura di prevenzione per la salute e la sicurezza sul lavoro


27/04/2015: 28 aprile: una data chiave per la sicurezza e la salute sul lavoro

Uniti per creare una cultura della prevenzione in materia di SSL è il tema della giornata mondiale della sicurezza e della salute sul lavoro organizzata dall'Organizzazione internazionale del lavoro (ILO).


27/04/2015: Premiati i vincitori delle buone prassi in SSL

Assegnati i premi europei per le buone prassi nell’ambito della sicurezza e della salute sul lavoro


24/04/2015: Incontri a Milano per il Workers’ Memorial Day

Incontro per l’inaugurazione del Centro per la Cultura della Prevenzione nei luoghi di lavoro e convegno “International panel per lo sviluppo della cultura della prevenzione a livello internazionale, dell’Unione europea e italiano”


23/04/2015: Il gioco delle tre carte.

Indovina dov'è l'amianto?


22/04/2015: The dream job – Il lavoro che sogno

La campagna sulla sicurezza sul lavoro realizzata per l’ANMILin occasione della giornata nazionale della salute e sicurezza sul lavoro (28 aprile 2015).


22/04/2015: Italia Loves Sicurezza

Tre eventi in occasione della Giornata nazionale della salute e sicurezza sul lavoro


22/04/2015: Procedura per l'obbligo di denuncia di malattia professionale

Il sanitario che effettua la diagnosi di una malattia la cui origine professionale è quantomeno sospetta ha l’obbligo di segnalare la patologia a diversi enti.


21/04/2015: Come imparare la manovre di disostruzione in età pediatrica

23 aprile 2015: prima giornata nazionale sulle manovre di disostruzione in età pediatrica


21/04/2015: Sicurezza dei bambini: regole, oggetti e alimenti pericolosi

Sicurezza in casa per i bambini, la top ten degli oggetti pericolosi e come riconoscere i cibi e gli alimenti più pericolosi per i bambini


102 103 104 105 106 107 108 109 110 111 112