Caso KRACK: quali sono i rischi e come proteggersi


La notizia delle vulnerabilità dei collegamenti Wi-Fi ha scatenato il panico tra gli utenti. Ecco come evitare gli attacchi.

Dopo aver letto la notizia che il protocollo Wi-Fi ha un bug che consente ai pirati di intercettare le nostre comunicazioni, la prima domanda è: come fare per evitare di finire vittima di un attacco?

La risposta varia a seconda della situazione in cui ci troviamo. Come sottolinea Jarno Niemelä di F-Secure, per essere vittima di un attacco con KRACK è necessario che sia l’access point che il dispositivo che stiamo usando siano vulnerabili all’attacco.

Questo significa, in primo luogo, che se il modem-router a cui ci colleghiamo è stato aggiornato, non c’è rischio. Questa condizione è facile da verificare per il nostro dispositivo di casa (ma in ogni caso è consigliabile usare il collegamento via cavo ethernet ogni volta che è possibile) ma un po’ meno quando ci colleghiamo a un hot spot pubblico in mobilità.

Più facile, quindi, garantirsi attraverso la verifica della vulnerabilità del dispositivo che stiamo usando. Chi usa Windows per una volta può stare tranquillo. Microsoft ha infatti corretto il problema negli aggiornamenti resi disponibili lo scorso 10 ottobre.

Per quanto riguarda Apple, la patch è inserita nelle beta di macOS, iOS, tvOS e watchOS, ma nulla si sa riguardo i router della serie AirPort. Questo significa che fino al rilascio di iOS 11.1 (previsto per il 3 novembre) i dispositivi mobili Apple saranno vulnerabili all’attacco.

Come abbiamo spiegato in un articolo precedente, invece, i device più a rischio sono i computer con Linux, i dispositivi IoT, gli smartphone e i tablet Android.

Per Linux gli sviluppatori si sono mossi rendendo disponibili le nuove versioni di wpa_supplicant (il componente incriminato) immuni all’attacco.

Per Android, invece, non si sa ancora nulla e bisognerà aspettare l’aggiornamento da parte di Google e (al solito) dagli altri produttori.

KRACK Wi-Fi

I rischi maggiori si corrono quando ci si collega a una rete Wi-Fi in un luogo pubblico. In queste condizioni non possiamo sapere se l’acces point sia vulnerabile ed è più probabile che nell’area d’azione ci sia qualcuno intenzionato ad attaccarci.

In definitiva, quindi, numerosi utenti resteranno “scoperti” per un po’ di tempo e il rischio che qualcuno possa sfruttare la vulnerabilità per portare attacchi è concreta.

Detto questo, è bene considerare quali sono i reali rischi. Come fa notare F-Secure nel suo commento, KRACK è in grado di mettere a rischio (e nel caso di Linux e Android disintegrare) la protezione crittografica dei dati su Wi-Fi. Per fortuna, però, se i dati in questione sono protetti da altri livelli di crittografia il problema non assume contorni preoccupanti.

Se il collegamento con un sito Internet è gestito tramite protocollo HTTPS, per esempio, l’eventuale pirata che dovesse usare KRACK per aggirare la protezione crittografica di WPA2 si troverebbe con in mano un malloppo di dati…. crittografati con HTTPS.

Purtroppo ci sono molti siti e servizi che ancora non usano HTTPS e tecniche di attacco che potrebbero sfruttare eventuali falle per “dirottare” il protocollo sul meno sicuro HTTP.

Chi utilizza una VPN, invece, può stare tranquillo. Le Virtual Private Network, infatti, usano un sistema di crittografia per i dati inviati che non ha nulla a che fare con WPA2 e, in questo caso, tutti i dati sarebbero ragionevolmente al sicuro.

Attenzione, però: secondo Jarno Niemelä, i pirati potrebbero adottare uno stratagemma per aggirare anche questa protezione, bloccando il traffico protetto nella speranza che di riuscire a indurre le potenziali vittime a disattivare la VPN.

Il suggerimento, quindi, è semplice: se vi trovate su una rete Wi-Fi in cui la VPN non funziona, rinunciate a navigare. Il rischio è che qualcuno stia aspettando il momento giusto per sniffare le vostre comunicazioni.



Articoli correlati

Altro in questa categoria


Microsoft hackerata nel 2013. “Violato database con segnalazioni dei bug”


Un gruppo di hacker avrebbe messo le mani sulle informazioni riguardanti vulnerabilità e falle di sicurezza. Ma lo si scopre solo adesso…

Nel 2013 si sarebbe verificata un’intrusione nei sistemi di Microsoft che l’azienda avrebbe tenuto segreta. A rivelarlo è Reuters, che in un articolo riporta la testimonianza di cinque ex-dipendenti di Satya Nadella che hanno raccontato i dettagli della vicenda.

A rendere particolarmente inquietante la notizia è il fatto che gli hacker sarebbero riusciti ad accedere a un database piuttosto delicato: quello che contiene le segnalazioni di bug e falle di sicurezza e viene usato per tenere traccia dei progressi nella loro correzione.

Perché si tratterebbe di materiale particolarmente sensibile? Per capirlo è necessario entrare per un attimo nell’ottica di un cyber-criminale o di un agente segreto specializzato in guerriglia informatica.

Ci sono due tipi di vulnerabilità che i pirati informatici sfruttano per i loro attacchi: quelle conosciute e le cosiddette zero-day, le falle di sicurezza che nessuno aveva ancora individuato.

Com’è naturale, le seconde rappresentano una minaccia maggiore delle prime, dal momento che i produttori non hanno ancora predisposto gli aggiornamenti per correggerle e gli utenti, di conseguenza, sono indifesi nei confronti di eventuali attacchi.

Trovare una vulnerabilità zero-day però non è così facile e solo gruppi di cyber-criminali molto abili o legati alle agenzie di intelligence riescono di solito a procurarsele, spesso pagandole fior di euro.

Per quanto riguarda le vulnerabilità conosciute, il discorso è diverso. Per un pirata informatico è molto più facile mettere a punto un attacco quando sa esattamente quale sia il punto debole sul quale fare leva e, in alcuni casi, è possibile trovare anche il codice già pronto per farlo.

Qui però entra in gioco un altro aspetto: il fattore tempo. Dal momento che le falle di sicurezza vengono (normalmente) rese pubbliche solo quando è già disponibile una patch che le corregge, per sfruttare questo tipo di falle i pirati possono contare su una finestra temporale piuttosto ridotta: quella tra il momento in cui viene pubblicata la vulnerabilità e il momento in cui le potenziali vittime installano l’aggiornamento.

Mettendo le mani su un database come quello di cui stiamo parlando, che contiene cioè le segnalazioni riguardanti bug e possibili falle di sicurezze, i cyber-criminali hanno a disposizione una vera miniera d’oro: potenziali vulnerabilità che non sono ancora state studiate a fondo e per le quali non è disponibile un rimedio.

Microsoft hackerata 2013

Immaginate cosa possa significare per un pirata informatico mettere le mani su queste informazioni prima che siano rese pubbliche e prima ancora che sia disponibile una patch…

Insomma: l’utilizzo di quelle informazioni permette di mettere ea punto strumenti di attacco con la stessa facilità di quando si lavora con vulnerabilità conosciute, ma ottenendo la stessa efficacia di uno zero-day.

Per giunta, l’attacco è stato portato da Wild Neutron, uno dei gruppi di pirati informatici più pericolosi in circolazione. Stando a quanto riporta Reuters, gli hacker avrebbero fatto breccia nei sistemi Microsoft sfruttando una falla di Java, attraverso la quale avrebbero ottenuto l’accesso (pronti a ridere?) ai computer Mac presenti in azienda, passando poi al resto della rete.

Dalle parti di Redmond, quindi, si devono essere resi conto immediatamente di avere tra le mani una bella gatta da pelare. Come reagire all’attacco? Rendere pubbliche le vulnerabilità consentendo ai propri utenti di adottare misure di mitigazione del rischio (ma fornendo ai cyber-criminali indizi su dove andare a colpire) o mantenere il segreto e correre il rischio che i pirati sfruttino le informazioni e trovino le potenziali vittime totalmente impreparate?

Secondo quanto riporta Reuters, l’azienda di Nadella avrebbe optato per la seconda via, scegliendo di risolvere il problema senza fare troppo rumore.

Il primo passo fatto dall’azienda sarebbe stato quello di rafforzare le misure di sicurezza del database, posizionandolo al di fuori della rete aziendale e introducendo un sistema di accesso con una doppia autenticazione.

Nel frattempo, si sarebbero dati da fare per smaltire il lavoro arretrato, approfondendo le segnalazioni e sviluppando in tempi record le patch per correggere le vulnerabilità individuate.

In contemporanea, Microsoft avrebbe monitorato la situazione per capire se qualcuno stesse sfruttando le informazioni per portare attacchi nei confronti dei sistemi Windows e, stando a quanto si legge nell’articolo, lo avrebbe escluso.

Tutto bene, dunque? Quasi. Perché secondo alcune delle fonti di Reuters, l’indagine di Microsoft sarebbe stata insufficiente per escludere davvero che la vicenda abbia avuto conseguenze. Saperlo con certezza, però, a questo punto è impossibile.



Articoli correlati

Altro in questa categoria


Attenzione ai documenti Office: il malware si avvia anche senza Macro


La tecnica sfrutta Microsoft Dynamic Data Exchange per avviare un eseguibile. Microsoft: “non è una falla di sicurezza”.

La notizia, per chi si occupa di divulgazione nel campo della sicurezza informatica, è di quelle che assestano un duro colpo. Dopo aver impiegato anni per spiegare agli utenti Office che le Macro sono pericolose, ora ci tocca cominciare tutto da capo.

A tirare indietro le lancette dell’orologio è una modalità di attacco che sfrutta un’altra funzione dei programmi Microsoft, chiamata Dynamic Data Exchange o DDE.

La sua funzione è quella di consentire lo scambio di dati trar diverse applicazioni del pacchetto Office, per esempio tra Word ed Excel. Peccato che sia possibile usarla per avviare l’esecuzione di un malware.

In realtà l’attacco non è una novità, anzi: aveva già fatto la sua comparsa negli anni ’90. Ma erano altri tempi e i pirati informatici hanno preferito poi ripiegare sull’uso delle famigerate Macro, la cui esecuzione a quell’epoca era attiva per impostazione predefinita e rappresentava di conseguenza un vettore di attacco più efficace.

Ora qualcuno ha pensato bene di ripescarlo e, a quanto pare, con un certo successo. A scoprirlo sono stati i ricercatori di SensePost, che hanno pubblicato addirittura un tutorial che spiega come sia possibile mettere in atto l’attacco.

Il risultato è che, all’apertura di un documento di Word assemblato con questa tecnica, sullo schermo dell’utente compare un primo messaggio che chiede l’autorizzazione per aggiornare i dati presenti nel file.

Office malware

Non si parla di file eseguibili o di istruzioni Macro. Fin qui sembra che l’operazione sia innocua…

Il trucchetto, però, è che il campo è stato impostato in modo che Windows avvii cmd.exe, cioè la shell di comando di Windows, e a seguire esegua una serie di comandi predefiniti, come il download e l’esecuzione di un file.

Office malware

Qui, invece, bisognerebbe pensarci due volte prima di fare clic. Sempre che si abbia idea di che cosa sia cmd.exe…

Secondo Microsoft, che i ricercatori hanno contattato per comunicare il problema, non si tratterebbe però di una falla di sicurezza. Dalle parti di Redmond si sono limitati a rispondere che ne “avrebbero preso nota” per un’eventuale modifica in successive versioni dei software.

Per una volta, però, non hanno tutti i torti. Il messaggio, infatti è abbastanza chiaro ed è impossibile che un’attività pericolosa sia avviata senza che l’utente lo veda.

Il problema, però, è che buona parte degli utenti Windows non ha la minima idea di che cosa sia cmd e, anche se il formato exe dovrebbe metterli in guardia, rischiano di acconsentire tranquillamente alla richiesta e avviare così qualsiasi tipo di azione sul computer.



Articoli correlati

Altro in questa categoria


KRACK! Bucata la crittografia WPA2 delle reti Wi-Fi


Una vulnerabilità permette ai pirati informatici di intercettare tutti i dati che viaggiano sulle connessioni senza fili. Oggi si scopriranno i dettagli.

Abbiamo passato anni a raccomandare di usare una password per crittografare i dati delle connessioni Wi-Fi. Ieri si è scoperto che è perfettamente inutile: il protocollo di crittografia WPA2 soffre infatti di un bug che consentirebbe ai pirati informatici di fare quello che vogliono.

WPA2 (Wi-Fi Protected Access II) è il protocollo adottato per proteggere le connessioni tra dispositive e access point che utilizzano Wi-Fi e, fino a oggi, era considerate lo stato dell’arte per garantire connessioni sicure. Con questa nuova tecnica di attacco si apre una vera voragine che indebolisce qualsiasi rete.

Il “proof of concept” che verrà reso pubblico oggi è stato battezzato con il nome di KRACK (abbreviazione di Key Reinstallation Attacks) e farebbe leva su una serie di vulnerabilità legate al sistema di scambio delle chiave nel corso del processo di handshacking.

Stando a quanto si legge in un’allerta inviata dal CERT a un centinaio di aziende, sfruttando le vulnerabilità sarebbe possibile decrittare il traffico, intercettare informazioni, dirottare le connessioni http, replicare i pacchetti e portare attacchi di http injection. Insomma: un vero disastro.

La buona notizia è che si tratta di vulnerabilità scoperte da un gruppo di ricercatori e non ancora attivamente utilizzate da cyber-criminali. Le cose, però, rischiano di degenerare in fretta. Non appena si conosceranno i dettagli, i pirati potranno cominciare a sfruttarla.

KRACK WPA2 Wi-Fi

Il protocollo WPA2 è utilizzato in tutti i modem-router casalinghi e aziendali, negli hot spot e nei collegamenti dei dispositivi IoT come le videocamere di sorveglianza. Parliamo di miliardi di dispositivi.

Le vulnerabilità (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088) verranno illustrate in tutti i dettagli in un incontro pianificato per il primo di novembre nel corso della  ACM Conference on Computer and Communications Security di Dallas, ma secondo varie indiscrezioni se ne saprà di più già da oggi.

Le prime informazioni dovrebbero infatti comparire sul sito krackattacks.com, che per il momento non ospita alcun contenuto. C’è da scommettere, però, che nel corso della giornata registrerà un deciso aumento di traffico.

Il gruppo di ricercatori che hanno realizzato lo studio avevano anticipato l’esistenza di falle di sicurezza nel protocollo Wi-Fi in un documento illustrato nel corso della Black Hat Security Conference di Las Vegas dello scorso agosto. Ora però si parla di applicazioni pratiche e le cose cambiano sostanzialmente.

La palla passa quindi ai produttori di router e access point che dovranno riuscire a sviluppare e distribuire a tempo di record gli aggiornamenti per tappare la falla di sicurezza, riducendo i danni al minimo. Il problema, però, è che considerando il numero di access point presenti sul pianeta, l’impresa rischia di essere davvero titanica.



Articoli correlati

Altro in questa categoria


Backdoor e vulnerabilità nelle termocamere di sicurezza FLIR


Le usa anche la polizia, ma molti modelli hanno falle di sicurezza e una backdoor con credenziali predefinite. Un vero disastro…

Dovrebbero essere il top degli strumenti di sorveglianza, in grado di individuare un sospetto anche nel buio più assoluto grazie al sistema di rilevamento del calore. Ora invece si scopre che le termocamere prodotte da FLIR Systems, sotto il profilo della sicurezza, sono un vero colabrodo.

A spiegare quali siano i (tanti) problemi che affliggono i dispositivi dell’azienda statunitense è Gjoko Krstic, un ricercatore di ZeroScienceLab che in una serie di report dipinge una vera galleria degli orrori.

Il primo problema riguarda la presenza di una backdoor che consente l’accesso ai dispositivi attraverso l’uso di credenziali che sono inserite nel codice del firmware e che gli utenti non possono eliminare o modificare in alcun modo.

I modelli che permettono l’accesso attraverso l’uso di credenziali individuati dal ricercatore sono i seguenti:

FC-Series S (FC-334-NTSC)

FC-Series ID

FC-Series R

PT-Series (PT-334 200562)

D-Series

F-Series

Backdoor termocamere FLIR

Chi sceglie una videocamera di sorveglianza con rilevamento termico ha senza dubbio il pallino della sicurezza. Chissà come reagirebbe se sapesse che chiunque può accedervi usando credenziali predefinite…

Per ognuno di essi, in pratica, è possibile eseguire l’accesso con un’accoppiata username/password che varia a seconda del modello. Nel dettaglio le credenziali individuate da Krstic sono le seguenti:

root:indigo

root:video

default:video

default:[nessuna password]

ftp:video

Come se non bastasse, il ricercatore ha individuate alter quattro vulnerabilità, tra cui la possibilità di visualizzare lo streaming video senza che sia necessaria l’autenticazione, l’avvio di esecuzione di codice in remoto, numerose falle che consentono di accedere a dati memorizzati usi dispositivi e la possibilità di eseguire comandi acquisendo i privilegi di root anche quando si accede attraverso un account limitato.

A rendere surreale la presenza di un così elevato numero di vulnerabilità è il fatto che si tratterebbe di strumenti dedicati alla sorveglianza e che l’azienda fornisce prodotti simili (ma questi ultimi non rientrano tra quelli esaminati da Krstic) a eserciti e forze di polizia.



Articoli correlati

Altro in questa categoria


La brutta storia di Kaspersky, i furti all’NSA e le tre spie


Ormai da mesi Kaspersky Lab si trova invischiata in una storia di spionaggio, sospetto, politica e pregiudizi. Farci una serie TV potrebbe non essere una cattiva idea

È ormai qualche mese che negli USA ogni occasione è buona per dar contro ai cattivoni russi. Il via “ufficiale” al ritorno alla guerra fredda, anche se in salsa informatica, è avvenuto durante le ultime elezioni presidenziali statunitensi, quando una serie di attacchi informatici e ingerenze di altro tipo hanno dimostrato un certo interesse da parte della Russia nel cercare di influenzarne l’esito finale.

Da un punto di vista prettamente tecnico, le azioni russe sono state ben poco sofisticate: l’attacco a qualche database poco protetto tipo questo (facile scaricare la colpa sugli hacker se chi dovrebbe proteggere un sito fa un pessimo lavoro), l’investire centomila dollari in pubblicità su Facebook, il recupero di qualche informazione “compromettente” sul conto del candidato democratico (che poi qualche americano ha preso e usato, non dimentichiamolo).

Kaspersky spie

Eppure, queste piccole azioni hanno scatenato un putiferio di reazioni. Durante l’RSA conference di San Francisco tenutasi a febbraio di quest’anno non c’è stato un keynote che non abbia citato l’ingerenza russa nella più sacra delle azioni americane, decine di persone influenti che agitavano lo spettro del russo cattivo pronto a distruggere lo stile di vita occidentale, voci incontrollate sullo stato di una difesa informatica allo sfascio in diversi settori cruciali (e forse qui non avevano tutti i torti). Poi scendevi nell’area espositiva e il primo stand che trovavi, grande e bello, era quello di Kaspersky.

La reazione ad azioni “veniali” di sovversivismo erano palesemente esagerate e, infatti, non era tutto lì. Gia da mesi, nei corridoi, si vociferava che qualcosa di sinistro stava accadendo e la colpa era tutta del produttore di antivirus russo, con un piccolo dettaglio che accomunava ogni indiscrezione: nessuno forniva una fonte.

Era tutto un “persone bene informate dicono che…”. Testate molto influenti, dal WSJ al NYT passando per il  Washington Post, hanno iniziato a scrivere di presunti coinvolgimenti di Kaspersky Lab in importanti azioni contro il governo americano. Ma nessuno diceva da chi arrivava l’informazione, né esattamente cosa fosse successo. Almeno fino a quando non ci fu un arresto, ma nel posto che meno ti aspetti: tra i ranghi di Kaspersky, sì, ma in Russia

Alto tradimento, formalmente risalente a prima che l’incriminato iniziasse a lavorare per la società di sicurezza, ma questo apparve come un interessante scriocchiolio nella coperta di omertà sulle fonti.

Eugene Kaspersky

Eugene Kaspersky difende strenuamente la sua società, dichiarandola estranea a qualsiasi manovra di assistenza a operazioni di spionaggio governativo.

Ci vollero comunque altri mesi, durante i quali Kaspersky fu presa di mira da un numero crescente di senatori USA e addirittura da una indagine FBI sui suoi dipendenti (che non approdò a nulla), prima di giungere a una qualche informazione compiuta.

Settimana scorsa, il Wall Street Journal (WSJ) ha pubblicato un articolo in cui si legge che hacker di Stato russi avrebbero sottratto nel 2015 del materiale top secret, e diverse armi informatiche, all’NSA. Il crimine fu facilitato dall’antivirus di Kaspersky installato sul pc di un consulente esterno che aveva compiuto la leggerezza di mettere sul suo computer personale dei file riservati per lavorarci a casa.

Secondo quanto riportato, l’antivirus russo, analizzando i file, ne aveva carpito il nome e, forse, alcune tracce dei contenuti per poi segnalare a qualcuno che su quel computer c’erano dei documenti interessanti. In un modo poi non meglio specificato, i documenti sarebbero stati rubati.

Finalmente, si sa qualcosa della vicenda in cui sarebbe invischiata Kaspersky, ma mancano ancora le fonti mentre il racconto appare lacunoso su alcuni punti chiave come il sistema usato per estrarre i documenti. Ieri, però, la svolta: il New York Times (NYT) pubblica un pezzo in cui si svelano un po’ di giochini e si fanno i nomi delle fonti.



Articoli correlati

Altro in questa categoria