WPA2 – nuove vulnerabilità “by design”

logo-smallSi è diffusa ieri una notizia allarmante su vulnerabilità relative al protocollo WPA2, base di gran parte dei sistemi WiFi casalinghi e aziendali.

La particolarità di queste vulnerabilità è che non sono proprie di uno specifico dispositivo o software – anche se più facilmente sfruttabili su sistemi Linux o Android – ma sono relative alle specifiche funzionali del protocollo.

Si tratta quindi di un problema di “progettazione”, che potenzialmente affligge ogni dispositivo che implementi WPA2, sia in modalità personal sia in modalità enterprise.

Le problematiche – già battezzate come KRACK attacks – sono relative alla possibilità di forgiare pacchetti ad hoc a forzatura dell’handshake a 4 vie svolto in fase di connessione alla rete/rinegoziazione chiavi.

La possibilità – per un soggetto attaccante – è quella di intercettare il traffico di rete, pur senza conoscere la pre-shared key utilizzata per l’autenticazione fra Access Point e client.

Su questo sito, sono presenti ulteriori dettagli.

Si raccomanda a tutti gli utenti:

  • di verificare la disponibilità – sui siti dei vendor di sistemi wifi – degli aggiornamenti  di sicurezza relativi a tale problematica
  • di procedere quanto prima all’installazione di tali aggiornamenti
  • di disattivare eventuali dispositivi legacy o reti WiFi non utilizzate
  • di aggiornare il pacchetto WPA_suplicant su sistemi Linux
  • di procedere all’aggiornamento dei sistemi Android appena sarà rilasciata la patch

In linea generale è sempre utile utilizzare traffico cifrato anche nelle comunicazioni WiFi (es. via https o vpn), così da limitare il rischio di intercettazione dei dati.

Di seguito le relative vulnerabilità catalogate tramite Common Vulnerabilities and Exposures (CVE):

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Attacchi ramsonware “Wanna Cry”

Attacchi ramsonware “Wanna Cry”

In questi giorni è iniziato un attacco worm/ramsonware senza precedenti, che ha colpito diversi sistemi a livello mondiale, con segnalazioni di 99 Paesi colpiti e oltre 200.000 macchine infettate, fra cui università, ospedali, grandi aziende (es. Renault).

Il responsabile di questi attacchi è un software denominato “Wanna Cry”.

Un utente riceve la classica mail di phishing, contenente un allegato zip che pare innocuo. L’allegato può essere ricevuto anche in presenza di sistemi antivirus legati alla posta, se le definizioni (database con indicazione di tutti i virus in circolazione) non sono state adeguatamente aggiornate.

Involontariamente lo apre e infetta la propria macchina. A quel punto il virus si preoccupa di cercare in rete altre macchine Windows non aggiornate, che non siano protette da una vulnerabilità evidenziata da Microsoft il 14 marzo scorso denominata MS17-010, accessibile tramite questo link.

Tale vulnerabilità riguarda la possibilità di esecuzione codice remoto su un sistema Windows tramite protocollo SMB 1.0.

Vista la particolarità e criticità di questa problematica, Microsoft ha rilasciato aggiornamenti anche su sistemi XP e Server2003 (non più supportati dal produttore).

Parallelamente inizia la cifratura dei file in rete, e al termine dell’attività chiede “un riscatto” di 300 $ (ora portato a 600$), da pagarsi tramite bitcoin.

0a7da9f4ca7b0fbbbe419db6a4a61416

L’attacco sembra sia stato solo rallentato con un escamotage, ma non bisogna illudersi e considerare risolta la problematica; presumibilmente nel giro di alcuni giorni avremo una nuova versione del virus che non subirà tale rallentamento.

Le modalità di protezione sono le seguenti, comuni a molte altre problematiche di security aziendale:

  • mantenere sempre aggiornati i sistemi server
  • attivare e manutenere i sistemi di filtering della posta (antispam, antivirus, antiphishing) e in generale del traffico di rete
  • formare gli utenti sul corretto utilizzo dei client di posta e sulle attenzioni da porre prima di aprire un allegato
  • bloccare tutti i servizi non utilizzati, relativi a protocollo SMB nello specifico ma in generale a qualunque servizio esposto non necessario e/o non adeguatamente protetto.
  • monitorare i sistemi per evidenziare comportamenti anomali (es. macchina che effettua eccessivo traffico di rete e/o che accede a un numero di file superiore alla norma)

La CERT-PA ha erogato un documento di linee guida, accessibile qui

Ma chi spia chi?

c_116_articolo_12894_articolo

Durante la seconda guerra mondiale e successivamente nel periodo della guerra fredda – fra CIA, MI5, MI6, KGB, e similari – abbiamo potuto leggere davvero tante storie più o meno veritiere relative ad azioni di spionaggio e controspionaggio.

Da un punto di vista dei comuni cittadini, le situazioni di guerra (calda o fredda che sia) hanno un aspetto che le accomuna: si sa sempre chi è il “cattivo”, il “nemico” da affrontare… anche se, da un punto di vista storico, i dettagli di quello che è successo veramente e i ruoli delle persone impegnate nei conflitti sono ancora molto controversi e in fase di analisi.

Tornando a oggi e leggendo articoli di stampa di fine luglio, viene citato un presunto hackeraggio ai danni di NSA, che – a ben approfondire – ha risvolti piuttosto inquietanti.

Intanto ci domandiamo: “chi è l’NSA”?

Per rispondere in poche righe, ci viene in aiuto Hollywood; citiamo l’esperto di security Martin Bishop (Robert Redford) in “I signori della truffa”, mentre dialoga con un falso agente NSA:

Falso Uomo NSA: Ente per la Sicurezza Nazionale.
Bishop: Ah… siete quelli che sento respirare ogni volta che alzo il telefono?
Falso Uomo NSA: No! Quella è l’FBI. Noi curiamo la sorveglianza interna.
Bishop: Ah certo, voi vi limitate a sfasciare governi e ad installare dittature.
Falso Uomo NSA: No! Quella è la CIA. Noi proteggiamo le comunicazioni del governo, decifriamo i codici degli altri. Noi siamo buoni, Martin.

L’NSA (National Security Agency) è probabilmente la più grande agenzia governativa americana, con uno stanziamento fondi pari a 10 volte quello della più rinomata CIA (Central Intelligence Agency). Si occupano insomma di monitorare quello che succede nell’ambito delle comunicazioni interne al paese o che riguardano il paese USA stesso.

Da anni si sospetta che l’NSA operi intercettando quanto viaggia su linee analogiche e digitali, e si hanno registrazioni video di presunte sostituzioni di firmware su grandi dispositivi di navigazione (router/switch/firewall), modifiche atte ad acquisire copia di quello che transita sulla rete.

Quanto è successo negli scorsi giorni è piuttosto imbarazzante e preoccupante; non è stata hackerata l’NSA, ma pare che siano stati hackerati gli hacker di NSA.

Un gruppo hacker denominato “Shadow Brokers” ha messo all’asta (ovviamente su piattaforme protette) i tool di spionaggio usati da “Equation Group” e, indirettamente, i dati acquisibili da tali sistemi.
Il prezzo? Un affarone, solo un milione di BitCoin (571 milioni di dollari al cambio odierno).

I tool sono datati 2013, magari saranno anche vecchiotti… ma a quel prezzo, come resistervi?

A parte facili battute, la cosa inquietante è che l’Equation Group è o dovrebbe essere un team – emanazione del NSA – che si occupa del lavoro di intercettazione vero e proprio, rinomato per l’elevatissima capacità tecnica e sociale dei propri membri.
Pare che gli Shadow Brokers possano essere invece legati al governo Russo.

E il 16 agosto scorso Snowden (il personaggio principe del famoso DataGate) – subito accusato di essere in combutta coi Russi – ha affermato che le informazioni in vendita sono reali.

Sulla veridicità dei dati pare non ci siano dubbi: anche il dott. Emm della Kaspersky Lab ha confermato l’autenticità dei tool distribuiti da Shadow Brokers.

Si respira quindi nuovamente clima da film Hollywoodiani anni ’80.

Tornando a parlare di  dati verificabili e di comune responsabilità, due aspetti sono interessanti a nostro avviso:

  • anche chi si crede al top dal punto di vista della sicurezza informatica, non è al sicuro da attacchi, compromissioni, furti dati.
  • la sicurezza delle informazioni su Internet è – al momento – una chimera. E’ quindi fondamentale decidere consapevolmente cosa affidare e cosa non affidare alla Rete.

Concludiamo citando un altro pezzettino di quel bel film (sarcastico) che è “I signori della truffa”:

Erwin “HI-FI” Emory: Io voglio pace in Terra per gli uomini di buona volontà.
Bernard Abbot (NSA): Noi siamo il Governo degli Stati Uniti d’America. Non facciamo queste cose!

 

Contattaci