Non conoscete Mathy Vanhoef e Frank Piessens, eppure questi due giovanotti di nazionalità belga sono i colpevoli dell’insonnia che da qualche giorno affligge gestori ed utilizzatori di reti Wi-Fi.
I due brillanti personaggi da qualche anno si cimentano con successo nella verifica della permeabilità delle connessioni wireless. La loro ultima scoperta riguarda la vulnerabilità del protocollo di sicurezza WPA2, che rappresenta lo standard de facto delle comunicazioni protette tra i dispositivi mobili a nostra disposizione e gli “hot spot” cui smartphone e tablet si collegano per accedere ad Internet o ai servizi erogati dal server locale.
Abbandonata da tempo – perché riconosciuta di estrema “fragilità” – la soluzione WEP per il riconoscimento e l’autenticazione di chi vuole accedere al punto di connessione, adesso ci si ritrova a scoprire che il ben più solido WPA2 non è esente da debolezze di sorta e in particolare può essere bersaglio di attacchi KRACK. Lo scricchiolante e quasi onomatopeico acronimo sta per Key Reinstallation AttaCKs e riguarda una nuova tecnica di aggressione telematica mirata al furto di informazioni sensibili (numeri di carte di credito, password, messaggi di posta elettronica, chat, fotografie e così a seguire) veicolate tramite la Wi-Fi. Se la rete senza fili non è configurata a dovere il perimetro di rischio si allarga e trovano spazio malefiche possibilità di inserimento fraudolento di dati falsi e programmi nocivi nonché di manipolazione delle informazioni esistenti.
La ricerca che ha sviscerato il possibile attacco sarà presentata in due occasioni importanti alla conferenza internazionale Computer and Communications Security (CCS) e al sempre inquietante meeting Black Hat Europe. Nel frattempo chi non resiste alla tentazione di conoscere i dettagli tecnici può leggere la dettagliata relazione approntata da Vanhoef e Piessens.
Ma chi è digiuno di competenze tecniche o chi non vuole cimentarsi in una senza dubbio impegnativa disamina professionale del problema come deve comportarsi? La tentazione è certo quella – si perdoni l’ossimoro – di tranciare di netto la connessione WPA2, di rinunciare alla comodità del “senza fili” e di lasciar perdere i gadget tecnologici fino a una auspicabile schiarita.
E’ fuor di dubbio che la circostanza agiti il quisque de populo e al contempo metta in imbarazzo gli scienziati dell’Institute of Electrical and Electronic Engineers che hanno la paternità del protocollo 802.11i alla base delle moderne comunicazioni wireless, ma è altrettanto vero che la situazione lasci intravedere rimedi e speranze.
Il problema, che è stato strombazzato al pari di una epidemia incombente, in realtà merita di essere ridimensionato. In primo luogo chi vuole sfruttare questa tecnica deve trovarsi nelle immediate vicinanze della rete che intende attaccare. Quel “chi” non può essere chiunque, ma deve trattarsi di persona in possesso di competenze tecniche di pregio, deve disporre dei software necessari per passare dalla teoria alla pratica e – soprattutto – deve avere un sacco di tempo da perdere. Infatti non esiste ancora un “exploit” preconfezionato che permetta di andare a segno in maniera rapida ed efficace e, non bastasse, gli “assalti” sarebbero perpetrabili solo in danno di apparati con sistema operativo Linux e Android.
Se il traffico di rete è crittografato utilizzando HTTPS, VPN, SSH, TLS o simile, il sistema KRACK non riuscirà a scardinare la connessione: chi avrà indebitamente guadagnato l’accesso alla rete Wi-Fi e decifrato i pacchetti di comunicazione si troverà dinanzi ad una sorta di matrioska e scoprirà che quel che ha appena aperto in realtà è inscatolato in un altro livello di protezione. Il furbastro che farà ricorso alla tecnica della Key Reinstallation si troverà nella medesima condizione in cui vegeta qualunque malintenzionato che cerca di intercettare online il dialogo tra l’utente e un sito web.
KRACK non nasce per sgraffignare le parole chiave necessarie per accedere chissà dove, ma – se la stazione base adopera la modalità crittografica WPA-TKIP o GCMP – è in grado di inoculare veleni (da codici maligni JavaScript a malware di ogni sorta) nel traffico non criptato.
Le aziende presenti sul mercato sono al lavoro per “patchare” i rispettivi prodotti e superare la sgradevole impasse. Microsoft ha già “rattoppato” il codice wireless di Windows nell’aggiornamento del mese di ottobre, Apple sta per rilasciare le correzioni “antidoto” per iOS e macOS e Google sta rincorrendo la soluzione per Android e ChromeOS. Analoghe iniziative sono in cantiere tra i produttori di hardware di rete impegnati a risolvere alla radice la questione.
La raccomandazione – e non vale solo stavolta – è quella di non tardare ad aggiornare il sistema operativo dei dispositivi in uso e tale solerzia non deve essere occasionale e magari semplicemente legata al più o meno ricorrente allarme. La sicurezza, purtroppo, non rientra tra le priorità che dovrebbero cadenzare la nostra giornata e ce ne si ricorda solo all’insorgere del solito immancabile problema.