Attacco KRACK alla cifratura del wifi – ecco cosa c’è da sapere


Non è la prima volta che vengono identificate falle nello standard per le reti wireless. È essenziale installare gli aggiornamenti forniti dai produttori.

Bochum- Lunedì è stato reso noto che la cifratura della stragrande maggioranza delle reti WiFi non è inespugnabile a causa di una vulnerabilità del design della cifratura WPA2, che consente il riutilizzo delle chiavi crittografiche, invece che impedirlo. I ricercatori belgi hanno denominato l’attacco basato su questa vulnerabilità “KRACK”.

 Chi può essere colpito?

La vulnerabilità riguarda praticamente tutti i dispositivi che si avvalgono della cifratura WPA2 nella rete wireless, indipendentemente dal produttore. Chi sfrutta tale vulnerabilità può procurarsi accesso al WiFi e quindi a Internet. Nello scenario peggiore l’hacker potrebbe persino manipolare i dati trasmessi sulla rete wireless. Sarebbe quindi possibile sostituire il download di una applicazione legittima con un malware. In base alle informazioni attualmente reperibili, il traffico protetto con il protocollo SSL risulta meno soggetto a tali attacchi.

Dato che però un eventuale malintenzionato deve trovarsi in prossimità della rete wireless che intende attaccare affinché l’attacco vada a buon fine, non ci aspettiamo a breve termine attacchi di massa contro le reti WiFi. Quanto illustrato dai ricercatori è più che altro un “proof of concept”, quindi uno studio sulla fattibilità – prima che venga sviluppato uno strumento effettivamente adoperabile per la conduzione di tali attacchi ci vorrà diverso tempo.

Contromisure

Due i modi per proteggersi:

  • Disattivare il wifi. Una misura però poco praticabile e in taluni casi poco sensata.
  • Utilizzare la VPN con cifratura SSL per tutelare il traffico dati

Cosa possiamo aspettarci?

Nel frattempo i primi produttori hanno sviluppato e rese disponibili le patch di sicurezza necessarie per chiudere la vulnerabilità. Le prime versioni beta di iOS ad esempio contengono già questa patch. Altri produttori dovrebbero seguire a breve. Per alcune distribuzioni Linux tale patch è già disponibile dall’inizio di ottobre, la vulnerabilità non è più sfruttabile di default.

Chiudere questa vulnerabilità non richiede l’acquisto di nuovi dispositivi. È possibile correggerla tramite aggiornamento del firmware. Una volta corretta, il rimedio è retrocompatibile, ossia gli apparecchi che sono stati aggiornati possono ancora comunicare con dispositivi non (ancora) dotati di una patch per la falla di sicurezza. Non appena un produttore rende disponibile un aggiornamento, è possibile scaricarlo tramite l’interfaccia utente web-based del router o direttamente dal sito del produttore. Alcuni router installano gli update automaticamente. Gli utenti di dispositivi mobili dovrebbero altresì verificare se ci sono aggiornamenti per i device utilizzati.

Raccomandiamo fortemente di installare gli aggiornamenti non appena disponibili.

Parallelismi con il passato

Il fatto che la cifratura delle reti wireless presenti vulnerabilità non ci coglie proprio di sorpresa. Sono già state riscontrate e puntualmente chiuse numerose falle di sicurezza nello standard WLAN 802.11 che ormai esiste da 18 anni. I modelli di cifratura obsoleti quali WEP e WPA sono stati progressivamente sostituiti con standard più moderni. Quanto accade al momento è quindi solo la logica conseguenza di quanto si è verificato in passato. Questa non è la prima rivelazione di siffatta natura, né sarà l’ultima.

G DATA è a disposizione degli utenti che desiderano ulteriori ragguagli anche in occasione di SMAU Milano, dal 24 al 26 ottobre pv. stand H09.

Continua a leggere

Android colabrodo: 8.400 nuovi malware al giorno nel primo trimestre 2017.


Il livello di rischio rimane allarmante, ma non è dovuto solo all’alacre attività dei cybercriminali.

Con una quota di mercato del 72 per cento a livello mondiale, il sistema operativo Android domina chiaramente il mercato della telefonia mobile. In Italia, circa il 69 per cento dei possessori di smartphone utilizza un dispositivo Android (Fonte: Statcounter, marzo 2017). Nel primo trimestre 2017, gli esperti dei G DATA Security Labs hanno individuato oltre 750.000 nuovi malware per Android, in media 8.400 nuove app dannose al giorno, una ogni dieci secondi.

Ancora troppo bassa la diffusione di Android 7

La vulnerabilità del sistema operativo Android, come di altri sistemi operativi, non é una novità. Molte aziende, tra cui Microsoft, Adobe o la stessa Google rilasciano con regolarità aggiornamenti di sicurezza. I proprietari di dispositivi Nexus o Pixel ricevono queste patch direttamente da Google. Purtroppo però la quota dei possessori dei “Googlefonini” è molto ridotta (nel mese di marzo 2017 in Italia oltre il 40% dei naviganti con smartphone Android impiegava dispositivi Samsung – fonte Statcounter), e attualmente, su scala globale, solo il 4.9 per cento degli utenti Android beneficia della versione 7 del sistema operativo sul proprio dispositivo, nonostante Nougat sia disponibile dal 7 agosto 2016 (status al 04.2017 Fonte: Google).

Tale enorme dilatazione dei tempi di consegna degli aggiornamenti dipende in massima parte dal fatto che quando Google rilascia una patch o una nuova versione del proprio sistema operativo, i produttori e gli operatori devono adattarla ai propri dispositivi. Il tutto richiede un’eternità e in alcuni casi tale processo non ha proprio luogo, forse perché la strategia di mercato per cui, su base annuale, sono immessi sul mercato nuovi top di gamma lascia poco spazio alla cura dei modelli precedenti (comunque ancora commercializzati poiché recenti) e della pletora di dispositivi di gamma medio-bassa. Per gli utenti ciò comporta l’esposizione a inutili rischi. Considerando l’impatto dei dispositivi mobili sulla quotidianità personale e aziendale, beneficiare di frequenti aggiornamenti di sicurezza che chiudono falle del sistema operativo è essenziale.

Come proteggersi

A differenza di Windows, per chi acquista un dispositivo sia esso uno smartphone o un tablet Android, non è sempre possibile determinare per quanto tempo e se il produttore renderà disponibili i dovuti aggiornamenti di sicurezza. Dotarsi di una soluzione completa per la protezione dei propri dati e delle proprie credenziali contro trojan come BankBot, contro malware in genere, tentativi di phishing, di dirottamento delle sessioni e di infezione drive-by è assolutamente un must. Di fronte al crescente volume e alla sofisticatezza delle minacce e al grado di obsolescenza dei sistemi operativi presenti sulla stragrande maggioranza degli smartphone e tablet Android, stare attenti non è sufficiente.

Conclusioni

Sebbene le moderne soluzioni complete per la sicurezza mobile siano in grado di tutelare gli utenti, riteniamo quanto mai opportuna una massiccia riduzione dei tempi di reazione da parte di tutti i produttori e un repentino cambio di rotta nei processi di distribuzione degli aggiornamenti di Android.

Continua a leggere

Dispositivi mobili e vulnerabilità: perché un cambio di rotta è sempre più necessario


Logo-Claim-2015-3c-highresGli aggiornamenti di sicurezza del firmware di smartphone e tablet devono raggiungere l’utente in modo tempestivo.

Quando e come i produttori di smartphone e tablet decidono se chiudere le falle di sicurezza dei propri dispositivi? Questa ed altre domande sono state poste dalla Federal Trade Commission (FTC) e dalla Federal Communications Commission (FCC) ai vari produttori di device mobili negli Stati Uniti, richiedendo spiegazioni ed una chiara presa di posizione in merito.[1] Tale richiesta dimostra che la questione della protezione dei dispositivi mobili contro la criminalità informatica assume una crescente importanza. Anche G DATA ha più volte richiamato l’attenzione su questo argomento. [2]

OpenPadlock
Nuovi modelli di punta con cadenza annuale

Molti produttori di smartphone immettono ogni anno nuovi modelli di punta sul mercato, cui si affiancano una pletora di dispositivi di fascia medio-bassa e a basso costo. In sede di acquisto, all’utente non è chiaro se e per quanto tempo il proprio smartphone o tablet sia tutelato attraverso importanti aggiornamenti di sicurezza. Per rilasciare un update che chiude importanti vulnerabilità, è necessario considerare un infinito numero di variabili, tra cui ad esempio il fatto che gli operatori stessi devono adattare tali aggiornamenti alla versione di Android che hanno impiegato nei dispositivi brandizzati. Tutte queste variabili, provocano un sostanziale ritardo nel ciclo di rilascio di tali aggiornamenti all’utente.

Google rilascia aggiornamenti con regolarità

Google, quale sviluppatore del sistema operativo Android, dà il buon esempio e, come Microsoft con i suoi “patch days”, ha impostato una cadenza mensile per gli aggiornamenti di sicurezza. Purtroppo però, dal giorno in cui vengono rilasciati tali aggiornamenti al momento effettivo in cui raggiungono la maggior parte degli utenti, trascorrono settimane o addirittura mesi, con un forte impatto sulla sicurezza del dispositivo. Vulnerabilità critiche restano quindi aperte – e sfruttabili da eventuali aggressori – per un considerevole periodo di tempo.

Un inutile rischio per la sicurezza degli utenti

Tutto ciò rappresenta un rischio inutile per gli utenti, specialmente se consideriamo il ruolo ormai primario assunto da smartphone e tablet nella vita privata e nelle attività professionali di ciascuno di noi. Secondo uno studio condotto dalla ING-DiBa, il 47% dei correntisti conduce le proprie transazioni bancarie online tramite smartphone o tablet. E’ soprattutto quando svolgiamo attività come online-banking o shopping che è importante poter contare su una sicurezza completa, ma non solo, anche le aziende, i cui dipendenti impiegano tali dispositivi per la conduzione delle proprie attività, hanno il massimo interesse nell’assicurarsi che tali dispositivi siano dotati delle più recenti patch di sicurezza: una falla sfruttabile dai cybercriminali può essere fonte di ingenti quanto indesiderati danni economici.

Occorre un cambiamento di rotta

A nostro avviso è essenziale che si instauri una stretta sinergia tra i produttori dei dispositivi e sviluppatori di sistemi operativi. In tal senso è auspicabile la definizione di processi e procedure grazie alle quali gli aggiornamenti, specie quelli legati alla sicurezza del sistema operativo, raggiungano gli utenti tempestivamente. I cybercriminali hanno da tempo indirizzato la loro attenzione verso i dispositivi mobili, sviluppando e propagando malware sempre più sofisticati proprio per tali piattaforme [3], motivo per cui una rapida fruibilità degli aggiornamenti di sicurezza dovrebbe essere prioritaria per sviluppatori, produttori e, soprattutto, per gli utenti.


[1] https://www.ftc.gov/news-events/press-releases/2016/05/ftc-study-mobile-device-industrys-security-update-practices
[2] https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q3_2015_EN.pdf
[3] https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/EN/G_DATA_MobileMWR_Q4_2015_EN.pdf

Continua a leggere