2017/10/20

Panico per Wi-Fi insicuro? Da ridimensionare

Se ne parla ovunque da qualche giorno: come ho già segnalato, è stato scoperto che il WPA2, il protocollo di sicurezza che protegge abitualmente le connessioni Wi-Fi contro le intercettazioni, ha una serie di falle gravi che sono state denominate KRACK. Queste falle consentono di intercettare dati sensibili, come per esempio le password usate per collegarsi ai siti, e riguardano praticamente tutti i dispositivi digitali di ogni marca dotati di Wi-Fi: televisori “smart”, router Wi-Fi, smartphone, computer. Ma non è il caso di farsi prendere dal panico.

I fabbricanti di dispositivi, infatti, sono stati avvisati a luglio scorso dai ricercatori che hanno scoperto le falle e quindi quelli diligenti hanno già distribuito gli appositi aggiornamenti di sicurezza. Trovate qui una chilometrica lista di produttori di software vulnerabili e aggiornati: Apple, Microsoft, Linux, iOS e Android sono tutti coinvolti, ma hanno già distribuito gli aggiornamenti o li stanno per distribuire (eccetto quelli per i vecchi dispositivi Android, che è comunque il caso di cambiare per molte altre ragioni).

Un attacco basato su KRACK, inoltre, funziona soltanto se la vittima si collega a un sito usando HTTP (connessione non cifrata); se usa HTTPS, come avviene ormai in molti siti e soprattutto quando si digita la password di accesso, questo attacco non è possibile. Lo stesso vale se usate una buona VPN.

Ma il limite più importante di KRACK è che è sfruttabile soltanto se l’aggressore è nel raggio di azione della rete Wi-Fi usata dalla vittima. Questo rende impraticabili gli attacchi a distanza fatti a casaccio e in massa, che sono il metodo preferito dai criminali informatici. In altre parole, l’aggressore dovrebbe avercela proprio con voi: questo non capita molto spesso, e comunque si risolve usando le già citate connessioni cifrate (HTTPS e VPN).

Ci sono anche altre limitazioni che rendono KRACK difficile da sfruttare, ma quello che conta è che se aggiornate il software dei vostri principali dispositivi siete sostanzialmente al sicuro da KRACK. Il vero problema è fare l’inventario di tutti i dispositivi che usano il Wi-Fi: rimboccatevi le maniche e preparatevi a dedicare un po’ di tempo a questa magagna.


Fonti: Graham Cluley, Ars Technica, F-Secure, The Register.

7 commenti:

  1. "i vecchi dispositivi Android": qui si parla di qualunque cosa prodotta non oltre il 2015 e buona parte di quelli prodotti nel 2016, non di anticaglie con Gingerbread... ed in generale tutta la fascia medio/bassa, nella fascia alta almeno c'è qualche speranza (anche se perfino i pixel avranno aggiornamenti di sicurezza per 3 anni...). Se non è consumismo questo... e quindi io mi difendo con VPN e HTTPS, e buona notte, del mio traffico nulla di importante gira su connessione non cifrata

    RispondiElimina
  2. Se non ho capito male (se scrivo corbellerie correggetemi!) il protocollo WPA2 dovrebbe proteggere la connessione tra l'apparato (PC, telefono ecc.) ed il router. Dal router in poi invece le informazioni non viaggiano crittografate (salvo uso di VPN o HTTPS).

    D'altra parte se io mi invece connetto con un cavo (es. ethernet o ADSL) anziché col wi-fi non ho la protezione del WPA2 ma ho il vantaggio che le informazioni non viaggiano nell'etere ma nel cavo, quindi l'eventuale intruso dovrebbe fisicamente accedere al cavo.

    Quindi, perdere la protezione del WPA2 per via di questo KRACK è in qualche modo simile a connettersi con un cavo, con la differenza che all'intruso basta essere nei paraggi e non fisicamente connesso allo stesso cavo. Quindi se le cose stanno così diventa "pericoloso" connettersi in luoghi pubblici (aeroporto, starbucks o simili) dove un malintenzionato può facilmente introdursi inosservato mentre connettermi alla mia rete di casa rimane relativamente sicuro, a meno che i miei vicini di casa siano degli hacker impiccioni. Dico bene?

    RispondiElimina
  3. Circa. Ma io continuo a essere "preoccupato" dal fatto che il mio smartphone non verrà aggiornato e che di fatto nessun produttore prende il problema sicurezza sul serio.

    RispondiElimina
  4. Riporto qui il commento già lasciato nell'altro articolo:

    Leggendo su un blog di android sembra che Google dovrebbe rilasciare una patch per i Nexus e Pixel il 6 novembre. Forse le major stanno già lavorando per patchare i propri top di gamma come Apple, ma si auspica che venga anche sviluppata un'app sul Play Store per tutti gli altri.

    Se possibile, aggiungo io.

    Intanto si consiglia di disattivare il WiFi pressochè ovunque, soprattutto nei locali con WiFi pubblici.

    Negli android da Marshmallow in su si dovrebbe poter disabilitare le autorizzazioni singole app per app. Alcune smetteranno di funzionare, ma sempre meglio che trovarsi rediretti su siti malevoli.

    Leggo anche che le VPN non sono tutte sicure. Per averne una buona bisogna pagare.

    Non ho notizie del servizio https everywhere.

    RispondiElimina
  5. (eccetto quelli per i vecchi dispositivi Android, che è comunque il caso di cambiare per molte altre ragioni)

    Tra l'altro subentrerebbe il discorso del cinismo di far pagare centinaia di euro (quasi come, se non come, un computer) dispositivi che poi dopo 2/3 anni sono vecchi e vanno cambiati quasi per forza.

    Comunque sei sicuro che solo i vecchi dispositivi Android non si aggiornano? e i vecchi(ssimi) Iphone - Blackberry - Windowsphone - Sailfish ecc...?

    RispondiElimina
  6. ConteKofflo,

    riassunto corretto.

    E' corretto dire che la problematica KRACK va certamente affrontata in ambienti pubblici, mentre è quasi 'irrisoria' (uso ler virgolette eh?) in ambito abitativo per diverse questioni: portata dei dispositivi casalinghi, interesse dell'attaccante, etc...

    Certamente potrete, sui vostri dispositivi, regolare la portata da configurazione affinché 'sfori' il perimetro il meno possibile, specie per chi sta in appartamento. Il mio primo vicino è a 100 metri e non sa nemmeno cos'è Internet...

    Ma detto questo, voi prima di KRACK usavate la rete del McDonald per fare un bonifico da smartphone???

    RispondiElimina
  7. Chi ha i vecchi smartphone Samsung (SII, SIII, S4, etc) che da anni non vengono più aggiornati dalla casa madre può farli ringiovanire e renderli sicuri con le ROM di LineageOS (progetto che eredita gli sviluppatori della defunta Cyanogenmod).
    Infatti usando questa ROM (o anche meglio le sue derivate ResurrectionRemix e XenonHD) si possono aggiornare i vecchi Samsung (e molti altri) all'ultimo Android. Oltre a diventare sicuri tornano anche performanti. Io sto ancora usando un SIII acquistato 5 anni fa che oggi va più veloce con Android Nougat (Resurrection Remix) che non quando era nuovo con il software originale Samsung (aggiornato fino ad Android 4.4 Kitkat). Anche la batteria dura di più con RR che non con il software originale. Naturalmente gli sviluppatori hanno già implementato la patch per la falla di cui stiamo parlando (qui l'annuncio su Twitter)
    Se avete un vecchio smartphone buttato in un cassetto magari potete farci un pensiero...

    RispondiElimina

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine mobile