A poche ore dalla pubblicazione dei primi dettagli su KRACKs , il mondo informatico reagisce a quella che potrebbe essere una delle peggiori vulnerabilità di sicurezza degli ultimi anni. Lo studio condotto da Mathy Vanhoef, ricercatore presso l’università belga KU Leuven, ha generato un panico che si diffonde sui mezzi di comunicazione tradizionali ma preoccupa anche gli esperti di settore, tutti concordi nel dire che il rischio è concreto , la conseguenze potenzialmente gravi e la necessità di porre rimedio laddove possibile imperativa.
L’attacco KRACKs comprende un exploit in grado di sfruttare dieci vulnerabilità presenti nel protocollo Wi-Fi Protected Access II (WPA2), uno standard oggi fondamentale per la protezione delle reti Wi-Fi le cui chiavi crittografiche possono essere compromesse durante la fase di handshake della connessione.
Le vulnerabilità scovate da Vanhoef sono le seguenti: CVE-2017-13077 , CVE-2017-13078 , CVE-2017-13079 , CVE-2017-13080 , CVE-2017-13081 , CVE-2017-13082 , CVE-2017-13084 , CVE-2017-13086 , CVE-2017-13087 , CVE-2017-13088 .
A chi va ascritta la responsabilità di un problema così grave in uno standard così importante per il buon funzionamento di computer e gadget informatici moderni? Stando al professore della Johns Hopkins University Matthew Green, il principale indiziato è quello stesso Institute of Electrical and Electronics Engineers (IEEE) che ha ratificato, anni fa, l’uso del protocollo 802.11i (WPA2) per le connessioni wireless.
Il processo di discussione degli ingegneri di IEEE sugli standard tecnologici viene condotto a porte chiuse, ha accusato Green , e non aiuta nemmeno il fatto che le specifiche di WPA2 siano difficili da raggiungere attraverso gli strumenti pubblici più comuni. Il lavoro dei ricercatori interessati ad analizzare in profondità la sicurezza dei protocolli è stato in questi anni complicato inutilmente da meccanismi di verifica che andrebbero piuttosto assistiti dalle macchine, ha detto ancora Green.
La lista dei produttori coinvolti nell’affare KRACKs è già piuttosto lunga e include i produttori delle piattaforme informatiche più usate, colossi delle appliance di rete (Cisco, Aruba, Zyxel) e molti altri nomi noti o meno noti. Per quanto riguarda le suddette piattaforme informatiche, al momento solo Microsoft ha rilasciato una patch correttiva per Windows 10 in occasione del Patch Tuesday di ottobre. Google dice di voler rilasciare un aggiornamento per Android (dalla versione 6.0 in su) nelle prossime settimane, mentre Apple si è limitata a confermare l’integrazione dei bugfix nelle versioni beta dei suoi OS. Molti produttori e aziende tecnologiche hanno già distribuito i rispettivi aggiornamenti, mentre i marchi noti che ancora mancano all’appello (o preferiscono non rispondere alle richieste di informazioni) includono D-Link, Juniper Networks, Broadcom, CentOS e persino IBM.
Una risposta è arrivata anche dalla Wi-Fi Alliance , che ha confermato di essere impegnata a inglobare la ricerca delle vulnerabilità nel suo programma di certificazione per i dispositivi compatibili WiFi. Per maggiori informazioni su KRACKs, infine, occorrerà attendere la fine del mese quando Mathy Vanhoef interverrà in occasione della ACM Conference on Computer and Communications Security (CCS) di Dallas.
Alfonso Maruccia