2017/10/16

Mega-falle Wi-Fi WPA2, sicurezza a rischio per quasi tutti, ma niente panico

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/10/16 11:40.

Sono in viaggio e di corsa, ma provo a fare rapidamente il punto sulle falle nella sicurezza del protocollo WPA2 che normalmente protegge i collegamenti Wi-Fi.

Le falle, denominate collettivamente KRACK, sono reali e consentono di intercettare il traffico di dati Wi-Fi nonostante la protezione WPA2. Quello che non si sa ancora è quanto sia facile o difficile sfruttarle: questi dettagli verrano resi noti nel primo pomeriggio di oggi da un annuncio tecnico formale coordinato presso la pagina Krackattacks.com. Gli organismi di gestione della sicurezza informatica, come i CERT, sono stati allertati da tempo e hanno predisposto le soluzioni. Per ora si sa che sono stati assegnati questi codici CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 e CVE-2017-13088.

Per il momento è il caso di prepararsi ad aggiornare il firmware dei propri access point e dei propri dispositivi Wi-Fi (un grattacapo non banale per chi amministra reti complesse o per utenti non esperti; alcune marche hanno già pronta la patch) e usare connessioni Wi-Fi che oltre al WPA2 sono cifrate da HTTPS e/o dall’uso di una VPN (di un fornitore affidabile).

In estrema sintesi: se vi collegate a un sito usando HTTPS tramite Wi-Fi, siete comunque protetti contro le intercettazioni. Se usate una VPN, siete comunque protetti. Al di fuori di questi casi, avete un grosso problema, specialmente se avete una rete Wi-Fi domestica, aziendale o alberghiera.

Se volete saperne di più, consiglio di leggere questo articolo in inglese di Ars Technica e questa sintesi su The Register. C’è anche uno spiegone leggero della BBC. Aggiornerò man mano questo articoletto.


11:40. L'articolo tecnico che spiega le falle è stato pubblicato (o reso pubblico da terzi) prima del previsto:




12:25. DoublePulsar riassume così la situazione:

  • Le falle sono rimediabili: non è vero che non si può fare nulla
  • Gli aggiornamenti correttivi per Linux sono già disponibili
  • Le falle non sono realisticamente sfruttabili contro dispositivi Windows o iOS
  • Il rischio principale riguarda i dispositivi Android che non vengono aggiornati o non possono essere aggiornati
  • Non esiste, al momento, un kit di sfruttamento di queste falle: il livello di competenza necessario per sfruttarle è molto elevato.
  • Niente panico, ma cercate e installate gli aggiornamenti di sicurezza per i vostri dispositivi.

27 commenti:

  1. Benissimo, 😐 i produttori di cellulari non rilasceranno alcuna patch come al solito (vedi falla del bluetooth), idem per i modem forniti dai provider.

    Per i browser si può provare con estensioni tipo https everywhere, ma per tutto il resto del traffico?

    RispondiElimina
  2. Aggiornare il FW degli AC temo sia il meno: come si aggiorna quello dei millemila dispositivi che gli si connettono? Telefoni, tablet, console, sistemi di allarme, ip cam... spesso vecchi di anni e fuori supporto... O sbaglio?

    RispondiElimina
  3. "prepararsi ad aggiornare il firmware dei propri access point"

    saranno disponibili update per tutti i device.
    si, tutti quelli usciti, se va bene, nell'ultimo anno.
    introdurranno modifiche al protocollo (NOTA: questo non è un BUG, è proprio di implementazione) per cui dovranno essere aggiornati anche tutti i client. e nessuno aggiornerà mai i firmware di un cavolo di niente.

    RispondiElimina
  4. Qualcosa è spiegato bene anche su https://www.krackattacks.com

    RispondiElimina
  5. Ho un vecchio router Netgear che non viene aggiornato da secoli e immagino ci siano centinaia di vecchi modelli di disparate marche. Arriveranno anche gli aggiornamenti per questi vetusti router?

    RispondiElimina
  6. Ma quindi è sufficiente aggiornare il device che si connette al router "fallato" per poter essere al sicuro, non bisogna necessariamente aggiornare il modem? Cioè è sufficiente che uno dei due device comunicanti (es., modem e cellulare) sia aggiornato per vanificare la falla?

    RispondiElimina
  7. Andrea: esattamente. Prepariamoci a furti di dati di massa 😑

    Vpn consigliate? Altre soluzioni?

    RispondiElimina
  8. Da quello che è riportato sul sito www.krackattacks.com emerge abbastanza chiaramente che l attaccante deve essere fisicamente vicino alla vittima. Inoltre deve essere più vicino alla vittima di quanto la vittima sia vicina all access point. Questo limita moltissimo i casi pratici. Restano ad altissimo rischio tutti gli access point pubblici, aeroporti, bar ecc. Su quelli casalinghi la vedo più dura, a meno che l attaccante non sia fisicamente dentro casa.

    Si tratta di un ottima arma per un attacco mirato ad una singola persona. Difficile ad uno stato attuale Delle notizie prevedere un attacco di massa sfruttando questa falla.

    RispondiElimina
  9. Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
    https://papers.mathyvanhoef.com/ccs2017.pdf

    Da quello che ho capito vengono attaccati i client, specialmente quelli con Android 6.0

    RispondiElimina
  10. Paolo Attivissimo scrive:
    Le falle non sono realisticamente sfruttabili contro dispositivi Windows

    Gente, preparate i cappotti, domani nevica :-D

    RispondiElimina
  11. Grazie Google per averci dato Android...

    RispondiElimina
  12. A casa non abbiamo Windows ...
    OS principale elementary 0.4 Loki (basato su ubuntu)
    Ore 20:30 ... wpa_supplicant aggiornato !
    All'anima della velocità ...
    Zappa

    RispondiElimina
  13. Anche su Archlinux la falla è già stata tappata. Sono tutte falle "man in the middle", a quel che vedo.
    wpa_supplicant è stato corretto rapidissimamente (versione 1:2.6-11).
    Adesso vedremo i vati dispositivi Android: telefoni, tablet, orologi, Android-TVs...
    E le telecamere?

    RispondiElimina
  14. Microsoft says it already patched KRACK WPA2 Wi-Fi vulnerability
    https://www.windowscentral.com/microsoft-has-already-patched-krak-wpa2-wi-fi-vulnerability

    RispondiElimina
  15. Questo commento è stato eliminato dall'autore.

    RispondiElimina
  16. Mi permetto di dissentire da ciò che scrive DoublePulsar circa l'immunità di Windows. In primo luogo perchè la motivazione che porta è molto fumosa e non esplicativa, in secondo luogo poichè l'organo ufficiale, ovvero CERT, ieri - nel corso della giornata - ha variato la classificazione di Microsoft da "unknown" a "affected".

    Inoltre se Microsoft QUI dichiara di aver risolto la falla, dichiara intrinsecamente che essa esisteva.

    QUI si può verificare l'evolversi delle modifiche alla lista dei vendors.

    RispondiElimina
  17. Ho letto il paper, la situazione è molto peggiore di quella dipinta, non è un problema dei router che fanno esattamente quel che devono, il problema sono le specifiche del protocollo, la parte veramente grave non sono ne i router ne i PC ma sono gli altri apparecchi collegati in WIFI, stampanti e telecamere IP principalmente che non verranno mai aggiornati, e sopratutto vecchi telefonini, (colpito linux wpa_supplicant 2.6+)

    Un attaccante si infila su un canale diverso spacciandosi per l'access point, intercetta il traffico e riesce a farsi autorizzare DAI CLIENT, a seconda dell'implementazione è addirittura possibile ottenere la chiave principale, e nel caso migliore (per noi) intercetta HTTPS e ritrasmette HTTP se il sito non controlla sarà facile persino inserire codice malevolo nel traffico.

    Sarà impossibile per tutti i dispositivi WIFI aggiornarli (sempre che esca un aggiornamento), e ne basterà uno con la chiave memorizzata e l'exploit darà libero accesso alla vostra rete.

    Inviti l'amico a casa che aveva la chiave del wifi, e un attaccante può prendere lui ed entrare nella tua rete, anche se hai aggiornato tutto a casa.
    Nel paper è spiegato in estremo dettaglio cosa fare, non vedo grosse difficoltà per un programmatore, magari le ultime tecniche sono di difficile implementazione ma sono anche quelle poco interessanti.

    Insomma una catastrofe

    RispondiElimina
  18. Quindi? Butto via lo smartphone? Cambio la chiave ogni giorno? Patch manuale su Android?

    RispondiElimina
  19. Una VPN risolve tutto in ogni caso?

    RispondiElimina
  20. C'è qualcosa che non capisco. Se il problema è del protocollo come si aggiorna l'implementazione del protocollo nei dispositivi di rete e parallelamente nei dispositivi lato utente. Se cambia il protocollo da un lato deve cambiare anche dall'altro, altrimenti come dialogano. Oppure il nuovo protocollo deve prevedere anche il dialogo col vecchio e quindi rimane attaccabile.

    RispondiElimina
  21. Riguardo HTTPS e VPN, il traffico con questo protocollo non dovrebbe essere compromesso, si tratta di traffico che viene usato normalmente in reti pubbliche dove chiunque può intercettare i vostri pacchetti.

    Da qualche anno ormai bisogna considerare sempre la possibilità che la propria LAN possa essere compromessa, indipendentemente dal fatto che ci siano exploit noti o meno. Per cui le password dei dispositivi raggiungibili solo da LAN devono sempre essere cambiate da quelle standard. Soprattutto bisogna pensare a come sfuggire ad una scansione automatica perché quella raggiunge tutti, poi se uno deve proteggere dati importanti e teme attacchi penserà a difendersi anche da attacchi mirati.

    @Roberto PNF
    il problema è sorto perché nel protocollo c'è una parte che non è stata ben definita, che riguarda la gestione delle chiavi da parte dei dispositivi che si collegano al router, i client, quando ci sono problemi di trasmissione. Quindi esistono dei comportamenti diversi che i client possono adottare e funzionano tutti ma alcuni di questi permettono questo tipo di attacco. Basta adottare gli altri. Spero di essermi spiegato.

    RispondiElimina
  22. @Roberto PNF
    La spiegazione migliore al tuo dubbio la trovi nelle FAQ pubblicate dallo scopritore delle falle di cui stiamo parlando, al sito www.krackattacks.com. Traduco in italiano per una maggiore fruibilità da parte di tutti:

    ”(…) per fortuna, le implementazioni possono essere corrette in maniera retrocompatibile. Questo vuol dire che un client aggiornato potrà ancora comunicare con un access point non aggiornato,e viceversa. In altre parole, un client o un AP aggiornati continueranno a trasmettere gli stessi messaggi di handshake di prima, e esattamente nel momento giusto. Comunque, gli aggiornamenti di sicurezza faranno sì che una chiave sia installata solo una volta, prevenendo in tal modo il nostro attacco(…)”

    @tutti:
    Catastrofe? Buttiamo tutti gli smartphone? Furti di dati di massa? Piano, piano. Anzitutto, per poter sfruttare queste falle (plurale, sono dieci in tutto...) sono necessari:

    1) un notevole skillset (crittanalisi, programmazione di rete, conoscenza approfondita di WiFi) perché non esistono al momento tool da script kiddie per automatizzare l'attacco,
    2) una notevole determinazione,
    3) l'acquisizione di una posizione di Man in The Middle tra la vittima e l'access point
    4) last but not least, la vicinanza fisica alla rete wifi della vittima (niente hacker da San Pietroburgo)

    senza contare che, a meno di non stare personalmente sulle balle a qualche governo, la criminalità informatica è interessata ai grandi numeri da totalizzare con il minimo sforzo, ed esistono vettori d'attacco molto più facili da sfruttare.

    Inoltre, l'attacco principale dovrebbe essere neutralizzabile, per lo meno in gran parte, aggiornando il client (ok, per chi ha android sono cavoli suoi...). Citando sempre il ricercatore che ha scoperto le falle:
    "For ordinary home users, your priority should be updating clients such as laptops and smartphones"
    Ovviamente, se sono disponibili aggiornamenti al firmware del vostro router, e se sapete applicarli, fatelo.

    Tutti gli altri attacchi o hanno una pericolosità tutto sommato limitata o non sono sfruttabili nella tipica rete domestica (cioè se avete un router solo, e/o non ci avete configurato funzionalità di repeater o fast roaming, e non avete servizi di rete vitali che dipendano dal broadcasting o dal multicasting). La presenza di uno o più client non aggiornati (l'amico in visita di cui parlava qualcuno prima, per esempio), visto che la vulnerabilità principale è sull'attacco crittografico (nonce reuse) a una chiave di sessione e non espone in alcun modo la master key, non dovrebbe fare danni agli altri client anche in caso di un attacco.

    @Enrico:
    In realtà Microsoft è messa meglio di Linux o Android in questo caso proprio perché le falle sono più d'una; all'attacco principale Windows non è vulnerabile perché (cito il paper, sez. 3.2) non implementa correttamente il 4-way handshake, non accettando la retrasmissione del terzo dei 4 messaggi dell'handshake. La non completa adesione agli standard da parte di Redmond non è esattamente una novità :-). Rimane tuttavia vulnerabile a alcuni degli attacchi meno pesanti, da qui la necessità di aggiornare anche i prodotti Microsoft.

    RispondiElimina
  23. @Gianni, concordo con alcune tue affermazioni, meno con altre. Per quanto riguarda linux, wpa_supplicant è stato patchato e rilasciato già nel corso della giornata del 16 ottobre, ad eccezione di OpenBSD il cui sviluppatore - comportandosi in modo molto scorretto - ha rilasciato le patch prima della fine dell'embargo.
    Riguardo all'effettiva difficoltà nell'utilizzare questa vulnerabilità dissento. Il mago che l'ha scoperta (non saprei come altro chiamarlo) ha fissato un tempo massimo entro il quale tutti i vendor dovranno rilasciare gli aggiornamenti, dopo di chè rilascerà i suoi script (lo ha dichiarato apertamente sul sito che citi). Guardando il video che ha pubblicato, fa uso di due o tre script python. Li ha scritti lui e sono belli e pronti (il guru servirebbe invece se gli script dovessero venir scritti da zero basandosi sulla whitepaper). Sappiamo benissimo tutti che il team di Kali Linux dedicherà un'upgrade a questi script, dopo di chè spunteranno come funghi i video tutorial su youtube su come eseguire l'exploit.
    Certo, nella stragrande maggioranza dei casi verrà solo sniffato il traffico in chiaro tra un solo client e l'AP (più riduttivo di quanto si possa fare in qualsiasi aeroporto, MC Donalds o vagone delle Frecce, dove le reti non sono cifrate), ma questo verrà fatto con facilità da qualsiasi ragazzino non skillato ma avvezzo a seguire i video-tutorial.
    Il MitM non è così difficile da perseguire: quando si tratta di wireless non è necessario trovarsi fisicamente "in the middle", ma spesso è sufficiente dotare il proprio "arsenal" di un client wireless usb esterno da 2000 mW, che trovi su ebay a metà del corrispondente della paghetta settimanale media di un quindicenne.
    Onestamente non sottovaluterei il problema, perchè ci sono molti aspetti da considerare, al di là del mero aspetto tecnico.
    Vedi, un giorno il WEP è stato dichiarato insicuro, e prima che arrivasse il WPA in qualche ora avevi accesso totale alla rete (sniffavi e potevi anche registrarti e navigare). Ora si viola il WEP in meno di un minuto, grazie alla diffusione di nuovi exploit banali da usare, mi pare ci sia pure un'app per Android. Erano altri tempi e gli smartphone praticamente non esistevano, si usava ancora molto la rete cablata, così il "mercato" di "vittime" era molto ristretto. Quello che succede oggi con WPA2 è esattamente ciò che è successo con il WEP allora, ma i tempi sono molto cambiati: ognuno di noi ha in tasca uno smartphone che quando arriva a casa si connette all'AP. Tutte le cose "non di lavoro" le facciamo con lo smartphone, dal divano, dal letto o dal "trono".
    Bene, lo smartphone Android è la cosa meno sicura che abbiamo ed è quella che tarderà di più ad essere messa in sicurezza, poichè le release degli aggiornamenti non sono centrali ma delegate ad ogni produttore che utilizza questo sistema operativo, e sappiamo bene con che fretta i produttori aggiornano l'ultimo modello, figuriamoci quelli obsoleti...
    Sposterei quindi il focus dal dettaglio tecnico-filosofico a quello più pratico: i PC e gli AP sono ormai stati messi in sicurezza. Cosa rischiamo che accada mentre aspettiamo l'aggiornamento per il nostro smartphone? E se questo ha un paio d'anni, l'aggiornamento arriverà? E se non arriva?
    Nel frattempo Mathy Vanhoef avrà rilasciato gli script, Kali li avrà integrati, qualcuno li avrà migliorati e l'exploit sarà diventato più rapido e potente.
    Non dico di disperarsi, ma di evitare di sottovalutare, soprattutto spergiurare di dimenticare il problema se per lungo tempo non l'avremo risolto su tutti i dispositivi Android.

    RispondiElimina
  24. Per l'ennesima volta ci saranno milioni di smartphone perfettamente funzionanti da cambiare perché i produttori non li aggiornano. Come per la falla del bluetooth di qualche settimana fa.

    RispondiElimina
  25. @Enrico:
    Tranquillo, con le falle di WEP ci ho giocato anche io, ai tempi, e poi me le sono studiate all'università :-). E le falle di WEP sono molto, ma molto, più gravi di KRACK, anzitutto per il fatto che WEP era pieno di errori, anzi orrori, in maniera irrecuperabile, mentre WPA2 no. Fare confronti non è corretto.

    Sì, ho notato "gli" script python nel video (in realtà quello mostrato è uno solo, un altro è uno script di shell che configura il routing per la vittima sul rogue AP, e il terzo è sslstrip che in Kali già c'è da un pezzo), e penso che stia un po' barando, nel senso che la difficoltà principale di questo attacco qui manca (la crittanalisi), grazie a un incredibile bug di wpa-supplicant dalla versione 2.4 alla 2.5: l'utilizzo di una TK all zeroes oltre al nonce reuse, che rende banale l'acquisizione del traffico. Vulnerabilità risolta con l'ultima patch, almeno sui pc, ma figuraccia fatta, per non parlare del danno che continuerà a colpire gli androidiani per un bel po'.

    Un tweet recente di Steven Bellovin dice più o meno: when assessing the impact, I care a lot more about the threat model: who can get you. La falla principale, e l'unica che interessa l'utente casalingo (io, o te, seduti o meno sui rispettivi "troni"), è difficile che venga sfruttata, non solo perché al momento non è alla portata degli script kiddie, ma anche perché ai pirati informatici non gliene frega una beneamata dei tuoi dati di navigazione, o meglio, hanno tali e tante possibilità alternative di raggiungere quegli stessi dati che non si imbarcano certo nella fatica di fare wardriving con il portatilino e l'antenna comprata su ebay, quando uno può rimanersene sul suo, di trono, a sparare zero day via mail o via siti web compromessi. Magari non becca te o me, ma non sei tu, non sono io quello che stanno cercando. Questi preferiscono pescare a strascico, per lo stesso motivo per cui lo fanno i pescatori di frodo: si prendono più pesci, con meno fatica.

    E se invece fossi un target per qualcuno di alto livello, beh, anche qui le possibilità di far male sono tante e tali, che francamente KRACK non sarebbe al culmine delle mie preoccupazioni, se mi trovassi in tale situazione.

    Sulla (in)sicurezza deplorevole di android, sono così d'accordo con te che con il mio ci faccio, da sempre, il minimo indispensabile, e grazie al dottor Vanhoef, adesso solo da rete cellulare e non da wifi :-).

    Ah, lasciami stare Theo de Raadt (il not-so-benevolent-dictator-for-life di OpenBSD) se no litighiamo :-)))


    RispondiElimina
  26. @Gianni, la mia preoccupazione riguarda unicamente coloro i quali si metteranno a giocare con gli script KRACK che verranno fuori a breve, e resto dell'idea che il loro utilizzo non richiederà grandi skill. E' tutto corretto ciò che dici, ma c'è chi pesca - anche di frodo - per vendere il pesce, e ne pesca tanto, e chi lo pesca dilettantisticamente - anche di frodo - per mangiarselo. Una piccola rete la puoi calare anche con una piccola barchetta non immatricolata, non serve un peschereccio. ;-)

    Concordo con te sul fatto che le vulnerabilità WEP e WPA2 non sono confrontabili sul piano tecnico, infatti non le ho confrontate su quel piano. Semplicemente ho osservato che allora c'erano meno vittime da colpire perchè il wireless come tecnologia non era diffuso come oggi e non lo erano nemmeno gli smartphone.

    Non confronto il terremoto del Friuli del '76 (6.5 Richter) con quello dell'Aquila del 2009 (6.3 Richter). So bene che nonostante intensità molto simili, il Friuli fece 990 vittime mentre l'Acquila ne fece 309, meno di 1/3. La differenza sta principalmente nelle tipologie di costruzioni presenti nel territorio colpito e nei consolidamenti antisismici perseguiti nell'arco di quei 33 anni (la densità di popolazione, sarebbe il fattore più determinante in assoluto, non lo menziono perchè è pressochè la medesima).
    Non puoi confrontare tecnicamente i 2 terremoti, ma puoi dire che hanno avuto simili conseguenze: case crollate, persone nelle tende, economia locale distrutta, lavori di ricostruzione. E puoi dire che le dimensioni delle conseguenze sono state diverse,
    analizzandone le relative motivazioni.

    Questo è quello che ho fatto con WEP e WPA2: fenomeni della stessa natura (falle nel wireless), questa volta con intensità diverse (difficoltà nel tipo di attacco, punto che rende il fatto meno grave), ma con una "densità di popolazione" fortemente aumentate (diffusione di wifi e smartphone, punto che rende il fatto moooolto più grave). Non mi chiamo Gartner e non faccio analisi di numeri e previsioni, ma credo che per colpa di Android le conseguenze - dello stesso tipo - potrebbero avere intensità molto maggiori.

    Riguardo al OpenBSD io voglio bene al SW libero, lo uso nel quotidiano e uso solo quello, sono anche co-fondatore di un LUG, ma lasciami fare una considerazione: OpenBSD è il sistema più sicuro al mondo, su cui si basano suppongo il 95% dei sistemi operativi firewall open e non.
    Il difetto che ha è la sua monarchia: comanda una persona sola. Sotto alcuni aspetti questo è il segreto della sua sicurezza e robustezza (molti progetti open sono talmente open che diventano anarchici e l'anarchia è anche sinonimo di disordine, che in informatica è il male assoluto), sotto altri aspetti è l'origine della sua natura borderline che sfocia in una sgradevole presunzione, ovvero quella del suo unico padre. E' vero, è brillante, è un genio, ha sfondato, ha spopolato, ma questo non credo sia sufficiente a non rispettare le regole di una comunità (il mondo informatico intero, ovvero gli altri vendor) traendone un vantaggio irrisorio, al limite del ridicolo. Anzi, ridicolo.

    RispondiElimina
  27. Leggendo su un blog di android sembra che Google dovrebbe rilasciare una patch per i Nexus e Pixel il 6 novembre. Forse le major stanno già lavorando per patchare i propri top di gamma come Apple, ma si auspica che venga anche sviluppata un'app sul Play Store per tutti gli altri.

    Se possibile, aggiungo io.

    Intanto si consiglia di disattivare il WiFi pressochè ovunque, soprattutto nei locali con WiFi pubblici.

    Negli android da Marshmallow in su si dovrebbe poter disabilitare le autorizzazioni singole app per app. Alcune smetteranno di funzionare, ma sempre meglio che trovarsi rediretti su siti malevoli.

    Leggo anche che le VPN non sono tutte sicure. Per averne una buona bisogna pagare.

    Non ho notizie del servizio https everywhere.

    RispondiElimina

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine mobile