Attacchi alle reti Wi-Fi con l’utilizzo dell’intercettazione PMKID

Tratto da: Blog Kaspersky

Autore: Alanna Titterington

L’attacco più semplice ed efficace a WPA/WPA2-PSK: l’intercettazione PMKID

L’intercettazione PMKID è il metodo più efficace, facile da eseguire e completamente non rilevabile per attaccare le reti wireless protette dagli standard WPA/WPA2. In sostanza, questo attacco comporta l’intercettazione delle password Wi-Fi crittografate che i router wireless trasmettono costantemente, anche quando non è connesso alcun dispositivo. Dopo aver ottenuto la password crittografata, l’autore dell’attacco può utilizzare il metodo di forza bruta per decrittografarla e quindi connettersi alla rete Wi-Fi.

Questo attacco può essere effettuato anche su larga scala utilizzando una tecnica chiamata wardriving. In questo caso, l’autore dell’attacco si sposta per una città eseguendo la scansione di tutte le reti wireless disponibili e intercettando le password crittografate trasmesse dai router. Non sono necessarie molte attrezzature per farlo: bastano un laptop, un adattatore Wi-Fi a lungo raggio e un’antenna potente.

Le password crittografate intercettate possono essere violate anche in mobilità. Tuttavia, l’autore dell’attacco potrebbe preferire aspettare di essere a casa e immettere tutte le password raccolte in uno strumento per decifrarle su un computer ad alte prestazioni (o noleggiare potenza di calcolo sul cloud). L’efficacia di questo attacco è stata recentemente dimostrata ad Hanoi: un hacker vietnamita ha effettuato la scansione di circa 10.000 reti wireless ed è riuscito a decifrare le password di metà di esse.

Com’è possibile hackerare il Wi-Fi utilizzando l’intercettazione PMKID?

Perché i router wireless trasmettono continuamente la password Wi-Fi, anche se in formato crittografato? Questa è una funzione di base dello standard 802.11r, che è implementato nella maggior parte dei router e in genere è abilitato per impostazione predefinita. Questo standard consente il roaming veloce nelle reti Wi-Fi utilizzando più punti di accesso. Per accelerare la riconnessione del dispositivo client ai nuovi punti di accesso, i dispositivi trasmettono costantemente il proprio identificatore: lo stesso PMKID.

Questo identificatore è un derivato della chiave PMK (Pairwise Master Key). Più precisamente, contiene il risultato di un calcolo della funzione hash SHA-1, i cui dati di origine includono la chiave PMK e alcuni dati aggiuntivi. La chiave PMK stessa, a sua volta, è il risultato di un calcolo della funzione hash SHA-1 della password Wi-Fi.

In altre parole, il PMKID contiene la password della rete wireless, sottoposta ad hashing due volte. In teoria, il processo di hashing è irreversibile, il che significa che è impossibile recuperare i dati originali dal valore hash risultante. I creatori dello standard 802.11r si sono presumibilmente basati su questo presupposto per ideare il meccanismo di roaming veloce tramite PMKID.

Tuttavia, i dati con hashing possono essere sottoposti ad attacchi di forza bruta. L’operazione è resa particolarmente semplice dal fatto che le persone utilizzano di rado password particolarmente complesse per le reti wireless, basandosi spesso su combinazioni di caratteri abbastanza prevedibili. I creatori dello standard 802.11r ovviamente non ne hanno tenuto conto.

Questo problema è stato scoperto alcuni anni fa dal team che sta dietro a una delle utilità di recupero password più popolari (in altre parole uno strumento per decifrare le password), Hashcat. Da allora, sono stati sviluppati strumenti specializzati specificamente per decifrare i PMKID intercettati.

In pratica, l’autore dell’attacco di solito intercetta il PMKID contenente la password crittografata e quindi utilizza un attacco a dizionario, ovvero applica la forza bruta alle password più comuni, che vengono raccolte in un database.

Come proteggere la rete wireless da un attacco PMKID

Cosa puoi fare per prevenire un attacco di intercettazione PMKID alla tua rete wireless? Fortunatamente, ci sono diverse misure di protezione che non sono troppo difficili da implementare:

  • Crea una password per la tua rete wireless che sia quanto più lunga e complessa possibile. Se l’autore di un attacco PMKID intercetta la password con hash dal Wi-Fi, deve comunque decrittografarla in seguito: più complessa è la password, minori sono le probabilità che riesca nel suo intento. Pertanto, per proteggerti da questo attacco, crea la password più lunga e indecifrabile possibile per la rete wireless.
  • Disabilita la trasmissione PMKID nelle impostazioni del router. Sfortunatamente, non tutti i router lo consentono, ma vale la pena verificare se il tuo dispone di questa impostazione. Puoi trovarla cercando PMKID o 802.11r.
  • Passa a WPA3. Se tutti i tuoi dispositivi supportano questo standard di protezione Wi-Fi più recente, vale la pena valutare se passare a questo protocollo: WPA3 è generalmente molto più sicuro di WPA2 e, soprattutto, non è suscettibile di intercettazione PMKID.
  • Imposta una rete guest. Può essere noioso dover immettere frequentemente una password complessa per la rete principale nei nuovi dispositivi, quindi configura una rete guest con una password più semplice. A proposito, è anche consigliabile trasferire elementi potenzialmente non sicuri come i dispositivi IoT nella rete guest.

Per una protezione aggiuntiva dei dati trasmessi nel caso qualcuno riesca comunque ad hackerare la tua rete Wi-Fi, utilizza una VPN su tutti i dispositivi per proteggere la connessione Internet.

4 Aprile 2024

CACTUS: attacco ransomware multi-fase coordinato. La ricerca di Bitdefender

 
 
 

Tratto da www.bitdefender.it/news – 28/02/2024

Si tratta di uno dei primi casi documentati di attacco simultaneo contro due aziende distinte a pochi minuti di distanza l’una dall’altra

Bitdefender ha pubblicato una nuova ricerca che ha rilevato che il gruppo ransomware CACTUS ha iniziato a lanciare attacchi multi-fase coordinati.

Dopo aver indagato su un attacco ransomware contro un’azienda non sua cliente, Bitdefender ha stabilito che CACTUS ha utilizzato una vulnerabilità del software meno di 24 ore dopo la divulgazione del POC. Dopo essersi infiltrato nella prima azienda e aver impiantato diversi strumenti di accesso remoto e tunnel su vari server, CACTUS ha individuato l’opportunità di spostarsi in un’altra azienda che fa parte della stessa organizzazione della prima azienda, ma che opera in modo completamente indipendente (reti e domini separati).

CACTUS ha scoperto le macchine che collegavano le due aziende e le ha colpite con estrema precisione e coordinazione a distanza di 5 minuti l’una dall’altra, e dopo 30 minuti ha paralizzato l’infrastruttura di virtualizzazione (comprese le macchine virtuali e i controller di dominio).

Bitdefender ritiene che il successo dell’attacco coordinato sarà implementato negli schemi di CACTUS e ripetuto anche prossimamente, poiché sono estremamente attivi.

Principali conclusioni:

  • CACTUS ha utilizzato una vulnerabilità meno di 24 ore dopo la divulgazione del POC per ottenere l’accesso alla prima azienda e ha poi distribuito strumenti di accesso remoto e tunnel sui loro server.
  • CACTUS ha scoperto che, nonostante le reti e i domini separati, le macchine di un’azienda erano presenti nella rete dell’altra, perché le due società fanno capo alla stessa organizzazione.
  • Gli attacchi sono avvenuti a distanza di cinque minuti l’uno dall’altro e hanno incorporato l’esfiltrazione dei dati, la crittografia dei dati e un attacco secondario contro le infrastrutture di virtualizzazione di entrambe le aziende.
  • CACTUS ha attaccato sia Hyper-V che VMware ESXi, mentre in precedenza era noto per colpire solo i carichi di lavoro Windows.

Bitdefender invita le aziende a mantenere uno stato di allerta elevato, ad applicare gli Indicatori di Compromissione trovati nella ricerca e a ridurre il rischio che l’attacco abbia successo applicando tattiche di difesa specifiche, tra cui l’impiego di tecnologie di rilevamento e risposta, l’applicazione di un rigoroso controllo degli accessi ai dati, la valutazione e la segmentazione delle reti per limitare gli spostamenti laterali non autorizzati.

La ricerca è disponibile qui.

15 Marzo 2024

Linee guida in materia di conservazione delle password

Tratto da www.garanteprivacy.it – Newsletter del 01/03/2024

Le password giocano un ruolo determinante nel proteggere la vita delle persone nel mondo digitale. Ed è proprio con l’obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, che nel dicembre 2023 l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

Tali attacchi informatici sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).

L’obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

4 Marzo 2024

Che cos’è lo Shadow IT, quali sono i rischi e come proteggersi

 
 

Autore: Redazione Argonavis

 

Un recente studio di Kaspersky ha dimostrato che, negli ultimi due anni, l’11% delle aziende di tutto il mondo ha subito incidenti informatici causati dallo Shadow IT o “IT Ombra”.

La diffusione di questo fenomeno è incrementata con la consumerizzazione dell’IT e, più recentemente, con la crescita del lavoro in remoto.

Si presume che lo Shadow IT possa diventare una delle principali minacce alla sicurezza informatica aziendale entro il 2025.

Ma che cos’è lo Shadow IT?

Si parla di Shadow IT ogni volta che qualche dipendente utilizza servizi di information technology all’insaputa del responsabile IT.

Le attività incluse nello Shadow IT possono essere:

  • la sincronizzazione e la condivisione dei dati (ad esempio le email sincronizzate tra i dispositivi mobili personali del dipendente e il client desktop utilizzato in azienda);
  • l’utilizzo di piattaforme di backup alternative a quelle implementate dall’azienda (chiavette, dischi USB o servizi cloud);
  • l’utilizzo di dispositivi hardware dismessi dopo la modernizzazione o la riorganizzazione dell’infrastruttura IT che possono essere utilizzati “in the shadow” da altri dipendenti;
  • programmi su misura creati dagli specialisti e dai programmatori IT per ottimizzare il lavoro all’interno di un team/reparto o per risolvere problemi interni;
  • progetti di business che prevedono la condivisione di file, tramite allegati, con alcuni clienti.

I dipendenti e i team IT, di norma, impiegano l’IT Ombra perché consente loro di non attendere l’approvazione da parte del reparto IT o perché ritengono che offra migliori funzionalità per i loro scopi rispetto alle alternative offerte dall’IT.

Lo Shadow IT comporta significativi rischi di sicurezza per le aziende.

Poiché il team IT non è a conoscenza delle attività dell’IT Ombra, non le monitora, non ne controlla gli asset e non impiega contromisure alle loro vulnerabilità. Lo Shadow IT è quindi particolarmente suscettibile alle violazioni da parte degli hacker. 

Anche la protezione dei dati aziendali diventa problematica per gli IT manager perché gli utenti sono abituati a utilizzare strumenti e applicazioni al di fuori del processo di protezione definito dall’azienda.

I dati infatti, che entrano ed escono dall’azienda, possono essere creati, modificati, salvati e condivisi senza che questi passino da un file server sotto la supervisione dell’IT manager; il backup di tali dati non viene eseguito perché non se ne conosce l’esistenza. Ne consegue che gli IT manager non sono in grado di recuperare tali dati in caso di cancellazione accidentale o di accedere ai dati se il dipendente lascia l’azienda.

Per risolvere il buco di dati creati dallo Shadow IT ci sono alcune contromisure efficaci.

La prima è dare agli utenti gli strumenti di cui hanno bisogno per la protezione degli endpoint e per la sincronizzazione e condivisione dei dati in modo che non cerchino soluzioni alternative al di fuori delle soluzioni utilizzate dall’azienda.

Un’altra strategia efficace è quella di eseguire il backup in-house dei dati delle applicazioni cloud-based per la protezione contro la perdita accidentale di tali dati o, peggio, la cancellazione intenzionale di questi dati. Sarebbe preferibile limitare il lavoro dei dipendenti che utilizzano servizi esterni di terze parti e, se possibile, bloccare l’accesso alle risorse di scambio di informazioni cloud più diffuse.

I rischi legati all’utilizzo dello Shadow IT in un’organizzazione si possono ridurre anche eseguendo regolarmente un inventario delle risorse IT e scansionando la rete interna per evitare la comparsa di hardware e servizi non controllati.

Fonti:

https://www.zerounoweb.it/cloud-computing/shadow-it-protezione-sicurezza/

https://www.lineaedp.it/featured/shadow-it-ancora-un-rischio-reale-per-le-aziende/

19 Febbraio 2024

Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti. Varato un Documento di indirizzo sulla conservazione dei metadati

Tratto da www.garanteprivacy.it – Newsletter del 06/02/2024

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

6 Febbraio 2024

Blog & News

Categorie