Le reti Wi-Fi sono nate nei primi anni 2000 e sono oggi diventate largamente diffuse. La normale operatività casalinga ed aziendale spesso prevedere l’uso di Wi-Fi sia per dispositivi legacy (PC) che per dispositivi votati al mobile (smartphone, tablet ecc). A differenza delle reti con connessioni fisiche, il mezzo trasmissivo utilizzato è, per sua natura, condiviso: il segnale radio si propaga nell’etere. Questo rende il mezzo di per se insicuro, poiché chiunque potrebbe accedere alle reti informatiche altrui o effettuare uno sniffing (cattura di pacchetti) per sottrarre informazioni riservate. Per risolvere queste problematiche, fin dalla loro implementazione, i dispositivi Wi-Fi implementano dei meccanismi di sicurezza per garantire sicurezza e riservatezza. Negli anni si sono susseguiti diversi protocolli: WEP-WPA-WPA2. I protocolli più recenti vengono rilasciati per superare le limitazioni di quelli precedenti e ad oggi il protocollo di sicurezza/crittografia maggiormente utilizzato è WPA2

Vulnerabilità WPA2 e KRAKATTACK

WPA2 è stato introdotto nel 2006 ed è oggi il sistema di crittografia più robusto disponibile sul mercato. Recentemente è stata riscontrata una grave vulnerabilità WPA2 che consente ai malintenzionati di condurre un attacco ed inserirsi nello scambio di messaggi AP/Clients del protocollo WPA/WPA2. In questo modo è possibile manipolare le chiavi di crittografia, consentendo quindi di violare la riservatezza della rete. Tutti i produttori stanno rilasciando delle patch per i vari dispositivi  per mitigare questo tipo di attacco: si tratta di una vulnerabilità estremamente pericolosa se consideriamo la quantità di dati che vengono scambiati tramite WiFi. Basta infatti considerare quanti e quali dati sono contenuti sui nostri dispositivi personali/aziendali per rendersene conto.

Cosa fare adesso?

Per tutelarsi da questo tipo di attacco è necessario verificare ed installare gli aggiornamenti firmware dei propri dispositivi WiFi: vanno aggiornati gli Access Point e Router con funzionalità WiFi. Per tutelare la riservatezza quando si usano reti WiFi che non sono di propria amministrazione e controllo è necessario installare le patch di sicurezza dei sistemi operativi dei dispositivi mobili: Android, IOS e Windows hanno già rilasciato le relative fix.

Come posso risolvere le vulnerabilità WPA2 della mia rete?

I protocolli WPA/WPA2 implementano in realtà due meccanismi diversi per negoziare la chiave di crittografia:

• WPA/WPA2-PSK: Basato sulla conoscenza di una chiave precondivisa comune (Pre Shared Key) è il metodo principalmente utilizzato in ambito casalingo, ma è spesso presente anche in ambito aziendale. E’ il metodo più semplice da implementare, ma è vulnerabile agli attacchi di tipo brute force
• WPA/WPA2-Enterprise: Basato su un robusto meccanismo di autenticazione con credenziali o certificati digitali dedicati per utente. E’ più complicata da implementare perché prevede l’impiego di un server di autenticazione ausiliario al normale sistema di Access Points ma supera parte delle vulnerabilità WPA2 note.

Per l’uso casalingo si consiglia di aggiornare sempre i firmware dei propri dispositivo e nel caso di PSK è buona norma utilizzare una chiave condivisa complicata. In ambito aziendale si consiglia l’implementazione di autenticazione WPA2-Enterprise per gli utenti abituali ed utilizzare eventuali meccanismi PSK solo per quelle reti destinate all’utilizzo di utenti transitori (ospiti).

Come posso rendere sicura la mia rete?

Il team di ELMI è in grado di fornire la consulenza necessaria ed effettuare un’analisi della vostra attuale implementazione di rete, cablata e WiFi. Vi aiuterà a:

• individuare eventuali criticità e risolverle
• implementare meccanismi di autenticazione di accesso alla rete
• suddividere la rete in vlan isolando gruppi di lavoro o ambiti di utilizzo.

Vi aiuterà inoltre a gestire la vostra sicurezza interna tramite la definizione di policy ed esterna tramite la definizione di regole e meccanismi di analisi sui firewall perimetrali.