19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
01/03/2021: No all’uso delle impronte digitali dei dipendenti se manca base normativa
La sanzione di 30.000 euro del Garante a una Asp
25/02/2021: Puglia: obbligatoria la vaccinazione anti-covid 19 per gli operatori sanitari
La Regione Puglia ha approvato una proposta di legge che rende obbligatoria per gli operatori sanitari la vaccinazione anti-Covid 19 con l’obiettivo di prevenire e controllare la trasmissione del virus SARS-CoV-2.
25/02/2021: Ricostituita la Commissione consultiva permanente
Pubblicato il Decreto del Ministro del Lavoro e delle Politiche Sociali del 4 febbraio 2021
24/02/2021: Lavori sotto tensione
Adottato l'elenco dei soggetti abilitati e formatori
23/02/2021: Un invecchiamento in buona salute e una vita lavorativa più sana
Un decennio di azioni dell'Eu-Osha
22/02/2021: La bella storia di Michele, lo sport e un nuovo lavoro
Protagonista di questo video è un quarantenne originario della Basilicata che, grazie al progetto di reinserimento sociale realizzato dall’Istituto, è riuscito anche a trovare una nuova occupazione
19/02/2021: Dal Consiglio d’Europa le linee guida sul riconoscimento facciale
Preoccupazione per le tecnologie di “riconoscimento dell’affetto”
18/02/2021: Contagi sul lavoro da Covid-19: più di sei casi su 10 denunciati all’Inail tra ottobre e gennaio
Il nuovo report mensile di INAIL conferma il maggiore impatto della seconda ondata della pandemia anche in ambito lavorativo.
16/02/2021: Assicurazione contro gli infortuni domestici
Pubblicata la circolare aggiornata con tutte le istruzioni
15/02/2021: Sicurezza e appalti: incroci pericolosi? Obblighi e criticità tra il D. LGS 81/08 e il D.LGS 50/16
Una videoconferenza valida come aggiornamento per ASPP/RSPP, Coordinatori e Formatori Qualificati.
12/02/2021: Fatti e cifre sui disturbi muscoloscheletrici lavoro-correlati
Una banca dati consultabile sui DMS consultabile sul sito dell'EU-Osha
11/02/2021: Corso Fad: Echinococcosi cistica: prevenzione e gestione del rischio zoonosico nella Regione Sardegna
L’evento è rivolto ai medici di medicina generale e ai medici competenti della Regione Sardegna. Iscrizioni entro il 22 luglio 2021 e fruizione del corso entro il 27 luglio 2021
10/02/2021: La qualità dell’aria in Italia
Un report con lo stato e il trend della qualità dell’aria in Italia nel periodo 2009-2019
09/02/2021: Le storie, i sentimenti e i rischi dei rider in un nuovo cortometraggio
Storie, sentimenti, sicurezza di un giovane rider. Presentato il cortometraggio “Distanza zero”: il video è realizzato dalla Direzione regionale Inail Puglia e Immaginaria produzioni in collaborazione con Apulia film commission.
08/02/2021: Denuncia di infortunio e di malattia professionale
Disponibile l’aggiornamento dei servizi online.
05/02/2021: Esposizione della popolazione italiana all’inquinamento atmosferico, e relazione col Covid-19
Uno studio coordinato dal Dipartimento di epidemiologia del Servizio sanitario regionale del Lazio.
04/02/2021: Giornata mondiale contro il cancro 2021
Come prevenire i rischi di cancro sul lavoro?
03/02/2021: Chiarimenti dall’INL in materia di autotrasporto
L’Ispettorato Nazionale del Lavoro ha chiarito quale debba essere la disciplina da applicare in materia di autotrasporto effettuato da parte dei conducenti degli automezzi pubblici di linea extra urbana adibiti al trasporto passeggeri.
02/02/2021: Geotermia e ambiente
Se ne è parlato in un workshop tecnico internazionale del progetto europeo GEOENVI
01/02/2021: I tuoi dati sono un tesoro
Il video del Garante per raccontare cos’è la privacy
22.5 23.5 24.5 25.5 26.5 27.5 28.5 29.5 30.5 31.5 32.5