La sicurezza WPS è più debole di quanto si pensi, e un malintenzionato con le giuste capacità potrebbe violarla con relativa facilità. Il problema starebbe nel fatto che il router rimanda al client troppe informazioni in caso s'inserisca un PIN errato, e questi dati possono poi servire per costruire una chiave funzionante.
Il problema riguarda milioni di router e access point in tutto il mondo (il sistema WPS è ormai comune da qualche anno), e sono quindi a rischio altrettante reti domestiche, ma anche quelle private create in negozi e altri luoghi accessibili al pubblico.
La connessione WPS è semplice
Il sistema WPS è nato per facilitare l'uso delle reti Wi-Fi soprattutto da parte dei meno esperti, e serve ad attivare il collegamento tra host e client tramite un semplice PIN numerico invece che con una complessa password. Si ritiene abbastanza sicuro perché solo il legittimo proprietario ha, in teoria, accesso al codice necessario.
Nel passaggio tra teoria e pratica emerge però un problema piuttosto serio. "Quando l'autenticazione via PIN fallisce l'access point spedisce al client un messaggio EAP-NACK. Questi messaggi sono spediti in modo tale che un malintenzionato può determinare se la prima metà del PIN è corretta. Anche l'ultima cifra è nota, grazie al cherckusum del PIN stesso. Questo design riduce molto il numero di tentativi necessari per forzare il PIN".
Se a questo si aggiunge che molti router non hanno nessun meccanismo di blocco contro attacchi brute force si può capire facilmente che una rete può essere piuttosto facile da violare. Produttori come D-Link, Netgear, Linksys o Buffalo non hanno risposto alle mail di chiarificazione inviate dal ricercatore Stefan Viehbock, che ha scoperto e reso pubblica questa vulnerabilità (PDF).
Un allarme piuttosto serio quindi, ma quanto è reale il pericolo nella nostra vita quotidiana? Se avete una rete Wi-Fi che "si vede" dalla strada, o dall'appartamento del vicino, allora forse sarebbe meglio disattivare il metodo WPS per accedere alla rete, a meno che non abbiate la più totale fiducia nelle persone che potrebbero agganciarsi al segnale. E naturalmente è importante anche creare una password abbastanza solida.
Le foto rubate di S. Johansson hanno avviato un gioco d'imitazioni mondiale
Detto questo nella maggior parte dei casi le persone che "prendono in prestito" la rete del vicino lo fanno per navigare o controllarsi la posta, o magari per scaricarsi qualche film o della musica - e quest'ultimo caso può anche essere una seccatura, perché il responsabile è l'intestatario del contratto ADSL. Tra l'alto molti di loro sono a loro volta poco attenti alla sicurezza, visto che una rete aperta potrebbe nascondere anche una trappola (è successo diverse volte).
L'uso della rete Wi-Fi però è stato anche uno strumento per rubare dati più o meno sensibili dai computer messi in rete. A volte qualcuno si è visto sottrarre fotografie "molto private" usate poi come strumento di ricatto, e c'è chi ci ha rimesso cifre anche sostanziose. Se una rete Wi-Fi dà accesso a risorse condivise, che sia l'hard disk di rete o quello del computer, dovreste assicurarvi che sia protetta.
Tutti casi sporadici, adatti agli aneddoti che piacciono ai produttori di antivirus, ma non per questo meno reali. Disattivare il WPS (almeno per ora) e impostare una solida password sono un buon metodo, poco impegnativo, per evitare di diventare un'altra storia esemplare.
Aggiornamento 17 gennaio 2012. Netgear ci ha comunicato la propria risposta ufficiale, qui di seguito:
La vulnerabilità scoperta nel sistema WPS rende l’identificazione tramite PIN estremamente suscettibile a tentativi di accesso non autorizzato. Precisiamo che i router NETGEAR sono in grado di autoproteggersi dopo diversi tentativi di autenticazione fallita in modalità di registrazione esterna, entrando in uno stato di blocco.
Il metodo WPS attivato con la sola pressione del pulsante dedicato può continuare ad essere utilizzato per i collegamenti di rete wireless, anche nei periodi di blocco del router.
Dato che la vulnerabilità riscontrata riguarda soltanto il sistema con identificazione tramite PIN, NETGEAR consiglia di disabilitare la funzione, per proteggere al meglio la propria rete da possibili attacchi.
Come fare:
Atom N2600 e N2800, un'iniezione di fiducia per i netbook
Samsung Galaxy S: un Value Pack al posto di Android 4.0?
Italiani brava gente, campioni nel cercare i Torrent online
iPhone 5 in gomma e alluminio, un progetto tutto nuovo
Rete GSM col bug, gli hacker telefoneranno a spese nostre
Kinect nello spazio per dirci quanto pesano gli astronauti
Le schede madre X79 di Gigabyte hanno il vizio del fumo
Prezzi gonfiati degli LCD, 533 milioni di multa ai colpevoli
Apple potrebbe incassare 10 dollari da ogni telefono Android
Android regna e Windows Phone è un flop: ecco i motivi
Intel Ivy Bridge ad aprile, 25 microprocessori al debutto
Radeon HD 7990 con 6 GB di memoria GDDR5: 850 dollari
CryptDB usa dati crittografati senza togliere la protezione
Garanzia, Apple in odor di class action. Pronti a iscrivervi?
Hackerville, la patria dei pirati informatici è in Romania
iPad in regalo ai politici italiani: siamo tutti Babbo Natale
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Mac è ufficialmente vulnerabile: da Flashback a SabPub Kaspersky Pure Total Security 2.0 protegge l'intera famiglia Kaspersky One protegge PC, Mac, tablet e smartphone Kaspersky: social e mobile, insidie per gli inesperti Kaspersky Anti-virus 2012 - PR Kaspersky Antivirus 2012, sicurezza locale e cloud La botnet TDL-4 è indistruttibile, un genio del male L'antivirus Kaspersky si veste di rosso Ferrari Anti-Virus 2011 for Mac, anche Apple è sotto attacco Ransomware, il ritorno del malware che ti ricatta Video e foto niente male con i Project Glass di Google Il mantello dell'invisibilità è nanotecnologia di silicio e oro Dati riscrivibili immagazzinati nel DNA con la bioingegneria Musica elettronica: da Robert Moog alle onde ultrasoniche Leap 3D è il sensore di movimento 100 volte meglio di Kinect Barristore è il nuovo transistor al grafene di Samsung I chip che fanno errori sono più veloci dei processori perfetti Arti robot per i disabili, ma nel futuro saremo ologrammi Velocità Wi-Fi a 3 Gbps con la trasmissione a 542 GHz Smartphone sempre carico con i nanotubi al silicio
Magari continuasse a distribuirli... sono anni che hanno risolto il problema, e tutti quelli nella mia zona per esempio non hanno mai avuto il router wifi con quel "difetto", hanno da subito avuto quello sano.Originariamente inviata da Mortimer86
Non m'è mai capitato di avere a che fare con router che disponessero di WPS (o non l'ho notata io).
In compnso abbiamo la Telecom che distribuisce router il cui SSID è legato alla chiave WEP-WPA tramite un algritmo ormai noto. Il bello è che in alcuni di questi router non è possibile cambiare l'ssid.
Originariamente inviata da GranTurismo
ma per essere attivato, il sistema WDS necessita ...il WDS rimane attivo ... o mi sfugge qualcosa?
Circuiti che si auto-riparano, ma il T-1000 è ancora lontano Con i transistor universali CPU più potenti e consumi in calo Processori con consumi dimezzati, basteranno 0,4 volt RAMPLAS, la RAM ottica europea da 100 gigabit al secondo Un transistor abbatte i consumi, il segreto sta nel tunnel Batteria di carta, Sony alimenta una ventola: grazie enzimi! Bosone di Higgs, la particella di Dio ha lasciato delle tracce IBM Nostradamus: entro cinque anni leggeremo il pensiero Saphari, i robot pensati da Asimov parleranno anche italiano Anche l'Italia avrà la sua cyber-roccaforte di difesa
14 commenti
Commenti