Grave falla in Wpa 2 vanifica la crittografia

Sfruttando Krack è possibile intercettare tutte le comunicazioni in Wi-Fi.



[ZEUS News - www.zeusnews.it - 16-10-2017]

wifi krack

C'è una falla estremamente seria nel protocollo Wpa 2, usato da pressoché tutti gli apparati di comunicazione Wi-Fi in tempi recenti, in quanto ritenuto molto più sicuro degli standard precedenti (Wpa 1, e il vecchio Wep).

I dettagli ancora non sono noti, ma saranno svelati nel corso di una presentazione fissata per il prossimo 1 novembre.

Prima ancora di questa, lunedì 16 ottobre alle 8 di mattina (secondo l'ora della costa orientale degli Usa, e dunque alla sera in Italia), verrà illustrato l'exploit che sfrutta la vulnerabilità in questione e che è stato chiamato dai suoi scopritori KRACK, ossia Key Reinstallation Attack (Attacco tramite Reinstallazione delle Chiavi).

La sua scoperta risale ad alcune settimane fa, ma fino a oggi le informazioni relative sono state tenute segrete, proprio in attesa del momento dell'annuncio ufficiale.

Secondo quanto rivelato da un avviso diramato dallo US-Cert, l'exploit sfrutta il funzionamento del four-way hadndshake, che è parte del processo di autenticazione usato da Wpa 2 e serve per stabilire la chiave di cifratura tra gli apparati in comunicazione.

Sondaggio
Hai mai acceduto a una rete Wi-Fi di qualcuno senza il suo permesso?
No, mai.
No, ma lo farei se ne avessi la possibilità.
Sì, ma era una rete Wi-Fi pubblica approntata appositamente.
Sì, ma era una rete Wi-Fi lasciata aperta e quindi ci potevo entrare anche senza le credenziali necessarie.
Sì, una rete Wi-Fi privata di cui ho hackerato la password (o di cui ho conosciuto la password).

Mostra i risultati (1841 voti)
Leggi i commenti (3)

Al terzo passaggio è infatti possibile inviare la chiave più volte; se questa è re-inviata in un certo modo, è possibile fare in modo che il nonce (un numero casuale pensato per essere usato una volta soltanto) sia riutilizzato in maniera tale da compromettere la crittografia.

La serietà di questa falla non sta soltanto nella possibilità che concede di intercettare il traffico Wi-Fi, ma anche nel fatto che una tale vulnerabilità nel protocollo richiederà, per essere eliminata, la diffusione di patch per tutti gli apparecchi che lo supportano.

È molto difficile, tuttavia, credere che i produttori di router e dispositivi di rete in generale siano intenzionati a produrre correzione per tutti i loro apparecchi, compresi quelli meno recenti: la mancanza di patch rischia di far sì che il pericolo costituito da Krack possa continuare a esistere per molto tempo.

In ogni caso, in attesa della correzione i ricercatori suggeriscono di utilizzare, quando il Wi-Fi sia l'unica connessione disponibile, sistemi come Vpn e protocolli quali Https e Start Tls, in modo da aggiungere ulteriori strati di crittografia alle comunicazioni.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Seria falla in WPA 3 permette di intercettare il traffico: vana la crittografia
Le reti Wi-Fi diventano più sicure con WPA 3
WPA violato in 20 minuti con Amazon
Una password per le reti Wi-Fi aperte
Violato il protocollo Wpa in 60 secondi
Falla in Wpa, reti Wi-Fi a rischio sicurezza

Commenti all'articolo (ultimi 5 di 8)

Come volevasi dimostrare...http://forum.zeusnews.com/viewtopic.php?p=682035#682035 È più probabile essere colpiti da un asteroide che da un hacker di questo calibro... :lol:
28-10-2017 23:28

E' anche una buona idea, nel mercato attuale c'è una grossa parte di hardware che deve essere aggiornato... un pò come è successo ai tempi del WEP, bisogna allinearsi, tutti quelli che detengono hardware "considerato vecchio" ma non per questo non conforme al lavoro, devono aggiornare via portafoglio, se non è disponibile una... Leggi tutto
22-10-2017 06:18

Alcuni mesi fa ho acquistato su Indiegogo un Fingbox per il monitoraggio della rete WiFi - utilizzavo già l'app Fing per il medesimo scopo e il fingbox aggiunge molte nuove caratteristiche per il monitoraggio e la sicurezza - e il fabbricante del dispositivo ha rilasciato la possibilità di identificare proprio un attacco KRACK nella... Leggi tutto
21-10-2017 14:31

il 90% dei router commerciali e casalinghi è linux 2.6 o giù di lì... i telefonini usano mediamente il 3,e qualchecosa. idem le tv il kernel dei sistemi operativi invece è sul 4.14 ma a parte questo non centra niente il sistema operativo. Il protocollo e la chiave wpa2 li usano tutti i sistemi. le chiavi che vengono spedite dalla... Leggi tutto
18-10-2017 12:22

@Maary79 A me sembra di aver capito che i dispositivi vulnerabili sono gli access point (anche quelli compresi nei router) Però non mi è chiaro se anche i client avranno necessità di essere aggiornati (ammesso vengano rilasciate le patch...)
17-10-2017 22:01

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Hai inserito username e password della tua webmail. Il browser ti chiede se desideri salvare le credenziali di accesso per il futuro. Cosa fai?
Uso questa opzione perché è comoda, così non devo inserire ogni volta username e password
Clicco su No e disattivo l'opzione “Resta collegato”
Non accedo alla mail attraverso siti di webmail ma solo attraverso applicazioni installate sul dispositivo

Mostra i risultati (1627 voti)
Ottobre 2019
Linux, seria falla nel comando sudo
Il sistema operativo per sopravvivere all'Apocalisse
Pegasus, la nuova interfaccia di Windows 10
Dal papà di Android uno smartphone radicalmente diverso
Otto mesi di carcere per chi rivelò gli stipendi d'oro sindacali
Windows, l'aggiornamento impedisce di stampare
Antibufala: la Tesla della polizia rimasta a secco durante un inseguimento
Esplode lo smartphone in carica, muore ragazzina
Settembre 2019
Windows, l'aggiornamento di ottobre mette il turbo al Pc
Tutta la verità sul caso del dominio Italia Viva
Ecco perché gli aggiornamenti Windows hanno così tanti bug
A che età dare lo smartphone ai propri figli?
Usa NULL come targa pensando di beffare il sistema informatico delle multe
Gli USA scaricano Huawei e sui portatili arriva Linux Deepin
Falla nelle SIM, vulnerabili 1 miliardo di telefoni
Tutti gli Arretrati


web metrics