Attacchi alle reti Wi-Fi con l’utilizzo dell’intercettazione PMKID

Tratto da: Blog Kaspersky

Autore: Alanna Titterington

L’attacco più semplice ed efficace a WPA/WPA2-PSK: l’intercettazione PMKID

L’intercettazione PMKID è il metodo più efficace, facile da eseguire e completamente non rilevabile per attaccare le reti wireless protette dagli standard WPA/WPA2. In sostanza, questo attacco comporta l’intercettazione delle password Wi-Fi crittografate che i router wireless trasmettono costantemente, anche quando non è connesso alcun dispositivo. Dopo aver ottenuto la password crittografata, l’autore dell’attacco può utilizzare il metodo di forza bruta per decrittografarla e quindi connettersi alla rete Wi-Fi.

Questo attacco può essere effettuato anche su larga scala utilizzando una tecnica chiamata wardriving. In questo caso, l’autore dell’attacco si sposta per una città eseguendo la scansione di tutte le reti wireless disponibili e intercettando le password crittografate trasmesse dai router. Non sono necessarie molte attrezzature per farlo: bastano un laptop, un adattatore Wi-Fi a lungo raggio e un’antenna potente.

Le password crittografate intercettate possono essere violate anche in mobilità. Tuttavia, l’autore dell’attacco potrebbe preferire aspettare di essere a casa e immettere tutte le password raccolte in uno strumento per decifrarle su un computer ad alte prestazioni (o noleggiare potenza di calcolo sul cloud). L’efficacia di questo attacco è stata recentemente dimostrata ad Hanoi: un hacker vietnamita ha effettuato la scansione di circa 10.000 reti wireless ed è riuscito a decifrare le password di metà di esse.

Com’è possibile hackerare il Wi-Fi utilizzando l’intercettazione PMKID?

Perché i router wireless trasmettono continuamente la password Wi-Fi, anche se in formato crittografato? Questa è una funzione di base dello standard 802.11r, che è implementato nella maggior parte dei router e in genere è abilitato per impostazione predefinita. Questo standard consente il roaming veloce nelle reti Wi-Fi utilizzando più punti di accesso. Per accelerare la riconnessione del dispositivo client ai nuovi punti di accesso, i dispositivi trasmettono costantemente il proprio identificatore: lo stesso PMKID.

Questo identificatore è un derivato della chiave PMK (Pairwise Master Key). Più precisamente, contiene il risultato di un calcolo della funzione hash SHA-1, i cui dati di origine includono la chiave PMK e alcuni dati aggiuntivi. La chiave PMK stessa, a sua volta, è il risultato di un calcolo della funzione hash SHA-1 della password Wi-Fi.

In altre parole, il PMKID contiene la password della rete wireless, sottoposta ad hashing due volte. In teoria, il processo di hashing è irreversibile, il che significa che è impossibile recuperare i dati originali dal valore hash risultante. I creatori dello standard 802.11r si sono presumibilmente basati su questo presupposto per ideare il meccanismo di roaming veloce tramite PMKID.

Tuttavia, i dati con hashing possono essere sottoposti ad attacchi di forza bruta. L’operazione è resa particolarmente semplice dal fatto che le persone utilizzano di rado password particolarmente complesse per le reti wireless, basandosi spesso su combinazioni di caratteri abbastanza prevedibili. I creatori dello standard 802.11r ovviamente non ne hanno tenuto conto.

Questo problema è stato scoperto alcuni anni fa dal team che sta dietro a una delle utilità di recupero password più popolari (in altre parole uno strumento per decifrare le password), Hashcat. Da allora, sono stati sviluppati strumenti specializzati specificamente per decifrare i PMKID intercettati.

In pratica, l’autore dell’attacco di solito intercetta il PMKID contenente la password crittografata e quindi utilizza un attacco a dizionario, ovvero applica la forza bruta alle password più comuni, che vengono raccolte in un database.

Come proteggere la rete wireless da un attacco PMKID

Cosa puoi fare per prevenire un attacco di intercettazione PMKID alla tua rete wireless? Fortunatamente, ci sono diverse misure di protezione che non sono troppo difficili da implementare:

  • Crea una password per la tua rete wireless che sia quanto più lunga e complessa possibile. Se l’autore di un attacco PMKID intercetta la password con hash dal Wi-Fi, deve comunque decrittografarla in seguito: più complessa è la password, minori sono le probabilità che riesca nel suo intento. Pertanto, per proteggerti da questo attacco, crea la password più lunga e indecifrabile possibile per la rete wireless.
  • Disabilita la trasmissione PMKID nelle impostazioni del router. Sfortunatamente, non tutti i router lo consentono, ma vale la pena verificare se il tuo dispone di questa impostazione. Puoi trovarla cercando PMKID o 802.11r.
  • Passa a WPA3. Se tutti i tuoi dispositivi supportano questo standard di protezione Wi-Fi più recente, vale la pena valutare se passare a questo protocollo: WPA3 è generalmente molto più sicuro di WPA2 e, soprattutto, non è suscettibile di intercettazione PMKID.
  • Imposta una rete guest. Può essere noioso dover immettere frequentemente una password complessa per la rete principale nei nuovi dispositivi, quindi configura una rete guest con una password più semplice. A proposito, è anche consigliabile trasferire elementi potenzialmente non sicuri come i dispositivi IoT nella rete guest.

Per una protezione aggiuntiva dei dati trasmessi nel caso qualcuno riesca comunque ad hackerare la tua rete Wi-Fi, utilizza una VPN su tutti i dispositivi per proteggere la connessione Internet.

4 Aprile 2024

La direttiva NIS2, l’Unione Europea e le organizzazioni italiane: a che punto siamo?

 

Tratto da www.lineaedp.it – 05/12/2023

Autore: Redazione LineaEDP

 

Gli Stati membri dell’UE devono recepire la direttiva NIS2 entro il 17 ottobre 2024 e le misure inizieranno a entrare in vigore il 18 ottobre 2024: uno sguardo a un futuro ormai prossimo

 

 

Considerando l’aumento delle minacce informatiche come phishing, software dannosi e attacchi DoS, i governi di tutto il mondo hanno creato normative sulla sicurezza informatica. Nell’agosto 2016 l’UE ha introdotto la direttiva NIS, un regolamento volto a migliorare la capacità degli Stati membri di gestire gli attacchi informatici, oggi superata dalla direttiva NIS2. Dove stiamo andando, quali sfide devono affrontare le organizzazioni italiane e come possono essere aiutate? Una risposta arriva da Sangfor Technologies.

La direttiva NIS originale ha incontrato numerosi ostacoli nel suo obiettivo di migliorare gli standard di sicurezza informatica delle nazioni dell’UE. La recente digitalizzazione ha alimentato la crescita delle minacce informatiche, pertanto, per affrontare meglio tali attacchi e garantire una cybersicurezza uniforme in tutti gli Stati dell’UE, è emersa la richiesta di migliorare la direttiva NIS.

NIS2 è l’acronimo di Network and Information Security 2 Directive, ufficialmente nota come Direttiva (UE) 2022/2555. La Commissione Europea ha proposto che la NIS2 si basi sulla direttiva NIS originaria, o direttiva (UE) 2016/1148, correggendone le carenze. La direttiva NIS2 mira a migliorare la sicurezza informatica nell’UE e prepara le organizzazioni a essere pronte per qualsiasi potenziale minaccia informatica.

Gli Stati membri dell’UE devono recepire la direttiva NIS2 entro il 17 ottobre 2024 e le misure inizieranno a entrare in vigore il 18 ottobre 2024.

Cosa c’è di nuovo nella direttiva NIS2?

Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in quattro aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità aziendale.

La direttiva NIS contemplava 7 settori considerati infrastrutture critiche, ma la nuova direttiva ne include altri 8, per un totale di 15. NIS2 divide i settori in due entità: Essential Entity (EE) e Important Entity (IE).

Oltre ai requisiti severi, NIS2 richiede che le organizzazioni dispongano di misure minime di sicurezza informatica. Ciò include l’esecuzione di risk assesment, l’esecuzione di backup, la formazione per la sicurezza informatica, l’utilizzo dell’autenticazione a più fattori, l’utilizzo della crittografia e dell’encryption.

Per promuovere sanzioni coerenti in tutti gli Stati membri dell’UE, la NIS2 ha introdotto nuove norme uniformi. Le organizzazioni dell’UE che non rispettano la direttiva NIS2 possono essere soggette a tre tipi di sanzioni che includono rimedi non monetari, sanzioni amministrative e sanzioni penali.

Le entità essenziali (Essential Entities – EE) possono incorrere in sanzioni amministrative fino a 10 milioni di euro o al 2% del loro fatturato annuo globale, a seconda di quale sia il valore più alto. Le entità importanti (Important Entities – IE) possono incorrere in una multa fino a 7 milioni di euro o all’1,4% delle loro entrate annuali, a seconda di quale sia il valore più alto.

A chi si applica la NIS2?

NIS2 classifica 8 categorie come Entità Essenziali. Si tratta di Energia, Trasporti, Finanza, Pubblica Amministrazione, Sanità, Spazio, Approvvigionamento idrico e Infrastrutture digitali. NIS2 è applicabile alle organizzazioni di questi settori con oltre 250 dipendenti, un fatturato annuo di almeno 50 milioni di euro o uno stato patrimoniale di almeno 43 milioni di euro.

Sette settori rientrano tra gli Enti Importanti. Sono i servizi postali, la gestione dei rifiuti, i prodotti chimici, la ricerca, gli alimenti, la produzione e i fornitori digitali. La NIS2 si applica alle imprese di questi settori con un numero di dipendenti compreso tra 50 e 250 e un fatturato annuo non superiore a 50 milioni di euro o uno stato patrimoniale non superiore a 43 milioni di euro.

Come l’Italia prevede di implementare la NIS2: un breve studio

L’Italia punta a raggiungere l’autonomia strategica nazionale ed europea puntando sul dominio digitale. Il Paese ha lanciato la National Cybersecurity Strategy (NCS), che mira ad attuare 82 misure entro il 2026, attraverso tre obiettivi chiave: protezione, risposta, sviluppo.

Il quadro del National Cyber Crisis Management è suddiviso in tre livelli: politico, operativo e tecnico. Ciascuno di questi livelli ha un organo di governo che è responsabile della supervisione dei problemi e dell’implementazione. Ad esempio, a livello tecnico, CSIRT Italia è responsabile delle crisi rilevanti. Il paese seguirà un approccio graduale alle misure di gestione del rischio e agli obblighi di segnalazione.

Sangfor può aiutare le organizzazioni con la conformità NIS2

Sangfor Technologies è leader nelle soluzioni di sicurezza informatica e infrastruttura cloud con oltre 23 anni di esperienza. Sangfor supporta le organizzazioni nell’adesione alla direttiva NIS2 offrendo una suite completa di soluzioni di sicurezza che includono: · Network Secure: un firewall di nuova generazione progettato per salvaguardare le reti. · Endpoint Secure: una piattaforma di protezione degli endpoint che garantisce la sicurezza dei dispositivi. · Internet Access Gateway: un gateway web sicuro per un accesso sicuro a Internet. · Cyber Command: una soluzione di Network Detection and Response (NDR) focalizzata sul rile-vamento delle minacce di rete avanzate sotto forma di comportamenti anomali.

· Access Secure: una soluzione SASE (Secure Access Service Edge) per l’accesso remoto sicuro alle risorse di rete e cloud.

· Servizi Cyber Guardian: una gamma di servizi, tra cui Managed Detection and Response (MDR), Incident Response e Security Risk Assessment, per una maggiore sicurezza.

L’integrazione di questi prodotti nel framework XDDR (eXtended Detection, Defense, and Response) fornisce un solido ecosistema di sicurezza. Questa integrazione è in linea con i requisiti della direttiva NIS2 per una gestione completa del rischio. Essa aiuta le organizzazioni a ottenere informazioni in tempo reale su potenziali rischi come vulnerabilità, errori di configurazione e password deboli, che sono obiettivi primari per le minacce informatiche.

Utilizzando l’intelligenza artificiale (IA) e l’apprendimento automatico (Machine Learning), le soluzioni Sangfor offrono un rilevamento preciso e rapido delle minacce. La natura interconnessa di questi prodotti consente una risposta automatizzata e coordinata, riducendo significativamente l’impatto degli incidenti di sicurezza e supportando l’enfasi posta dalla direttiva NIS2 sulle strategie di sicurezza proattive e reattive.

Le tecnologie di Sangfor migliorano anche il rilevamento delle minacce correlando i dati tra diversi livelli di sicurezza, fornendo un contesto dettagliato per gli eventi della rete. Questa funzione è anche fondamentale per adempiere agli obblighi di comunicazione completi della direttiva NIS2, mentre gli strumenti di segnalazione integrati di Sangfor aiutano a generare i report necessari per la conformità normativa.

Per la continuità operativa, Sangfor incorpora funzionalità di ripristino all’interno delle proprie soluzioni. Ad esempio, Endpoint Secure include funzionalità di ripristino ransomware, che consentono il ripristino dei dati in caso di attacco. Inoltre, il servizio Cyber Guardian Incident Response (IR) offre assistenza esperta per una risposta tempestiva agli incidenti di sicurezza, per aiutare le aziende a tornare alle operazioni in totale sicurezza.

Per ulteriori informazioni sulle soluzioni di Sangfor Technologies: dircom@argonavis.it

11 Dicembre 2023

EndianOS UTM 6.5 è ora disponibile

 

 

La UTM 6.5 è stata rilasciata ed è disponibile per tutte le nuove appliances hardware, software e virtual.

È una revisione completa del sistema EndianOS e fornisce una moltitudine di nuove funzionalità e miglioramenti rispetto alla versione precedente tra cui: Network Awareness, Docker, supporto multizona e tanto altro ancora.

Qui i maggiori dettagli riguardo gli highlights del rilascio.

Se siete già in possesso della versione Endian UTM 5.x, nelle prossime settimane verrà rilasciata l’opzione per l’aggiornamento.

Informazioni aggiuntive:
  • L’Hotspot non è momentaneamente disponibile (verrà aggiunto nella futura release)
  • Il Network monitoring (NTOP) è stato sostituito dalle nuove funzioni di Network Awareness
  • La versione in inglese è disponibile e completa (italiano e tedesco verranno completate in un futuro aggiornamento)
  • La funzionalità di SPAM Training non è attualmente disponibile.

Per ulteriori informazioni: dircom@argonavis.it

24 Ottobre 2022

Nuova Endian UTM Mini – Soluzione di cybersecurity per le piccole e medie imprese

 

Endian UTM Mini è la nuova appliance hardware della linea UTM di Endian che va a sostituire in un colpo solo i due bestsellers, le Mini 10 e Mini 25.

Come le recenti appliances Endian UTM Mercury e Endian UTM Macro rilasciate alla fine del 2021, la nuova Endian UTM Mini viene venduta con una modalità di sottoscrizione flessibile che permette di cambiare dimensione della licenza con semplicità, permettendo perciò di seguire la crescita della propria azienda senza doversi occupare di cambiare il proprio firewall.

Disponibile inizialmente nei tagli da 10 e 25 Utenti, la nuova Endian UTM Mini sarà disponibile dopo il rilascio di EndianOS 6.5 anche con il taglio da 50 utenti per coprire esigenze tipiche di aziende di livello superiore.

Cosa cambia rispetto alle precedenti Mini?

  • Veramente Mini, il 60% più piccola
  • Potente, tanto potente, il +100% di performance
  • Silenziosa, il 100% di ventole di raffreddamento in meno
  • Flessibile, 3 tagli di licenza su un solo dispositivo
  • Future proof, progettata e costruita pensando a EndianOS 6.5 .

Per ulteriori informazioni: dircom@argonavis.it

19 Aprile 2022

Logbox: log management, report e allarmi in un’unica soluzione

 
 
 
 
Autore: Redazione Argonavis
 
 

Logbox è una soluzione cloud di log management evoluta per aziende, private e pubbliche, di ogni dimensione.

La principale funzionalità di Logbox è quella di raccogliere e archiviare in modo sicuro i log, rispondendo perfettamente alle esigenze del GDPR (Regolamento UE 2016/679), che prevede l’obbligo di registrazione dei log da parte degli Amministratori di Sistema (AdS), e riducendo le risorse, in termini di tempo, di personale e di infrastruttura, dedicate alla gestione degli adempimenti normativi.

Un’altra importante funzionalità della soluzione, utile per controlli interni e verifiche ispettive, è quella di consentire l’elaborazione di report periodici e l’attivazione di allarmi in tempo reale sul contenuto dei log. La possibilità di impostare allarmi basati sul contenuto dei log è efficace per individuare tempestivamente accessi indesiderati, potenziali abusi o utilizzi anomali dei sistemi (data breach).

In sintesi, Logbox:

  • acquisisce, centralizza e archivia in modo sicuro i log che vengono raccolti mediante agent o in modalità agentless. I log vengono resi immodificabili e conservati per qualsiasi esigenza;
  • produce report di base e di dettaglio, sia in modalità pianificata che on demand, con l’obiettivo di creare la documentazione necessaria per qualsiasi verifica e controllo periodico;
  • permette di impostare allarmi in tempo reale basati sul contenuto dei log per individuare anomalie dei sistemi e criticità nell’accesso ai dati;
  • fa risparmiare tempo e risorse al personale preposto al controllo della rete informatica aziendale e al personale non specializzato, grazie all’ampia disponibilità di una libreria di report facili da creare e interpretare;
  • abbatte i costi dell’infrastruttura hardware perché è una soluzione cloud, semplice e scalabile in base alle esigenze.

La soluzione archivia i dati in datacenter secondo la normativa italiana (“Privacy Shield”, Scudo per la Privacy fra UE e USA) ed è disponibile con canone di abbonamento annuale o pluriennale.

Come per tutte le soluzioni proposte da Argonavis, i clienti che scelgono Logbox sono affiancati nella fase di progettazione, installazione/gestione e formazione.

Per ulteriori informazioni: dircom@argonavis.it

18 Marzo 2022

Blog & News

Categorie