Alert KraKCs

Dopo la pubblicazione da  parte del ricercatore  Mathy Vanhoef dei  problemi di sicurezza che affliggono il protocollo WPA2, con la descrizione delle tecniche di attacco che sono  state denominate KraKCs, si è sparso il panico tra gli addetti ai lavori nel mondo IT, poiché oramai gli accessi WIFI protetti da WPA2 sono estremamente diffusi, grazie anche  all’adozione massiccia di piattaforme mobili. Pertanto riteniamo utile  chiarire alcuni aspetti di alto livello sulle modalità di sviluppo di un attacco e fornire delle semplici linee guida per mitigare il rischio introdotto da queste vulnerabilità.

Il primo aspetto da sottolineare è che le vulnerabilità scoperte non affliggono una particolare implementazione dello standard, ma sono  insite nel design del protocollo stesso, pertanto tutti le implementazioni dello standard, anche  se rispettano le specifiche, sono vulnerabili. Poiché le vulnerabilità sono state gestite secondo i criteri  della “responsible disclosure”, i produttori dei dispositivi WIFI e dei sistemi operativi maggiormente diffusi, sono stati preventivamente allertati  e sono già al lavoro per la  produzione di specifiche  patch per  la soluzione definitiva dei problemi; in particolare, Microsoft ha risolto la vulnerabilità sui propri  sistemi  operativi  in modalità silente con gli aggiornamenti rilasciati il 10 di ottobre, pertanto consigliamo di applicare le patch quanto prima e tenere monitorato il rilascio di aggiornamenti per le altre piattaforme.

Il secondo e importante aspetto da sottolineare è che KraKCs è un attacco  che viene portato a un client connesso via WIFI, quindi  l’attacco  non mira a compromettere un dispositivo di rete, come un Access Point o un  router, ma mira a inserirsi in  una comunicazione WIFI esistente, portando un attacco di tipo “man-in-the-middle”: per fare questo, un ipotetico attaccante dovrà configurare un  dispositivo che emuli la rete WIFI da attaccare e forzare il client WIFI a connettersi al dispositivo pirata, anziché al legittimo Access Point; pertanto (almeno in alcuni casi), perché un  attacco possa andare a buon fine è  necessario che l’attaccante  sia prossimo alla vittima e che il segnale del dispositivo pirata, sia più vicino  del  legittimo Access Point, o almeno abbia una potenza del segnale superiore. In questo modo il client WIFI della vittima tenderà ad associarsi all’Access Point con il segnale radio più potente, nel  caso specifico quello dell’attaccante.

Considerando questi due aspetti, si può agire con delle contromisure per mitigare il rischio di attacco e di perdita di informazione. Gli ambiti sui quali agire possono essere a livello infrastrutturale, applicativo e di policy.

A livello infrastrutturale è utile verificare che le reti WIFI non escano dai confini aziendali e non coprano suolo pubblico; in questo modo un attacco dalla superficie pubblica viene inibito, poiché l’attaccante deve poter inserirsi su una comunicazione WIFI esistente, deve poter raggiungere la rete WIFI che  intende attaccare. Per proteggere la rete entro i confini aziendali è utile implementare un sistema di monitoraggio che sia in grado di individuare i “rogue access point”: in questo modo l’inserimento all’interno del perimetro aziendale di un dispositivo atto a portare questo tipo di attacco potrà essere individuato. Inoltre sui dispositivi WIFI,  fintantoché non saranno disponibili le patch dei produttori, è consigliato disattivare le funzioni di “Repeater Mode” e “Fast Roaming”. Inoltre è consigliato nascondere gli SSID delle reti WIFI aziendali, disabilitandone il  broadcast,  eventualmente  distribuendo le configurazioni con sistemi di gestione centralizzati.
A livello applicativo, l’attacco può essere mitigato inserendo un layer di cifratura aggiuntivo sulle comunicazioni tra client WIFI e applicativi aziendali: in questo modo, se anche  un client dovesse subire un attacco ed il  traffico WIFI essere decriptato, il layer di cifratura aggiuntivo provvederà comunque alla protezione dei dati; tecniche per implementare un ulteriore layer di cifratura sono:

  • Usare il protocollo  HTTPS anziché HTTP per l’accesso alle applicazioni aziendali; implementare lo standard HSTS sui server web aziendali;
  • Usare tunnel VPN (SSL o IPSec) tra il client WIFI e la rete aziendale;
  • Usare tunnel SSH;
  • Non inviare credenziali di autenticazione in chiaro;

A livello di policy, si consiglia di limitare i dispositivi mobili alla connessione delle sole reti aziendali, sulle quali si ha il controllo, inibendo la possibilità di usare reti WIFI sconosciute, preferendo a queste ultime le  connessioni mobili (3G, 4G, ecc.).

Infine la sensibilizzazione dell’utente gioca un ruolo fondamentale, poiché in questa fase delicata un utente dovrebbe avere l’accortezza di:

  • Non connettersi a reti  WIFI pubbliche, soprattutto a quelle aperte;
  • Verificare che l’accesso a siti normalmente protetti  da protocollo HTTPS, non siano rediretti verso connessioni http;
  • Usare sempre accessi HTTPS e VPN;