Dopo la pubblicazione da parte del ricercatore Mathy Vanhoef dei problemi di sicurezza che affliggono il protocollo WPA2, con la descrizione delle tecniche di attacco che sono state denominate KraKCs, si è sparso il panico tra gli addetti ai lavori nel mondo IT, poiché oramai gli accessi WIFI protetti da WPA2 sono estremamente diffusi, grazie anche all’adozione massiccia di piattaforme mobili. Pertanto riteniamo utile chiarire alcuni aspetti di alto livello sulle modalità di sviluppo di un attacco e fornire delle semplici linee guida per mitigare il rischio introdotto da queste vulnerabilità.
Il primo aspetto da sottolineare è che le vulnerabilità scoperte non affliggono una particolare implementazione dello standard, ma sono insite nel design del protocollo stesso, pertanto tutti le implementazioni dello standard, anche se rispettano le specifiche, sono vulnerabili. Poiché le vulnerabilità sono state gestite secondo i criteri della “responsible disclosure”, i produttori dei dispositivi WIFI e dei sistemi operativi maggiormente diffusi, sono stati preventivamente allertati e sono già al lavoro per la produzione di specifiche patch per la soluzione definitiva dei problemi; in particolare, Microsoft ha risolto la vulnerabilità sui propri sistemi operativi in modalità silente con gli aggiornamenti rilasciati il 10 di ottobre, pertanto consigliamo di applicare le patch quanto prima e tenere monitorato il rilascio di aggiornamenti per le altre piattaforme.
Il secondo e importante aspetto da sottolineare è che KraKCs è un attacco che viene portato a un client connesso via WIFI, quindi l’attacco non mira a compromettere un dispositivo di rete, come un Access Point o un router, ma mira a inserirsi in una comunicazione WIFI esistente, portando un attacco di tipo “man-in-the-middle”: per fare questo, un ipotetico attaccante dovrà configurare un dispositivo che emuli la rete WIFI da attaccare e forzare il client WIFI a connettersi al dispositivo pirata, anziché al legittimo Access Point; pertanto (almeno in alcuni casi), perché un attacco possa andare a buon fine è necessario che l’attaccante sia prossimo alla vittima e che il segnale del dispositivo pirata, sia più vicino del legittimo Access Point, o almeno abbia una potenza del segnale superiore. In questo modo il client WIFI della vittima tenderà ad associarsi all’Access Point con il segnale radio più potente, nel caso specifico quello dell’attaccante.
Considerando questi due aspetti, si può agire con delle contromisure per mitigare il rischio di attacco e di perdita di informazione. Gli ambiti sui quali agire possono essere a livello infrastrutturale, applicativo e di policy.
A livello infrastrutturale è utile verificare che le reti WIFI non escano dai confini aziendali e non coprano suolo pubblico; in questo modo un attacco dalla superficie pubblica viene inibito, poiché l’attaccante deve poter inserirsi su una comunicazione WIFI esistente, deve poter raggiungere la rete WIFI che intende attaccare. Per proteggere la rete entro i confini aziendali è utile implementare un sistema di monitoraggio che sia in grado di individuare i “rogue access point”: in questo modo l’inserimento all’interno del perimetro aziendale di un dispositivo atto a portare questo tipo di attacco potrà essere individuato. Inoltre sui dispositivi WIFI, fintantoché non saranno disponibili le patch dei produttori, è consigliato disattivare le funzioni di “Repeater Mode” e “Fast Roaming”. Inoltre è consigliato nascondere gli SSID delle reti WIFI aziendali, disabilitandone il broadcast, eventualmente distribuendo le configurazioni con sistemi di gestione centralizzati.
A livello applicativo, l’attacco può essere mitigato inserendo un layer di cifratura aggiuntivo sulle comunicazioni tra client WIFI e applicativi aziendali: in questo modo, se anche un client dovesse subire un attacco ed il traffico WIFI essere decriptato, il layer di cifratura aggiuntivo provvederà comunque alla protezione dei dati; tecniche per implementare un ulteriore layer di cifratura sono:
- Usare il protocollo HTTPS anziché HTTP per l’accesso alle applicazioni aziendali; implementare lo standard HSTS sui server web aziendali;
- Usare tunnel VPN (SSL o IPSec) tra il client WIFI e la rete aziendale;
- Usare tunnel SSH;
- Non inviare credenziali di autenticazione in chiaro;
A livello di policy, si consiglia di limitare i dispositivi mobili alla connessione delle sole reti aziendali, sulle quali si ha il controllo, inibendo la possibilità di usare reti WIFI sconosciute, preferendo a queste ultime le connessioni mobili (3G, 4G, ecc.).
Infine la sensibilizzazione dell’utente gioca un ruolo fondamentale, poiché in questa fase delicata un utente dovrebbe avere l’accortezza di:
- Non connettersi a reti WIFI pubbliche, soprattutto a quelle aperte;
- Verificare che l’accesso a siti normalmente protetti da protocollo HTTPS, non siano rediretti verso connessioni http;
- Usare sempre accessi HTTPS e VPN;