#OpenSicurezza

Wi-fi: wpa2 craccata. La fine del paradiso?

E sarebbe la seconda volta del . La prima volta successe con il protocollo WEP, acronimo che ironicamente stava per “Wired Equivalent Privacy” e che in effetti si dimostrò non così sicuro.
Vale la pena ripetere ancora una volta che bastano pochi minuti per craccare una rete wireless con crittografia WEP.

Pochi giorni fa è stata resa pubblica una vulnerabilità che affligge praticamente tutti i dispositivi wireless che implementano la crittografia , siano essi router wi-fi, access point  o client.
Puntualizziamo che per client si intendono tutti gli apparati che si collegano a una rete wifi, in primis smartphone e notebook ma non solo: dai tostapane alle serrature, agli interruttori intelligenti, frigoriferi…ovvero agli apparati IoT.

Come funziona la vulnerabilità?

In parole semplici, l’implementazione standard del protocollo prevede alcune funzioni che permettono, se usate in un certo modo, di abbassare il livello di del wi-fi. In altre parole, sfruttando questa vulnerabilità si possono attuare vari tipi di attacco che hanno  lo scopo di indurre gli apparati wi-fi ad utilizzare chiavi più facilmente individuabili per l’attaccante
consentendogli di intercettare e accedere ai contenuti trasmessi via wi-fi.

Sottolineo che non è una vulnerabilità in senso classico, ovvero una errata implementazione o di un codice di un programma scritto male ma di un utilizzo non preventivato di una funzionalità implementata nello standard wpa2; tanto è vero che, per assurdo, alcuni apparati non perfettamente aderenti allo standard potrebbero non essere vulnerabili.

Cosa si rischia?

Immaginate che ci sia qualcuno dietro le vostre spalle che spia tutto quello che fate: quello che dite, le vostre password, quello che scrivete, il vostro lavoro, tutto.  Ma non solo. Se la rete wi-fi è connessa alla rete aziendale, il cattivo di turno potrebbe avere accesso a tutti i sistemi ed a tutte  le informazioni dell’azienda.
Da sempre gli esperti raccomandano di non fidarsi dei wi-fi aperti, di utilizzare solo reti  wi-fi  con un livello di sicurezza “wpa2”, di cambiare spesso la password del wi-fi per stare sicuri.
Adesso invece tutto questo non è più sufficiente. Usare wpa2 e cambiare la password non elimina il rischio insito nell’utilizzo del wi-fi.

Cosa fare?

L’unica cosa fattibile è aggiornare tutti gli apparati wi-fi. Client, access point, router wi-fi non appena possibile. Ma tutto non si potrà aggiornare. Apparati vecchi e non più manutenuti,
produttori scomparsi, apparati che non prevedono l’aggiornamento del firmware non potranno essere aggiornati e l’unica soluzione sarà la sostituzione con apparati più recenti ed aggiornabili.
E nel frattempo l’unico consiglio valido è quello di usare una vpn, che non fa mai male; a prescindere.

Paolo Giardini

Paolo Giardini

Paolo “aspy” Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica, organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l’incarico di Privacy Officer) si occupa da oltre venti anni di Sicurezza Informatica, Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all’estero.
Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d’Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell’hacker game che ha creato, “CAT – Cracca Al Tesoro”.

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This