Seria falla in WPA 3 permette di intercettare il traffico: vana la crittografia

La nuova versione del protocollo non è poi così sicura.

[ZEUS News - www.zeusnews.it - 14-04-2019]

Negli ultimi mesi del 2017 una falla preoccupante nel protocollo WPA 2 - usato negli apparati di comunicazione Wi-Fi - minò la sicurezza del protocollo stesso, e la Wi-Fi Alliance in pochi mesi preparò il più sicuro WPA 3.

Che fosse più sicuro pareva evidente allora, ma oggi uno studio sostiene che nella più recente versione del protocollo WPA c'è un serio problema di progettazione che ne vanifica in gran parte la sicurezza.

Mathy Vanhoef e Eyal Ronen, i ricercatori che hanno scoperto questa debolezza hanno battezzato lo studio Dragonblood poiché il problema risiede nella fase di handshake che, in WPA 3, viene eseguita usando il metodo noto come SAE (Simultaneous Authentication of Equals), chiamato anche Dragonfly.

Questo sistema è sfortunatamente prono ad attacchi del tipo password partitioning, molto simili agli attacchi basati su dizionario: un malintenzionato può quindi violare le password e intercettare il traffico.

«Un malintenzionato può impersonare qualsiasi utente, e di conseguenza accedere alla rete Wi-Fi, senza bisogno di conoscere la password dell'utente» spiegano Vanhoef e Ronen.

Inoltre, i calcoli mostrano che per violare una password lunga otto caratteri è sufficiente spendere 125 dollari per affidarsi alle risorse messe a disposizione dai vari servizi di cloud computing: molto per chi vuole solo fare uno scherzo a un amico; molto poco per chi voglia impossessarsi di informazioni importanti.

I due ricercatori raccomandano che il protocollo WPA 3 attuale venga dichiarato non conforme agli standard di sicurezza e sia sottoposto a un'attenta revisione, pur riconoscendolo come un passo in avanti rispetto alla versione 2.

Sondaggio

Un sito Internet richiede che la password sia più complicata. Cosa fai per ricordarla?

Leggi i commenti (12)

La Wi-Fi Alliance è già stata informata e s'è già messa al lavoro insieme ai due scopritori della falla per risolvere il problema.

In attesa della revisione completa del protocollo, alcune patch che impediscono lo svolgersi dell'attacco sono già state rilasciate: non resta che aggiornare i dispositivi Wi-Fi per i quali i produttori offrono supporto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti

Le reti Wi-Fi diventano più sicure con WPA 3
Grave falla in Wpa 2 vanifica la crittografia

Commenti all'articolo (2)

{ictuscano}

E se invece non fosse fud? ti colleghi volentieri col tuo wi-fi bacato? In ogni caso, non è una novità che i programmi possono non sono perfetti e che per un qualunque dispositivo possa essere necessario aggiornare il firmware. Altrimenti uno resta ai segnali di fumo e sta tranquillo
15-4-2019 09:51

etabeta

Semba altro fud come quello dei NAS D-Link per convincere la gente a cambiare dispositivi. :roll:
13-4-2019 00:08

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


(16 commenti) Arrestato Assange, il commento di Paolo Attivissimo	Sicurezza(5 commenti) Sextortion, rilevata una nuova ondata di email truffa, anche in italiano

News(16 commenti)

Assange arrestato: ecco cosa rischia

Sicurezza

Agli hacker basta meno di un minuto per attaccare un server nel cloud

Sicurezza(13 commenti)

Windows XP, anche l'ultima versione supportata getta la spugna

News

Arriva Edge, il browser Microsoft basato su Chromium

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Quali sono i rischi maggiori del cloud computing?

	Distributed Denial of Service (DDoS): cresce l'impatto dei tempi di indisponibilità di un sito web, che possono costare perdite di milioni di euro in termini di introiti, produttività e immagine aziendale.
	Frode: perpetrata da malintenzionati con l'obiettivo di trafugare i dati di un sito e creare storefront illegittimi, o da truffatori che intendono impadronirsi di numeri di carte di credito, la frode tende a colpire - prima o poi - tutte le aziende.
	Violazione dei dati: le aziende tendono a consolidare i dati nelle applicazioni web (dati delle carte di credito ma anche di intellectual property, ad esempio); gli attacchi informatici bersagliano i siti e le infrastrutture che le supportano.
	Malware del desktop: un malintenzionato riesce ad accedere a un desktop aziendale, approfittandone per attaccare i fornitori o le risorse interne o per visualizzare dati protetti. Come il trojan Zeus, che prende il controllo del browser dell'utente.
	Tecnologie dirompenti: pur non essendo minacce nel senso stretto del termine, tecnologie come le applicazioni mobile e il trend del BYOD (bring-your-own-device) stanno cambiando le regole a cui le aziende si sono attenute sino a oggi.