19/10/2017: KRACK Attack: violato il protocollo di sicurezza Wi-Fi WPA2
Gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless.
Il ricercatore di sicurezza Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha scoperto gravi vulnerabilità nel protocollo WPA2 (Wi-Fi Protected Access 2) che protegge i dati scambiati in una rete wireless.
Un attaccante che si trovi nel raggio di azione del dispositivo Wi-Fi della vittima e che sia in grado di intercettare il traffico effettuando un man-in-the-middle (MitM), può sfruttare queste falle mediante un tipo di attacco denominato dal ricercatore KRACK (Key Reinstallation Attack).
Stando a quanto riportato dall’autore della ricerca, l’attacco KRACK è mirato al 4-way handshake del protocollo WPA2 che viene eseguito quando un client chiede di accedere ad una rete Wi-Fi protetta. Questa tecnica è utilizzata per confermare che sia il client, sia l’access point possiedono le credenziali di autenticazione corrette e permette di creare una nuova chiave di cifratura mediante la quale verrà protetto da quel momento in poi tutto il traffico scambiato. L’attacco consente di forzare gli utenti connessi alla rete a reinstallare le chiavi di cifratura utilizzate per proteggere il traffico WPA2.
Se l’attacco va a buon fine, l’attaccante sarà in grado di decifrare e leggere in chiaro le informazioni in transito, tra cui potenzialmente dati sensibili quali password, numeri di carte di credito, messaggi privati, ecc.. In alcune condizioni, potrebbe essere anche possibile per l’attaccante manipolare i dati trasmessi per iniettare malware nei siti Web visitati dagli utenti.
Le vulnerabilità individuate, di cui si riporta un elenco in coda all’articolo, sono presenti nello stesso standard Wi-Fi e non in specifici prodotti o implementazioni. Per questo motivo, potrebbero risultare affette tutte le corrette implementazioni del protocollo WPA2. L’attacco KRACK funziona con tutti i tipi di dispositivi, applicativi e sistemi operativi che si connettono od instaurano una rete Wi-Fi WPA2, inclusi Android, Linux, iOS, macOS, Windows, OpenBSD, dispositivi IoT con Linux embedded e router Wi-Fi.
Dato che il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena verranno messi a disposizione dai rispettivi produttori.
Si riportano nel seguito brevi descrizioni delle vulnerabilità coinvolte nell’attacco KRACK (in Inglese):
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Per maggiori informazioni su queste vulnerabilità e sull’attacco KRACK si consiglia di consultare il sito Web appositamente creato dallo scopritore delle falle.
Fonte: certnazionale
29/04/2024: La Giornata mondiale della sicurezza e la salute sul lavoro e il contrasto ai cambiamenti climatici
Una guida sulla gestione del calore sul lavoro disponibile in oltre 20 lingue.
24/04/2024: Convertito in legge il DL PNRR: le prime novità sulla patente a crediti
Approvato dal Senato con voto di fiducia il disegno di legge di conversione del Decreto-Legge n. 19/2024, recante ulteriori disposizioni urgenti per l'attuazione del PNRR. Le prime indicazioni sulle novità della patente a crediti.
23/04/2024: 28 aprile 2024: Cgil e Inca, Giornata mondiale per la salute e la sicurezza sul lavoro
Il Diritto al lavoro e la tutela del lavoro sono i pilastri della nostra Costituzione, ma in Italia il numero degli infortuni, anche mortali, e delle malattie professionali sono inaccettabili.
22/04/2024: Giornata per la sicurezza ANMIL
ANMIL per la Giornata per la sicurezza sul lavoro: le iniziative.
22/04/2024: Calderone, puntare alla vita sicura
Testimonianza vittime infortuni potrà stimolare riflessione
19/04/2024: Più sicurezza meno carta: due eventi il 23 e 24 aprile
Gli eventi “pillola” organizzati dall’Ordine in occasione dell’imminente "Giornata Mondiale della Sicurezza e della Salute sul Lavoro"
17/04/2024: Agi: necessario creare un “quadro etico condiviso”
Ci avviciniamo all’intelligenza artificiale generale. Ed è proprio un dialogo con il software Claude a sottolineare l'importanza di un approccio rispettoso verso le AI.
16/04/2024: Ddl Cybersicurezza: proposte emendative
Il documento della Conferenza delle Regioni del 4 aprile
12/04/2024: L’incidente di Bargi: l’aggiornamento e le prime riflessioni
Individuate anche le ultime due vittime dell’esplosione nella centrale idroelettrica del bacino di Suviana avvenuta il 9 aprile 2024.
12/04/2024: Clima e biodiversità: un futuro condiviso per il nostro pianeta
Si sono tenute due conferenze globali per confrontarsi su clima e biodiversità. Le sfide da affrontare sono sintomi dello stesso problema: l’insostenibilità della nostra produzione e dei nostri consumi.
11/04/2024: L’incidente alla centrale idroelettrica: le novità e le dichiarazioni
Aumentano le vittime accertate dell’esplosione nella centrale idroelettrica del bacino di Suviana avvenuta il 9 aprile 2024. Le indicazioni della Procura di Bologna, le dichiarazioni e lo sciopero sindacale e il lavoro incessante dei soccorsi.
10/04/2024: L’esplosione nella centrale idroelettrica del bacino di Suviana
Vanno avanti le ricerche seguite alla terribile esplosione nella centrale idroelettrica del bacino di Suviana avvenuta nel pomeriggio del 9 aprile 2024. Uno dei gruppi di produzione era in manutenzione straordinaria.
08/04/2024: Medico competente: proroga termine di invio dati allegato 3B
Prorogato al 31 maggio 2024 il termine per l’invio delle informazioni relative ai dati collettivi aggregati e sanitari di rischio dei lavoratori sottoposti a sorveglianza sanitaria nell’anno 2023.
04/04/2024: Sicurezza e benessere sul lavoro e a casa
Scopri di più sui tuoi diritti e sulla campagna «Let’s make it work» di Eu-Osha.
03/04/2024: La qualità e la quantità dell’acqua sono fondamentali per il benessere
A causa dello sfruttamento eccessivo e del cambiamento climatico, molte aree in Europa soffrono sempre più di scarsità d’acqua. Allo stesso tempo, l’inquinamento esercita un’ulteriore pressione su questa risorsa limitata.
02/04/2024: L’efficacia delle certificazioni accreditate per i SGSSL
Convegno - “L’efficacia delle certificazioni accreditate per i sistemi di gestione per la salute e la sicurezza sul lavoro. Norme tecniche, regolamenti, sostegno e rilevazione dei risultati: dall’attualità alle prospettive"
27/03/2024: Quando la sicurezza è una questione anche di genere
Nella nuova puntata del podcast dell'INAIL, un’intervista dedicata all’importanza di considerare il concetto di genere nella valutazione dei rischi sul lavoro per l’individuazione di misure di prevenzione adeguate ed efficaci.
26/03/2024: Verso la nuova legislatura europea. Verso il patto sul futuro
Nel decimo Quaderno ASviS, presentato a Sergio Mattarella: la ricognizione del mandato della legislatura europea 2019-2024 verso le elezioni di giugno, nella prospettiva degli SDGs e del vertice Onu sul futuro del prossimo settembre 2024.
25/03/2024: Un seminario sul rischio aggressioni, violenze e molestie
Il 26 marzo 2024 si tiene a Torino un seminario di approfondimento sul tema delle aggressioni, violenze e molestie a danno dei lavoratori. È possibile seguire il convegno anche da remoto.
21/03/2024: Urgente rivedere le norme sui subappalti
Il Presidente Nazionale ANMIL Zoello Forni per Business24tv
1 2 3 4 5 6 7 8 9 10 11