Protezione reti Wi-Fi: ecco di cosa parleremo. Com’è noto le protezioni disponibili per la rete Wi-Fi sono diverse a partire dall’ormai vetusta WEP fino a WPA – WPA2: nell’ultima di queste, la WPA2, è stata individuata una vulnerabilità che permette un attacco di tipo MitM chiamato Krack – Key Reinstallation Attack.
Come funziona
Il ricercatore Belga Mathy Vanhoef dell’Università di Leuven (Lovanio, Belgio) ha individuato delle gravi vulnerabilità nel protocollo che possono esser sfruttate per questo attacco, il quale è mirato al 4-way handshake che viene eseguito quando un client cerca di connettersi alla rete Wi-Fi.
Quando questo accade viene eseguito il confronto e l’autenticazione delle chiavi di sicurezza inserite e viene creata una nuova chiave di cifratura che andrà a proteggere i dati scambiati tra client e access point. L’attacco forza gli utenti già connessi a re-installare le chiavi di cifratura WPA2, così facendo l’attaccante potrà intercettare tutti i dati trasmessi quali anche dati sensibili come PIN, codici carte di credito, password ecc.
Queste vulnerabilità affliggono il protocollo stesso e non sono legate ad un dispositivo specifico, quindi riguarda TUTTI i dispositivi che usano connessioni Wi-Fi e protezione WPA2, inclusi sistemi Android, Windows, Linux, iOS, OpenBSD, Linux Embedded e tutti i router Wi-Fi.
Nello specifico sembra che una variante di questo attacco sia devastante per i sistemi Android con la versione 2.4 (e antecedente) del processo WPA, infatti eseguendo l’attacco il sistema rimpiazza la chiave cifrata con una serie di zeri, permettendo all’attaccante di intercettare e manipolare i dati trasmessi tra i dispositivi Android, la versione 6.0 e antecedente soffrono di questo problema e si calcola che circa il 40% dei dispositivi attualmente in uso ne sia affetto.
I problemi fin qui descritti riguardano le protezioni WPA2 e WPA1 ivi comprese le modalità WPA-TKIP, AES-CCMP, e GCMP. E’ opportuno precisare che l’attaccante per eseguire queste operazioni deve trovarsi nel range Wi-Fi della rete da attaccare e che questo NON può esser eseguito via internet.
Di seguito un video dimostrativo dell’attacco:
La lista dei dispositivi vulnerabili e gli aggiornamenti
I produttori dei dispositivi sono già intervenuti ed hanno rilasciato dichiarazioni, rilasciando in alcuni casi delle patch correttive, eccole di seguito:
Aruba Informazioni sulla patch FAQ
Cisco Lista dispositivi vulnerabili
L’azienda ha affermato di aver pianificato il rilascio di patch correttive o firmware aggiornati nel breve periodo.
Debian Informazioni sulle patch
Linux Patch scaricabili da qui
NetGear
L’azienda ha cominciato a rilasciare diversi aggiornamenti firmware per i seguenti dispositivi:
WN604, WNDAP620, WAC720/WAC730, WNAP210v2, WNDAP660, WND930, WAC505 / WAC510, WAC120, WNAP320, e WNDAP350.
Zyxel Lista dispositivi vulnerabili
Ancora nessun rilascio di update o di firmware aggiornati da parte di Zyxel
Gli altri produttori come TP-Link, Intel e Google hanno dichiarato di esser al lavoro e che il rilascio di aggiornamenti mirati a correggere il problema verrà pianificato nei prossimi giorni.
Approfondimenti: https://www.krackattacks.com/
PDF con dettagli inerente l’attacco e la ricerca: Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2