19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
30/05/2024: L'applicazione dei criteri End of Waste è sempre obbligatoria
L'interpello del Ministero dell'Ambiente n. 54114/2024
28/05/2024: Lotta ai tumori professionali
Un’analisi metodologica dell’indagine sull’esposizione dei lavoratori
24/05/2024: Bando ISI: la scadenza del 30 maggio e i nuovi videotutorial
Le imprese hanno tempo fino alle ore 18:00 del 30 maggio 2024 per richiedere il finanziamento di soluzioni prevenzionali. Le regole tecniche e i nuovi videotutorial per le fasi 2 e 3.
23/05/2024: Incontro sulla manutenzione e la verifica periodica delle macchine
Il 31 maggio 2024 si terrà a Brescia un convegno gratuito sulla manutenzione e la verifica periodica di macchine, attrezzature e impianti nei luoghi di lavoro.
21/05/2024: Le emissioni di gas serra in Italia: i nuovi dati
Indicazioni del Sistema nazionale per la protezione dell’ambiente (SNPA) con riferimento ai nuovi dati ISPRA sulla situazione delle emissioni di gas serra in Italia.
16/05/2024: INL: una nuova nota sulla certificazione degli appalti in luoghi confinati
Pubblicata dall’Ispettorato Nazionale del Lavoro la nota n. 859 dell’8 maggio 2024 concernente la certificazione dei contratti nei luoghi confinati e negli ambienti sospetti di inquinamento ai sensi del DPR 177/2011.
15/05/2024: La relazione generale sulle attività dell’Unione europea
Come l’UE ha affrontato le questioni che preoccupano maggiormente gli europei nell’ultimo anno?
13/05/2024: Sostenere la buona salute mentale per tutti
Dal 13 al 19 maggio si svolgerà la quinta edizione della Settimana europea della salute mentale.
08/05/2024: Worldcoin: scansionare l’iride per creare un’identità digitale. Ma viola la privacy?
La società di Sam Altman raccoglie dati in cambio di una criptovaluta, ma è stata bloccata in Spagna. La decisione riapre il dibattito sull’uso e sulla tutela dei dati biometrici.
07/05/2024: Pianificare la sicurezza di studenti e lavoratori all’estero
Si svolgerà il 13 maggio l'evento gratuito "Be prepared. Pianificare la sicurezza di studenti e lavoratori all'estero". Previsti crediti sicurezza, Ecm e Cfp.
06/05/2024: Casteldaccia: cinque operai perdono la vita a causa di un'intossicazione durante i lavori nelle fogne
Gli inquirenti sono al lavoro per stabilire eventuali responsabilità: i cancelli dell'impianto fognario sono stati sigillati.
06/05/2024: Aggiornato l'elenco dei soggetti abilitati per l'effettuazione delle verifiche periodiche
Aggiornato al 22 aprile 2024 l'elenco dei soggetti abilitati per l'effettuazione delle verifiche periodiche delle attrezzature di lavoro.
03/05/2024: In bicicletta per la Sicurezza sul Lavoro: pedalare per ricordare
Il 28 aprile 2024, nella giornata mondiale dedicata alla prevenzione ed alla sicurezza sul lavoro, si è svolto il #girolevitespezzateDAY, una manifestazione in bicicletta in tante città italiane per ricordare le ancora troppo numerose morti sul lavoro.
02/05/2024: Bando Isi 2023, online il video con le istruzioni
Nel tutorial tutte le indicazioni per utilizzare la procedura informatica aperta dal 15 aprile al 30 maggio 2024 alle ore 18.00
30/04/2024: Nuove risorse in materia di lavoro su piattaforma digitale
Sul sito di Eu-Osha sono disponibili un'infografica e una presentazione
29/04/2024: La Giornata mondiale della sicurezza e la salute sul lavoro e il contrasto ai cambiamenti climatici
Una guida sulla gestione del calore sul lavoro disponibile in oltre 20 lingue.
24/04/2024: Convertito in legge il DL PNRR: le prime novità sulla patente a crediti
Approvato dal Senato con voto di fiducia il disegno di legge di conversione del Decreto-Legge n. 19/2024, recante ulteriori disposizioni urgenti per l'attuazione del PNRR. Le prime indicazioni sulle novità della patente a crediti.
23/04/2024: 28 aprile 2024: Cgil e Inca, Giornata mondiale per la salute e la sicurezza sul lavoro
Il Diritto al lavoro e la tutela del lavoro sono i pilastri della nostra Costituzione, ma in Italia il numero degli infortuni, anche mortali, e delle malattie professionali sono inaccettabili.
22/04/2024: Giornata per la sicurezza ANMIL
ANMIL per la Giornata per la sicurezza sul lavoro: le iniziative.
22/04/2024: Calderone, puntare alla vita sicura
Testimonianza vittime infortuni potrà stimolare riflessione
1 2 3 4 5 6 7 8 9 10 11