19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
05/07/2021: La Slovenia assume la presidenza del Consiglio dell’UE
La ripresa e la resilienza sono al centro del nuovo programma, che si basa sugli insegnamenti tratti dalla pandemia di COVID-19 e sulla transizione ecologica e digitale per creare un’UE più sana, sicura e stabile.
01/07/2021: Edilizia: firmato decreto per verifica congruità manodopera appalti e subappalti
Il Ministro del Lavoro e delle Politiche Sociali, Andrea Orlando, ha firmato un decreto che definisce un sistema di verifica della congruità dell'incidenza della manodopera impiegata nella realizzazione di lavori edili.
30/06/2021: La Direttiva SUP sulla plastica monouso
Il 3 luglio entrerà in vigore la Single Use Plastic Directive (Direttiva SUP sulla plastica monouso) che vieta la vendita di oggetti in plastica usa e getta. I prodotti potranno essere venduti solo per esaurire le scorte.
28/06/2021: Una nuova era per la protezione dei lavoratori
Parte il quadro strategico dell’UE in materia di SSL 2021-2027
23/06/2021: Per un lavoro più equo: Rights for all seasons
La campagna europea per i diritti dei lavoratori stagionali
22/06/2021: Nuovo approccio metodologico per la gestione dei rischi e la prevenzione dei DMS
Un Webinar di presentazione dei risultati del progetto valido come aggiornamento per RSPP e ASPP
21/06/2021: Giornata di presentazione del nuovo Avviso pubblico informazione per la prevenzione
Webinar il 25 giugno sulle misure previste per il finanziamento di interventi informativi finalizzati allo sviluppo dell’azione prevenzionale
18/06/2021: DPCM Green Pass
Draghi firma il decreto. Dal 1° luglio certificati validi in tutta l’Ue
17/06/2021: Il nuovo quadro sociale europeo in materia di SSL
Partecipa al dibattito online
16/06/2021: Una nuova attività professionale nella stessa azienda
Il quarto video della campagna di comunicazione “Con Inail, ricomincio dal mio lavoro” racconta il percorso di reinserimento di un verniciatore che, dopo un infortunio
15/06/2021: Il cambiamento climatico è responsabile del 98% degli sfollamenti del 2020
Conflitti ed eventi metereologici estremi hanno portato all’ondata di migrazione più alta registrata in dieci anni. Oltre a un’azione umanitaria globale, serve un cambiamento nei tradizionali approcci di gestione del rischio.
11/06/2021: Esposizione occupazionale a farmaci antineoplastici in ambito sanitario
Una panoramica delle conoscenze attualmente disponibili sul tema
10/06/2021: Valutazione dei rischi connessi alla COVID-19 sul luogo di lavoro
Nella nuova versione di OiRA sono state integrate anche le prassi delle imprese in materia di test e vaccinazioni per la COVID-19.
09/06/2021: Studio EEA sui vantaggi del passaggio all'elettricità rinnovabile
Il maggiore utilizzo di elettricità rinnovabile in tutta l'UE non ha solo ridotto le pressioni legate al cambiamento climatico, ma anche all'inquinamento atmosferico e idrico
08/06/2021: Le schede di dimissione ospedaliera nell’epidemiologia occupazionale
Le fonti informative più utilizzate nell’epidemiologia occupazionale sono i registri d’incidenza dei tumori e i certificati di morte.
04/06/2021: Reinserimento lavorativo per una nuova occupazione
Due nuovi racconti nel terzo video della campagna di comunicazione “Con Inail, ricomincio dal mio lavoro”. Una nuova attività professionale, dopo un infortunio e oltre la disabilità, può diventare parte del percorso di rinascita personale
03/06/2021: Vaccini sui luoghi di lavoro
Parte la campagna di comunicazione del Ministero del Lavoro e delle Politiche Sociali per le vaccinazioni sui luoghi di lavoro
31/05/2021: Inquinamento zero, gli eventi della Settimana verde europea
Il 31 maggio l’evento di apertura della EU Green Week 2021 promossa dalla Commissione Europea, dall’1 al 4 giugno la Conferenza di alto livello, che sarà possibile seguire online.
28/05/2021: Con l’eccesso di ore di lavoro aumentano mortalità e disabilità da malattie cardiovascolari
Pubblicate le prime stime ufficiali di Oms e Oil: lavorare più di 55 ore a settimana incrementa il rischio di cardiopatia ischemica e ictus.
26/05/2021: Settimana europea contro il cancro
Ogni anno dal 25 al 31 maggio si svolge la Settimana europea contro il cancro
23 24 25 26 27 28 29 30 31 32 33