Questa mattina ci siamo svegliati con una notizia da far rabbrividire: in tutto il mondo, letteralmente ogni dispositivo capace di connettersi a internet su protocollo WPA2, è compromesso.

Quanto compromesso? Tanto: chi attacca una rete Wi-Fi usando il metodo scoperto dall’esperto di sicurezza Mathy Vanhoef può intercettare dati che dovrebbero essere criptati, “come numeri di carta di credito, messaggi in chat, email, foto, eccetera,” e addirittura manipolare il contenuto che vede l’utente, “ad esempio, potrebbe essere possibile iniettare ransomware o altre forme di malware nei siti.”

WPA, ovvero “Wi-Fi Protected Access” è un programma di certificazione che garantisce la sicurezza dei dati che vengono scambiati su una rete Wi-Fi. Introdotto in risposta alle sempre crescenti falle note al pubblico del precedente standard di sicurezza, il Wired Equivalent Privacy (WEP), WPA, e in seguito WPA2, sono state per anni considerate tecnologie altamente sicure.

Alla vulnerabilità, Vanhoef ha dato il nome di Krack, come acronimo di Key  Reinstallation AttaCK, e tutti i dettagli della scoperta sono stati pubblicati su un sito ad hoc.

La prova di un attacco, eseguita dai ricercatori su un dispositivo Android

Ricercatore dell’università belga KU Leuven, Vanhoef presenterà l’attacco alle conferenze Computer and Communications Security e Black Hat Europe.

La falla è un caso praticamente senza precedenti: essendo presente a livello di protocollo standard, infatti, è presente virtualmente su ogni device connesso a Wi-Fi. Tutti i telefoni, tutti i computer, tutte le tv connesse via Wi-Fi sono vulnerabili. Tuttavia, per quanto si tratti di un altro esempio di quanta fiducia malriposta si versi sulle proprie tecnologie, non si tratta di un caso emergenziale come altri bug scoperti in precedenza.

Innanzitutto, riguardando le reti locali, l’attacco prevede la vicinanza fisica di chi vuole fare abuso della rete, ovvero, non è possibile costruire un sistema per colpire tantissime reti contemporaneamente. Si tratta, in questo senso, davvero di un problema che può mettere in emergenza istituzioni e grandi aziende, ma più difficilmente il singolo utente di una rete locale familiare — è molto poco plausibile che malintenzionati si aggirino per le città nel tentativo di rubare dati alle singole reti Wi-Fi.

Inoltre, negli ultimi anni si è per fortuna diffusa la norma di utilizzare per tutte le connessioni delicate come i pagamenti e le comunicazioni che si presuma debbano rimanere riservate su protocollo HTTPS, la s, che sta per secure, indica che la comunicazione è garantita da un ulteriore livello di crittografia: ovvero, anche se un utente fosse in grado di intercettare i dati, non sarebbe comunque in grado di leggerli, perché criptati non a livello di connessione locale ma tra i server e il proprio terminale.

Infine, secondo Vanhoef è possibile riparare la falla nel protocollo WPA2 senza la necessità di introdurre un “WPA3.” Tutti i gadget e i computer aggiornati al nuovo protocollo messo in sicurezza potranno continuare a connettersi a modem e router non aggiornati — di cui le aziende sono solitamente meno agili nel fornire aggiornamenti, a differenza delle grandi multinazionali dell’elettronica — mantenendo assoluta sicurezza.

Il problema di strumenti non aggiornati, tuttavia, è impossibile da ignorare. Sempre più reti — anche familiari — sono costellati da oggetti connessi che raramente vengono supportati con aggiornamenti di sicurezza da parte del loro produttore.

Alex Hudson, CTO di Iron Group, ha scritto che è indispensabile “stare calmi.” Ma la vulnerabilità dev’essere un campanello d’allarme importante per il futuro, soprattutto per quanto riguarda la sicurezza dei dispositivi più facilmente attaccabili, come quelli della cosiddetta “Internet of Things”: frigoriferi, televisori, monitor per bambini, e altri strumenti connessi a internet per scopi secondari, che difficilmente si troveranno ad essere aggiornati con regolarità. Nel frattempo? Se usate dispositivi Android, prendete in considerazione di utilizzare qualche giga in più della vostra connessione 3G: potrebbe essere una buona idea disattivare il Wi-Fi finché la vulnerabilità non sarà riparata.

— FIN —