Per anni gli esperti di sicurezza hanno consigliato agli utenti di connettersi soltanto alle reti wireless protette da password per evitare di esporre dati sensibili. Ma considerate le nuove vulnerabilità annunciate ieri in WPA2, il protocollo di sicurezza per il Wi-Fi più utilizzato, virtualmente tutti i dispositivi sono vulnerabili a questi attacchi.Le falle, scoperte da Mathy Vanhoef, ricercatore della University of Leuven, permettono a chi si trova nelle vicinanze di una rete wireless protetta da WPA2 — come quella che hai a casa, nel tuo bar preferito o a lavoro — di intercettare e decrittare il traffico dai device connessi. In alcuni casi è possibile anche inserire malware nel traffico.
Pubblicità
La scoperta è diventata velocemente una notizia internazionale, ma vale la pena esaminare come funziona per capire se la tua rete è a rischio.Come funziona l'attacco?Gli hacker avranno prima bisogno di settare un punto di accesso che ne imita uno legittimo e forza i client vicini a connettersi. Così potranno poi sfruttare le falle trovate da Vanhoef per lanciare quello che i ricercatori chiamano key reinstallation attack (KRACK).Gli attacchi colpiscono handshake, negoziazioni di chiavi tra i dispositivi connessi e punti d'accesso, e forzano i clienti a riusare una vecchia chiave di sessione. Con questo processo, la crittazione standard di WPA2 viene indebolita.Vale la pena tenere a mente che per eseguire un attacco del genere un hacker potrebbe avere bisogno di essere nel range del Wi-Fi del tuo device e di impersonare un network di cui il tuo dispositivo si fida e a cui potrebbe cercare di connettersi. Inoltre, l'attacco non compromette la password della rete, quindi l'hacker non è in grado di attaccarsi direttamente al Wi-Fi.Quello che può fare attraverso KRACK è inserirsi nel traffico wireless del tuo dispositivo e decrittarlo, totalmente o parzialmente, in base a vari fattori. Questo potrebbe far trapelare informazioni sensibili come password, messaggi, email e file, se sono trasmessi come testo senza ulteriori strati di crittazione come HTTPS.Chi viene colpito?Questo è un problema a livello di protocollo, quindi le vulnerabilità dietro KRACK non sono limitate a implementazioni specifiche. Se un dispositivo supporta il Wi-Fi, è probabile che sia vulnerabile a una delle varianti dell'attacco. Le falle riguardano sia WPA2-Personal che WPA2-Enterprise, così come i vecchi standard di sicurezza come WPA, che sono considerati poco sicuri e non andrebbero utilizzati in ogni caso.
Pubblicità
"Durante la ricerca iniziale, abbiamo scoperto che Android, Linux, Apple, Windows, OpenBSD, Media Tek, Linksys e altri sono affetti da altre varianti dell'attacco," ha detto Vanhoef a un sito che descrive più nel dettaglio le sue scoperte.Detto questo, ci sono delle differenze tra l'impatto di KRACK sui diversi sistemi operativi. Per alcuni è possibile decrittare un considerevole numero di pacchetti di dati, ma non tutti.L'attacco è particolarmente catastrofico sulle versioni 6.0 di Linux e Android a causa di un ulteriore problema di implementazione nel pacchetto software che riguarda le connessioni wireless WPA. Su questi sistemi è molto facile per gli hacker decrittare e manipolare il traffico Wi-Fi.
Immagine: Mathy VanhoefSecondo Vanhoef oltre il 40 percento dei dispositivi Android sono stati colpiti da questa versione più severa dell'attacco. E sfortunatamente, per via della versione e della frammentazione dei fornitori nell'ecosistema Android, potrebbero passare dei mesi prima che questi dispositivi ricevano delle patch. Alcuni di loro potrebbero restare vulnerabili indefinitamente perché non sono più supportati dai loro produttori.Windows e iOS non sono vulnerabili all'attacco alla chiave KRACK— ironicamente, grazie a delle implementazioni di Wi-Fi non-standard. Comunque, questi sistemi possono essere vulnerabili a un attacco alle chiavi di gruppi di network oppure possono essere attaccati tramite un punto di accesso vulnerabile.
Pubblicità
E questo è un altro aspetto importante: sia i punti di accesso al wireless che i client sono vulnerabili, ma la maggior parte degli attacchi saranno diretti ai client. Comunque, alcuni device possono essere sia un punto di accesso che un client allo stesso tempo. Per esempio, un ripetitore wireless è un device che connette alla rete wireless, così che possa comportarsi come un client, e poi direziona il segnale verso altri client, facendo da punto di accesso.La buona notizia è che i patch non rompono la compatibilità, affinché il client con il patch che non è più vulnerabile riuscirà a comunicare da un punto di accesso all'altro.È una brutta notizia, ma niente panico.
La cosa migliore da fare è aggiornare i dispositivi — computer portatili, smartphone, router — non appena le patch diventano disponibili. Questo sarà più difficile per alcuni dispositivi rispetto ad altri. Ad esempio, generalmente, per ottenere gli aggiornamenti dei firmware dei router, gli utenti devono controllare se il sito web dei produttori del dispositivo ha pubblicato gli aggiornamenti, scaricarli sui propri computer e poi caricarli sui loro router tramite un'interfaccia web o un'applicazione.
"Questo problema può essere risolto tramite dei semplici aggiornamenti software e l'industria del Wi-Fi, inclusi i principali provider di piattaforme, ha già iniziato a distribuire patch per gli utenti," ha dichiarato la Wi-Fi Alliance, l'organizzazione del settore che certifica la conformità dei prodotti Wi-Fi. "Gli utenti possono aspettarsi che tutti i loro dispositivi Wi-Fi, sia aggiornati che non aggiornati, continuino a funzionare bene."
Pubblicità
L'organizzazione ha condiviso informazioni su queste vulnerabilità con i fornitori e ha reso il controllo della loro presenza una parte del suo processo di certificazione Wi-Fi, questo significa che i prodotti compatibili con il Wi-Fi saranno per forza aggiornati.
Una VPN può proteggere da KRACK.Il CERT Coordination Center della Carnegie Mellon University che supporta il Computer Emergency Readiness Team (US-CERT) del governo degli Stati Uniti, ha pubblicato un documento ufficiale a riguardo e ha stilato un elenco dei produttori di hardware e software interessati.
In attesa che le patch vengano pubblicate, potete fare alcune cose per proteggere i vostri dispositivi e le vostre informazioni. Per prima cosa, controllate che la rete domestica utilizzi WPA2 con la crittografia AES, non TKIP. Entrambe sono vulnerabili alla decrittazione del traffico tramite KRACK, ma AES non è vulnerabile alle packet injection, che potrebbero avere conseguenze più gravi, ad esempio, immettere del malware quando si scaricano delle pagine web.
Un esempio di sito che utilizza HTTP con Google Chrome. Immagine: Google
Google Chrome segnala le pagine web non-HTTPS che contengono form di accesso come "Non Protette," mentre Mozilla Firefox visualizza addirittura un avviso quando gli utenti tentano di inserire delle informazioni in questi moduli. Questi avvisi potrebbero allertare gli utenti sui possibili tentativi di aggirare l'HTTPS.
Un'altra buona opzione per assicurare l'intero traffico di rete di un computer — non solo le email o quello web — è utilizzare una soluzione VPN (Virtual Private Networking). Le aziende forniscono questi servizi per i loro dipendenti ed esistono anche molte opzioni per i semplici utenti privati.Le VPN convogliano tutto il traffico attraverso un tunnel crittografato e il loro utilizzo viene già raccomandato quando ci si connette a reti Wi-Fi non affidabili. Gli utenti che temono eventuali attacchi KRACK possono attivare la propria VPN in qualsiasi momento in cui utilizzano il Wi-Fi, a casa, al lavoro o nel loro ristorante preferito.
Questo tipo attacco "non può sconfiggere l'SSL/TLS o il VPN", ha spiegato Robert Graham, esperto di cybersecurity, in un post sul suo blog. "Quindi, se siete sicuri navigare con il vostro laptop utilizzando il WiFi pubblico negli aeroporti, allora il vostro portatile è al sicuro da questo attacco."
Naturalmente, il tipo di dispositivi vulnerabili al KRACK va ben oltre i computer portatili e gli smartphone. Molti dispositivi dell'internet-of-things si connettono tramite Wi-Fi, trasmettono dati sensibili in chiaro sulle reti locali e non supportano le VPN. Non ci sono soluzioni semplici per proteggere questi dispositivi in assenza di patch, quindi gli utenti dovrebbero fare pressioni sui loro produttori perché pubblichino degli aggiornamenti contro gli attacchi KRACK.
"La vostra rete domestica è vulnerabile," ha spiegato Graham. "Molti dispositivi sfrutteranno SSL/TLS, come il vostro Amazon Echo, che potete continuare ad utilizzare senza preoccuparvi di questo attacco. Altri, come le lampadine Philips, potrebbero non essere così protetti".
Inoltre, ha raccomandato agli utenti di monitorare quanto tempo ci mettono i produttori dei vari dispositivi a rispondere a questo attacco con degli aggiornamenti e, nel caso in cui facciano passare troppo tempo, di sostituire questi dispositivi. Il concetto è che, ovviamente, tutti i prodotti software e hardware hanno dei difetti, ma ciò che fa la differenza è il tempismo con cui i produttori rimediano agli incidenti di sicurezza."Non ci stancheremo mai di raccomandare agli utenti domestici — specialmente quelli che vivono in aree densamente popolate — di controllare assolutamente gli aggiornamenti per i loro dispositivi Wi-Fi o di passare a nuove dispositivi che non hanno questa vulnerabilità," ha dichiarato Bob Rudis, chief data scientist nell'azienda che si occupa di vulnerability intelligence Rapid7.
