martedì 17 ottobre 2017

WPA2 - Key Reinstallation Attacks

Vorrei spendere due parole sui cosiddetti "attacchi KRACK" che possono colpire le connessioni Wi-Fi anche protette dallo standard WPA2.

Recentemente è stata resa pubblica una vulnerabilità, che risiede non tanto nel protocollo WPA2, quanto in un uso malevolo di una raccomandazione contenuta nel relativo standard, e purtroppo implementata in modo superficiale.

In poche parole, se un attacker si trova nel raggio di azione del segnale Wi-Fi, può tentare una manovra specifica verso i client connessi, ottenendo in cambio la possibilità di leggere in chiaro il traffico che transita sulla connessione Wi-Fi così manipolata. Non è detto che l'attacco vada sempre a buon fine, ma se riesce, quello è il risultato.

Questa situazione deve essere valutata, sotto il profilo del rischio sicurezza, a seconda degli ambiti in cui ci si trova ad operare.

In casa: ormai tutte le connessioni internet fornite da provider su "linea fissa" (ADSL, Fibra Ottica, connessione su ponti radio, es: Eolo) prevedono l'accesso tramite apparati (modem/router) che forniscono anche il Wi-Fi. Altrettanto abitualmente, il protocollo utilizzato è WPA2, perché è di gran lunga il più sicuro fra quelli disponibili. In questo scenario, un attacco KRACK può essere condotto da chi si trovi nel raggio di azione del segnale (un vicino di casa o qualcuno in strada con apposita apparecchiatura: in quest'ultimo caso si parla di "wardriving"). In definitiva, il rischio effettivo dipende dalla probabilità di avere un vicino di casa smanettone, o dall'essere bersaglio di loschi figuri che fanno "wardriving". In ogni caso, i PC con sistemi Linux sono già stati messi al sicuro o stanno per esserlo, i device con Android recenti anche, i device con Android obsoleti dovrebbero essere immuni, così come sembra che siano immuni i PC con Windows e i sistemi Mac di Apple (idem).

Al lavoro: ho nostalgia dei "bei tempi antichi" in cui le connessioni di rete erano tutte cablate: magari ci saranno stati altri problemi (risolvibili), ma sicuramente non quelli dipendenti dall'uso del Wi-Fi. Se si tiene conto dell'interesse relativamente alto che possono avere i dati in transito su una rete aziendale, qui il rischio di cadere vittima degli attacchi KRACK è piuttosto consistente. I consigli in questo caso sono i soliti: aggiornate i sistemi, a cui mi sento di aggiungerne un altro, di attuazione immediata, nel frattempo che si fanno aggiornare tutti i sistemi. Ovunque possibile, stabilite connessioni cablate per i client (PC) dei posti di lavoro.

Telefoni cellulari: sembrano l'anello più debole in caso di attacco KRACK. Si consiglia di verificare se è avvenuto un recente aggiornamento, e in caso di dubbio non utilizzare il device per transazioni che abbiano valore (home banking) né usare password che potrebbero essere rubate. In casi estremi, sempre meglio usare la "rete mobile" (non Wi-Fi).

Per chi volesse approfondire, ecco alcuni link: