WPA2 compromesso? Si, ma...

 

Sì, WPA2, il sistema di crittazione avanzata delle reti Wi-Fi è stato in qualche modo compromesso, come ha dimostrato il Proof of Concept presentato dal ricercatore Mathy Vanhoef

Ed il sistema utilizzato effettivamente è indipendente dalle password utilizzate, dai sistemi crittografici impiegati..., ma prima di mettervi a scappare urlando lasciateci fare un paio di considerazioni :

  • Il vero bersaglio non sono le infrastrutture Wi-Fi ma i client

 Ebbene si, i punti deboli della catena in questo caso non sono gli access point o le infrastrutture, ma i cosidetti "supplicant", cioè coloro che chiedono di essere autorizzati a collegarsi alla rete Wi-Fi.

Il che  vuol dire che dovremo aggiornare i nostri pc e i nostri cellulari (linux e android per primi stavolta) per provvedere almeno a "tappare il buco" molto più che gli Access Point

Ma da questo punto di vista la comunità informatica, tutta, sta reagendo con una notevole prontezza:

  • Microsoft ha già annunciato la patch e l'unico dubbio è se verrà intergrata nella megapatch già annunciata per oggi per Windows 10 o se sarà a parte;
  • WPA-Supplicant, il software linux che si occupa di gestire la parte incriminata, ha già rilasciato la patch e stamattina era già dentro gli aggiornamenti almeno di tutte le distribuzioni debian-based come Ubuntu, Mint ecc, ma anche Arch Linux, RedHat e tutti gli altri se non hanno già rilasaciato rilascieranno entro poche ore;
  • Google è già al lavoro per una patch per android, non ha fissato una data ma l'ha definita "imminente" e comunque "sicuramente inserita all'interno delle patch di sicurezza di novembre 2017";
  • Addirittura molte aziende produttrici di access point e sistemi di infrastruttura come Aerohive hanno già provveduto a rilasciare patch di mitigazione o risoluzione del problema, sebbene come abbiamo detto sia più da cercare lato client la soluzione che sulla infrastruttura

Unica vera "grande sorpresa" è stata Apple che al momento attuale sembra avere bellamente ignorato il problema nella sua interezza, sia per i suoi Access Point, che per i suoi pc che per i suoi smarphone, ma pensiamo che anche loro non potranno ignorare il problema più a lungo di tanto.

Quindi il vero problema dove sta?

Il problema vero sta in tutti quei pc ed apparati che non verranno aggiornati o non possono venire patchati perchè fuori dalla linea di aggiornamento.

Quindi, come non ci stancheremo mai di dire, se avete ancora per esempio dei pc con XP, dei cellulari con una versione di iOS precedente la 11, o di android precedente a un nexus 5/android 6 (diciamo del 2013), o di Mac OS  precedenti alla 10.11 è giunta l'ora di valutare attentamente che cosa farci.

  • Per essere attaccati l'attaccante deve potersi connettere fisicamente alla rete wireless

No, questo attacco non può essere portato da remoto via internet, non è un "proiettile d'argento" che uccide qualunque cosa perchè è magico.

Per funzionare l'attaccante deve essere sufficientemente vicino a voi da potersi connettere alla vostra rete Wi-Fi, non dall'altra parte del globo.
E come potete capire questo permette di entrare in gioco a sistemi di sicurezza molto più "fisici" come videocamere e sistemi di allarme.

Questo rende la cosa meno pericolosa?

No, ma sicuramente differente da altre minacce, e va tenuto in considerazione

Ergo questa è una minaccia che non ha a che vedere col "vostro firewall" ma molto di più con i "vostri confini"

  • Esistono modi per mitigare comunque fin da subito l'impatto del problema 

Ebbene si, anche questa volta c'è differenza tra chi ha fatto le cose spostando l'ago della bilancia verso la sicurezza rispetto a chi l'ha spostato verso la comodità.

Chi, come i nostri clienti, ha le reti tutte impostate con cifratura AES - CCMP subisce effetti molto inferiori rispetto a chi usa TKIP.

Poi è vero che nessuno può prendere sottogamba il problema, ma passare da "mi loggano qualunque password anche se navigo in https e mi cambiano pure quel che vedo e che dico" a "riescono a vedere il mio traffico di rete e potrebbero vedere cose se non uso altri protocolli di sicurezza e cifratura" ammetterete che qualche sostanziale differenza c'è 

Insomma, il problema c'è ed è inutile tentare di ignorarlo; ma non fa altro che confermare la filosofia che "nulla è sicuro in eterno" e che quello della sicurezza è un mondo in cui chi china la guardia è rapidamente sorpassato dalla realtà dei fatti