Sono in viaggio e di corsa, ma provo a fare rapidamente il punto sulle falle nella sicurezza del protocollo WPA2 che normalmente protegge i collegamenti Wi-Fi.
Le falle, denominate collettivamente KRACK, sono reali e consentono di intercettare il traffico di dati Wi-Fi nonostante la protezione WPA2. Quello che non si sa ancora è quanto sia facile o difficile sfruttarle: questi dettagli verrano resi noti nel primo pomeriggio di oggi da un annuncio tecnico formale coordinato presso la pagina Krackattacks.com. Gli organismi di gestione della sicurezza informatica, come i CERT, sono stati allertati da tempo e hanno predisposto le soluzioni. Per ora si sa che sono stati assegnati questi codici CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 e CVE-2017-13088.
Per il momento è il caso di prepararsi ad aggiornare il firmware dei propri access point e dei propri dispositivi Wi-Fi (un grattacapo non banale per chi amministra reti complesse o per utenti non esperti; alcune marche hanno già pronta la patch) e usare connessioni Wi-Fi che oltre al WPA2 sono cifrate da HTTPS e/o dall’uso di una VPN (di un fornitore affidabile).
In estrema sintesi: se vi collegate a un sito usando HTTPS tramite Wi-Fi, siete comunque protetti contro le intercettazioni. Se usate una VPN, siete comunque protetti. Al di fuori di questi casi, avete un grosso problema, specialmente se avete una rete Wi-Fi domestica, aziendale o alberghiera.
Se volete saperne di più, consiglio di leggere questo articolo in inglese di Ars Technica e questa sintesi su The Register. C’è anche uno spiegone leggero della BBC. Aggiornerò man mano questo articoletto.
11:40. L'articolo tecnico che spiega le falle è stato pubblicato (o reso pubblico da terzi) prima del previsto:
Krack Attack aka WPA2 issue paper live (it got leaked). https://t.co/b6zZE7QG4i— Beaumont Porg, Esq. (@GossiTheDog) October 16, 2017
12:25. DoublePulsar riassume così la situazione:
- Le falle sono rimediabili: non è vero che non si può fare nulla
- Gli aggiornamenti correttivi per Linux sono già disponibili
- Le falle non sono realisticamente sfruttabili contro dispositivi Windows o iOS
- Il rischio principale riguarda i dispositivi Android che non vengono aggiornati o non possono essere aggiornati
- Non esiste, al momento, un kit di sfruttamento di queste falle: il livello di competenza necessario per sfruttarle è molto elevato.
- Niente panico, ma cercate e installate gli aggiornamenti di sicurezza per i vostri dispositivi.
Nessun commento:
Posta un commento