Wpa3

Prima di spiegare il nuovo standard è importante capire come si è evoluto lo standard  di sicurezza Wi-Fi. Analizando anche i rischi di sicurezza finora suporatati.

Oggi i computer e le reti wireless occupano ogni aspetto della nostra vita, dalle scuole, ospedali, aziende, biblioteche — e anche i bar e bus offrono l’accesso al WiFi.

Ma con tutti questi accessi, vi è bisogno di sicurezza WiFi. Una persona che si connette tramite il proprio laptop potrebbe trasmettere la password del proprio account bancario via aria ed un hacker potrebbe intercettarla.

Il più grande problema di concedere l’accesso alle reti WiFi locali non è solo la cifratura WiFi, ma anche come registrare un dispositivo sulla rete WiFi.

Se vi è una password condivisa, allora tutti quelli che la condividono con un altra persona o la scrivono aumentano il rischio di accessi inautorizzati.

Per quelli abbastanza vecchi, ricorderete la scena dal film “Wargames” dove il personaggio di Matthew Broderick si è andato di proposito dal preside in modo da poter trovare la password della rete scritta nella scrivania della segretaria? Gli hacker usano la stessa tecnica quando qualcuno scrive la password su un Post-it sulla propria scrivania per ottenere l’accesso alla rete ed iniziare a catturare i pacchetti.

Wi-Fi Protected Access (WPA) e Wi-Fi Protected Access II (WPA2) sono due protocolli di sicurezza e programmi di certificazione di sicurezza sviluppati dalla Wi-Fi Alliance per proteggere le reti di computer wireless.

L’Alleanza ha definito questi protocolli in risposta a gravi debolezze che i ricercatori avevano trovato nel precedente sistema Wired Equivalent Privacy (WEP).

WPA-Personal

Viene anche definito come modalità WPA-PSK (pre-shared key), che è progettato per le reti domestiche e per le piccole aziende e non richiede un server di autenticazione. Ogni dispositivo di rete wireless crittografa il traffico di rete derivando la chiave di crittografia a 128 bit da una chiave condivisa a 256 bit. Questa chiave può essere inserita come una stringa di 64 cifre esadecimali o come una passphrase di 8 a 63 caratteri ASCII stampabili.

Se si utilizzano i caratteri ASCII, viene calcolata la chiave a 256 bit applicando la funzione di derivazione della chiave PBKDF2 alla frase, utilizzando SSID come sale e 4096 iterazioni di HMAC-SHA1. La modalità WPA-Personal è disponibile sia con WPA che con WPA2.

WPA-Enterprise

Definita anche modalità WPA-802.1X, e talvolta solo WPA (al contrario di WPA-PSK), è progettata per le reti aziendali e richiede un server di autenticazione RADIUS. Ciò richiede una configurazione più complicata, ma fornisce ulteriore sicurezza (ad esempio Protezione dagli attacchi di dizionario su password brevi).

Per l’autenticazione vengono utilizzati vari tipi del protocollo EAP (Extensible Authentication Protocol). La modalità WPA-Enterprise è disponibile con WPA e WPA2.

Wi-Fi Protected Setup (WPS)

Si tratta di un metodo di distribuzione delle chiavi di autenticazione alternativo inteso a semplificare e rafforzare il processo, ma che, come ampiamente implementato, crea un grosso buco di sicurezza tramite il recupero del PIN WPS.

Protocollo di cifratura

TKIP (Temporal Key Integrity Protocol)

Il codice di flusso RC4 viene utilizzato con una chiave per pacchetto da 128 bit, il che significa che genera dinamicamente una nuova chiave per ogni pacchetto.

È usato da WPA.

CCMP (CTR mode con CBC-MAC Protocol)

Il protocollo utilizzato da WPA2, basato sul codice AES (Advanced Encryption Standard) unitamente all’autentica autenticità dei messaggi e al controllo dell’integrità, è significativamente più efficace nella protezione della privacy e dell’integrità rispetto al TKIP basato su RC4 utilizzato da WPA.

Tra i nomi informali ci sono “AES” e “AES-CCMP”. Secondo la specifica 802.11n, questo protocollo di crittografia deve essere utilizzato per ottenere veloci schemi di bitrate elevati 802.11n, sebbene non tutte le implementazioni (vaghe) lo facciano rispettare.

Altrimenti, la velocità dei dati non supererà i 54 Mbit/s.

Problemi di sicurezza

Password debole

Le chiavi pre-condivise WPA e WPA2 restano vulnerabili agli attacchi di cracking della password se gli utenti si affidano a una password o passphrase deboli.

L’utilizzo del brute force di password semplici può essere tentata utilizzando la suite Aircrack a partire dall’operazione di handshake di autenticazione a quattro vie scambiata durante l’associazione o la nuova autenticazione periodica.

Per proteggere ulteriormente dalle intrusioni, l’SSID della rete non deve corrispondere a nessuna voce nei primi 1.000 SSID poiché sono state pre-generate tabelle arcobaleno scaricabili per loro e una moltitudine di password comuni.

Spoofing e decrittografia dei pacchetti WPA

Mathy Vanhoef e Frank Piessens hanno migliorato significativamente gli attacchi WPA-TKIP di Erik Tews e Martin Beck..

Hanno dimostrato come iniettare una quantità arbitraria di pacchetti, con ogni pacchetto contenente al massimo 112 byte di payload.

Ciò è stato dimostrato implementando un port scanner, che può essere eseguito su qualsiasi client che utilizza WPA-TKIP.

Inoltre hanno mostrato come decodificare i pacchetti arbitrari inviati a un client. Hanno menzionato che questo può essere usato per dirottare una connessione TCP, consentendo a un utente malintenzionato di iniettare JavaScript dannoso quando la vittima visita un sito web.

Al contrario, l’attacco di Beck-Tews poteva solo decrittografare pacchetti brevi con contenuti per lo più conosciuti, come i messaggi ARP, e consentiva solo l’iniezione da 3 a 7 pacchetti con un massimo di 28 byte.

L’attacco Beck-Tews richiede anche che sia abilitata la Qualità del servizio (come definita in 802.11e), mentre l’attacco di Vanhoef-Piessens no.

Né l’attacco porta al recupero della chiave di sessione condivisa tra il client e l’Access point.

Gli autori affermano che l’uso di un breve intervallo di rekeying può prevenire alcuni attacchi ma non tutti, e consiglia vivamente di passare da TKIP a CCMP basato su AES.

Halvorsen e altri mostrano come modificare l’attacco di Beck-Tews per consentire l’iniezione da 3 a 7 pacchetti con una dimensione massima di 596 byte.

Il rovescio della medaglia è che il loro attacco richiede molto più tempo per l’esecuzione: circa 18 minuti e 25 secondi.

In altri lavori Vanhoef e Piessens hanno dimostrato che, quando viene utilizzato WPA per crittografare i pacchetti broadcast, è possibile eseguire anche l’attacco originale.

Questa è un’estensione importante, poiché molte più reti usano WPA per proteggere i pacchetti broadcast, piuttosto che proteggere i pacchetti unicast.

Il tempo di esecuzione di questo attacco è in media di circa 7 minuti, rispetto ai 14 minuti dell’attacco originale di Vanhoef-Piessens e Beck-Tews.

Le vulnerabilità di TKIP sono significative nel fatto che WPA-TKIP è stato ritenuto una combinazione estremamente sicura; infatti, WPA-TKIP è ancora un’opzione di configurazione su un’ampia varietà di dispositivi di routing wireless forniti da molti produttori di hardware.

Un sondaggio del 2013 ha mostrato che il 71% continua a consentire l’utilizzo di TKIP e il 19% supporta esclusivamente TKIP.

WPS PIN recovery

Un grave difetto di sicurezza è stato rivelato nel dicembre 2011 da Stefan Viehböck che riguarda i router wireless con la funzione Wi-Fi Protected Setup (WPS), indipendentemente dal metodo di crittografia utilizzato.

I modelli più recenti hanno questa caratteristica e la abilitano di default.

Molti produttori di dispositivi Wi-Fi consumer hanno adottato misure per eliminare il potenziale delle passphrase più deboli promuovendo metodi alternativi di generazione e distribuzione automatica di chiavi forti quando gli utenti aggiungono un nuovo adattatore o appliance wireless a una rete.

Questi metodi includono la pressione dei pulsanti sui dispositivi o l’inserimento di un PIN a 8 cifre.

Wi-Fi Alliance ha standardizzato questi metodi come Wi-Fi Protected Setup; tuttavia, la funzionalità PIN implementata ha introdotto un nuovo grande difetto di sicurezza.

Il difetto consente a un utente malintenzionato remoto di recuperare il PIN WPS e, con esso, la password WPA / WPA2 del router in poche ore.

Gli utenti sono stati invitati a disattivare la funzione WPS, anche se questo potrebbe non essere possibile su alcuni modelli di router.

Inoltre, il PIN è scritto su un’etichetta sulla maggior parte dei router Wi-Fi con WPS e non può essere modificato se compromesso.

MS-CHAPv2

Sono stati riscontrati diversi punti deboli in MS-CHAPv2, alcuni dei quali riducono drasticamente la complessità degli attacchi di forza bruta rendendoli fattibili con l’hardware moderno.

Nel 2012 la complessità della rottura di MS-CHAPv2 è stata ridotta a quella di rompere una singola chiave DES, opera di Moxie Marlinspike e Marsh Ray.

Moxie ha consigliato: “Le aziende che dipendono dalle proprietà di autenticazione reciproca di MS-CHAPv2 per la connessione ai loro server WPA2 Radius dovrebbero immediatamente iniziare la migrazione a qualcos’altro”.

Hole196

Hole196 è una vulnerabilità nel protocollo WPA2 che abusa della chiave temporanea di gruppo (GTK) condivisa.

Può essere usato per condurre attacchi man-in-the-middle e denial-of-service.

Tuttavia, presuppone che l’autore dell’attacco sia già autenticato contro Access Point e quindi in possesso del GTK.

Mancanza di segreto in avanti

WPA non fornisce il segreto in avanti, il che significa che una volta che una persona avversa scopre la chiave pre-condivisa, è in grado di decifrare tutti i pacchetti Wi-Fi crittografati trasmessi in futuro e anche in passato, che potrebbero essere passivamente e silenziosamente raccolti dall’attaccante.

Ciò significa anche che un utente malintenzionato può silenziosamente catturare e decrittografare i pacchetti degli altri se un punto di accesso protetto da WPA viene fornito gratuitamente in un luogo pubblico, poiché la sua password viene generalmente condivisa con chiunque in quel luogo.

In altre parole, WPA protegge solo dagli aggressori che non hanno accesso alla password.

Per questo motivo, è più sicuro utilizzare Transport Layer Security (TLS) o simili per il trasferimento di dati sensibili.

Predictable Group Temporal Key (GTK)

Nel 2016 un gruppo di ricercatori ha dimostrato che se i distributori implementano l’RNG proposto, un utente malintenzionato è in grado di prevedere la chiave di gruppo (GTK) che dovrebbe essere generata casualmente dall’access point (AP) .

Inoltre, hanno dimostrato che il possesso del GTK consente all’autore dell’attacco di immettere traffico nella rete e ha consentito all’autore dell’attacco di decrittografare tutto il traffico Internet trasmesso sulla rete wireless.

Hanno dimostrato il loro attacco contro un router Asus RT-AC51U che utilizza i driver out-of-tree di MediaTek, che generano la stessa GTK e hanno dimostrato che la GTK può essere ripristinata entro due minuti o meno.

Allo stesso modo, hanno dimostrato che le chiavi generate dai daemon di accesso Broadcom in esecuzione su VxWorks 5 e versioni successive possono essere ripristinate in quattro minuti o meno, il che influisce, ad esempio, su determinate versioni di Linksys WRT54G e su alcuni modelli di Apple AirPort Extreme.

I venditori possono difendersi da questo attacco usando un RNG sicuro.

Facendo così, Hostapd che gira su kernel Linux non è vulnerabile contro questo attacco e quindi i router che eseguono le tipiche installazioni OpenWrt o LEDE non presentano questo problema.

KRACK attack

A ottobre 2017 sono stati pubblicati i dettagli dell’attacco KRACK (Key Reinstallation Attack) su WPA2, che si ritiene abbia effetto su tutte le varianti del protocollo WPA.