Le reti WiFi non sono come quelle cablate. Certamente più comode e più facilmente accessibili, tanto che in Italia si è pensato di lanciare il nuovo servizio GRATIS accessibile semplicemente tramite app. Ma, ad ogni modo, non rispecchiano l’idea di sicurezza del tradizionale cavo UTP in Categoria 6 o superiore. Tutto è regolato da una serie di protocolli di crittografia che operano a più livelli per la sicurezza.
Per far fronte alle agghiaccianti scoperte sulle vulnerabilità WPA2 dello scorso anno, si è creato il nuovo Standard WPA 3 che nelle intenzioni della WiFi Alliance avrebbe dovuto colmare ogni qualsivoglia manchevolezza in termini di security. Sembra che non ci siamo proprio. La situazione è nuovamente degenerata.
WiFi ancora poco sicuro: WPA 3 a rischio
I ricercatori di sicurezza Mathy Vanhoef ed Eyal Ronen confermano che il WPA3 non è tanto più sicuro del WPA2. Il problema principale resta la retrocompatibilità. Il protocollo precedente si basava su un fattore di autenticazione a 4 vie costituito da un hash con la password di rete che rendeva facili i tentativi di intrusione. WPA 3 dovrebbe essere più sicuro ma offre il WPA3 Transition Modeche consente l’accesso diretto alla rete per i dispositivi WPA2. All’atto pratico, quindi, per il WPA2 si usa la stessa password del WPA3.
In questo caso è sufficiente creare una rete con SSID uguale tramite WPA2 per riuscire ad intercettare il pacchetto che contiene la passphrase. Si tratta di una tipologia di attacco definita come side-channel, facilmente attuabile sfruttando cache e timing anche su dispositivi di nuova generazione come i Galaxy S10, utilizzati con successo nelle prove.
L’Allenza WiFi ha risposto direttamente specificando che la diffusione del nuovo standard è limitata e che i singoli produttori attualmente attivi si stanno attivando a favore di opportune patch correttive che risolvano i problemi tagliando fuori i malintenzionati.
“Come in ogni tecnologia, le ricerche ben fatte che scoprono potenziali problemi di sicurezza tempestivamente sono fondamentali per garantire una protezione adeguata. La Wi-Fi Alliance ringrazia [gli autori] per aver scoperto e riportato in modo responsabile questi problemi, permettendo ai produttori di prepararsi proattivamente prima della diffusione in massa di WPA3-Personal”
Il nostro consiglio resta sempre lo stesso ormai da anni: usate password forti contenenti almeno 15 caratteri misti. Solo in questo modo ridurremo le possibilità di intrusione.