Blog WatchGuard

Vulnerabilità del Wi-Fi sempre esistite

Nel 2017, l'analista Mathy Vanhoef ha individuato una serie di falle nel protocollo WPA2 utilizzato oggi dalla maggior parte delle reti Wi-Fi, che ha chiamato KRACK (acronimo di Key Reinstallation Attack). Quattro anni dopo, Vanhoef è tornato alla ribalta nella comunità della cybersicurezza grazie a un'altra sorprendente scoperta: una serie di vulnerabilità della rete Wi-Fi presenti sin dall'introduzione di tali protocolli.

Vanhoef le ha battezzate FragAttacks, abbreviazione di "Fragmentation and Aggregation Attacks" (attacchi di fragmentazione e aggregazione). Sul suo sito, le ha sintetizzate in una dozzina di vulnerabilità assegnando l'ID CVE corrispondente. Funzionano tutte in modo diverso: una intrappola informazioni del router in alcuni processi, un'altra si basa su messaggi handshake, e così via. L'aspetto impressionante è che alcune di loro funzionano semplicemente con il protocollo WEP, il che vuol dire che esistono da quando sono state implementate per la prima volta nel 1997.

In linea di massima, Vanhoef crede siano pericolose in quanto gli hacker potrebbero sfruttarle per intercettare dati sensibili o reindirizzarli a siti web o contenuti dannosi, anche se utilizzano reti Wi-Fi protette con protocolli più aggiornati come WPA2 o WPA3.  L'analista ha quindi informato Wi-Fi Alliance (la rete mondiale a cui si allacciano quasi tutte le aziende che lavorano con questi protocolli) affinché il problema venisse risolto prima della pubblicazione, dichiarando che, a quanto gli risultava, queste falle non erano mai state sfruttate fino ad allora. Inoltre, ha spiegato in un suo video che alcune sono molto complesse mentre altre sarebbero persino troppo banali da usare.

Aggiornamenti, HTTPS, firewall

Per prevenire le intrusioni nella rete Wi-Fi, l'esperto consiglia di adottare una serie di misure di sicurezza informatica più o meno comuni. Tra queste troviamo:

  • Aggiornamento dei dispositivi: molti produttori di router, sia domestici che aziendali, hanno già rilasciato patch con aggiornamenti capaci di correggere queste vulnerabilità, ma è sempre bene verificare che tutti i dispositivi siano stati aggiornati.
  • Uso di HTTPS: Vanhoef menziona un'altra pratica di cybersicurezza che dovrebbe essere la norma, ma che purtroppo non lo è: raccomanda di visitare esclusivamente siti web criptati su HTTPS. Le organizzazioni dovrebbero fare in modo che gli utenti dell'azienda non possano accedere all'HTTP non sicuro, salvo in determinate circostanze.
  • Configurazione DNS: l'analista afferma anche che è possibile mitigare (ma non impedire del tutto) gli attacchi informatici disabilitando la frammentazione dinamica, specialmente su dispositivi Wi-Fi 6 (802.11ax).

Protezione contro ogni tipo di minaccia

Le misure appena descritte dovrebbero essere prassi comuni in ambito di sicurezza informatica per le reti Wi-Fi, ma non è sempre così. Tuttavia, con il diffondersi di minacce sempre più sofisticate, ai MSP serve una protezione completa che vada ben oltre queste pratiche: le soluzioni WatchGuard con gestione tramite cloud per reti Wi-Fi sicure rispondono a quest'esigenza generando un ambiente wireless affidabile in tutta l'organizzazione.

Ciò include la sicurezza fornita dal Wireless Intrusion Prevention System (WIPS), che WatchGuard ha elevato a un altro livello: grazie alla sua flessibilità, ogni access point (AP) opera sia come AP convenzionale che come sensore di sicurezza informatica WIPS, proteggendo così gli access point di terze parti. Questa protezione completa copre tutte e sei le categorie di minacce alla rete Wi-Fi:

  • Evil twin
  • Access point configurati in modo non corretto
  • Access point falso
  • Client falso
  • Access point adiacente
  • Reti ad hoc

Così facendo, le organizzazioni possono prepararsi al meglio per evitare che le vulnerabilità vecchie e nuove delle reti Wi-Fi diventino bersaglio dei cybercriminali, come le falle che Vanhoef ha scoperto nel corso degli anni, e per difendersi da ogni tipo di minaccia.