Martedì, 17 Ottobre 2017 00:00

Vulnerabilità KRACK: mettere in sicurezza router ed access point Wi-Fi.

Scoperte gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless. Potenzialmente riguarda centinaia di milioni di access point sparsi per il mondo.

Recentemente è stata resa nota una vulnerabilità critica denominata KRACK (Key Reinstallation Attack) che consente di bypassare la protezione del protocollo WPA2 di router e access point rivelandosi quindi assai pericolosa. Potrebbe consentire ad eventuali aggressori di intercettare (in chiaro) il traffico Wi-Fi che viene generato fra computer e access point . Tale vulnerabilità' risiede nel protocollo stesso e  l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o per il proprio dispositivo non appena questi verranno messi a disposizione dai rispettivi produttori, attraverso patch che consentono di annullare o ridurre i potenziali problemi.

Alcune semplici regole di sicurezza :

Fate attenzione (e se possibile evitate) rete WiFi pubbliche come quelle di bar, aeroporti, hotel. Spesso l’utente sottovaluta i pericoli di queste reti ma esistono procedure di “sniffing” che consentono di acquisire i pacchetti di dati che passano in rete. Cybercriminali potrebbero interporsi tra il vostro computer e l’access point, intercettando le comunicazioni e di conseguenza tutto ciò che passa sulla rete.  

Disabilitate le funzioni di condivisione dei file. Sono comode per scambiare file tra utenti della stessa rete ma bisogna ricordare che connettendosi a una rete Wi-Fi pubblica, si condividono le cartelle su tali reti permettendo, così, ad altri utenti di accedere a eventuali file condivisi. Se le funzioni di condivisione sul vostro computer sono attive, fate attenzione a cosa salvate nella cartella Pubblica. La cartella Pubblica di ogni utente con un account su Mac viene condivisa automaticamente.

Molti utenti lasciano come password dell’access point/router, quella impostata in fabbrica dai produttori dei dispositivi. In combinazione ad altre mancanze, i cybercriminali una volta collegati alla rete Wi-Fi, possono potenzialmente prendere controllo completo di router/access point. Se non lo avete già fatto, è bene reimpostare subito la password di accesso all’area di amministrazione del router/access point indicandone una più complessa.

Alcuni router offrono funzionalità di gestione in remoto. Se non strettamente necessarie è meglio disattivare queste funzioni, bloccando l’accesso al router mediante Telnet o protocolli SSH (se supportato dalla vostra connessione). Gli utenti più esperti possono applicare restrizioni al pannello di controllo LAN per l’indirizzo MAC. Ogni dispositivo che si connette a una rete Wi-Fi ha un codice identificativo conosciuto come “indirizzo MAC”, un codice univoco per ogni dispositivo. Per impedire che persone sconosciute si colleghino alla nostra rete, è possibile specificare il MAC address nel Pannello di Amministrazione di ogni dispositivo usato regolarmente.

Se non le utilizzate, è bene disattivare funzioni dei router quali l’Universal Plug and Play (UPnP), DLNA (Digital Living Network Alliance) e simili. Si riduce in questo modo il rischio derivante da vulnerabilità presenti nei software che utilizzano queste funzionalità. Se dovessero servire, è sempre possibile entrare nel pannello di amministrazione e attivare ciò che serve, quando serve.

SSID è l’acronimo di Service Set Identifier, in altre parole il nome col quale una rete Wi-Fi si presenta ai suoi utenti. Per default molti router usano come SSID il nome e il modello de dispositivo stesso: in questo modo, un malintenzionato che passa nelle vicinanze dell’access point conosce anche con quale hardware ha a che fare. Se possibile è meglio disattivare il broadcasting dell’SSID, nascondendo la diffusione del nome. Nascondendo l’identificativo della propria rete wireless non impedirà a chi già conosce il nome di collegarsi ma permetterà di attivare una semplice misura con la quale tenere lontani hackers meno esperti.

Molti router di nuova generazione consentono di configurare una “Guest Network”, in altre parole una rete Wi-Fi per gli ospiti, con restrizioni d’accesso in qualche modo “isolando” quelli sconosciuti o non di vostra proprietà in una rete separata. 

Cercando tra le varie impostazioni dell’access point/router troverete quelle che riguardano la sicurezza della rete wireless. In questa sezione è generalmente possibile indicare la password di accesso alla rete e scegliere il tipo di crittografia utilizzato. La maggior parte dei router nuovi di default hanno il protocollo WPA/WPA2, quello finora considerato più sicuro. Nel caso aveste un router più vecchio, potrebbe essere impostata la crittografia WEP. Questa è facilmente violabile. Se il vostro router/access point è impostato per usare il protocollo WEP, non è sicuro. Se non è possibile usare un protocollo diverso, è ora di cambiare dispositivo.

Un Virtual Private Network (VPN), è un servizio che permette di creare una connessione sicura fra il vostro computer e un sito web, indipendentemente dal tipo di rete usata per accedere a Internet. Sfruttare una VPN per accedere a una Wi-Fi pubblica è un metodo semplice e sicuro per garantire la sicurezza del collegamento.