Il wireless ha fatto la sua comparsa ormai 20 anni fa, diventando parte integrante delle nostre vite quotidiane. Eppure, gli stessi attacchi che ne minacciavano la sicurezza in passato, riescono ancora ad avere successo, sfruttando le medesime lacune di sicurezza. Per questo motivo, WatchGuard ha deciso di lanciare il Movimento Trusted Wireless Environment, petizione in cui si chiede all’industria di concentrarsi sul miglioramento della sicurezza delle connessioni Wi-Fi, sviluppando degli standard comuni.
E proprio per presentare l’iniziativa a utenti, consumatori e vendor che Ryan Orsi, Director of Product Management di WatchGuard, ha deciso di volare da San Francisco per un tour europeo. Prima tappa: Milano.
“Per molto tempo, il settore del Wi-Fi ha privilegiato le prestazioni rispetto alla sicurezza. Manca un vocabolario comune che permetta agli operatori del settore di parlare la stessa lingua e di definire in maniera univoca le minacce che devono affrontare. I produttori incorporano tipi di sicurezza molto diversi nei loro prodotti, e le soluzioni esistenti non sono in grado di proteggere dall’intero spettro delle minacce Wi-Fi. Gli hacker possono così approfittare di questa superficie di attacco estremamente estesa, sottraendo denaro e dati ad aziende e utenti comuni” ha spiegato Ryan Orsi.
Il Movimento Trusted Wireless Environment vuole, con la petizione e il supporto di consumatori e utenti, portare alla creazione di standard di mercato. I prodotti dei vendor risulteranno quindi realizzati seguendo particolari procedure di sicurezza così da renderli più difficilmente violabili dai cybercriminali.
Secondo Ryan Orsi i primi risultati della creazione degli standard potranno ottenersi tra circa 5 anni.
Le maggiori minacce che prendono di mira il WiFi
La maggior parte delle aziende di sicurezza si concentrano su attacchi al livello 7 di applicazione (ad esempio malware, ransomware, phishing) trascurando la superficie d’attacco WiFi al livello 2. Le minacce conosciute sono di sei tipi – tutte estremamente difficili da individuare e bloccare.
- Rogue Access Point – Si tratta di una violazione PCI-DSS, un Access Point fasullo connesso fisicamente a una rete senza autorizzazione. Gli attaccanti possono così bypassare il perimetro della sicurezza. Un attacco del genere può essere portato avanti molto semplicemente, con dispositivi facilmente reperibili a basso costo, e sono estremamente pericolosi perché di difficilissima rilevazione. Il sistema WiFi dovrebbe essere in grado di impedire a un rogue AP di accedere alla LAN, cosa che normalmente avviene via ARP poisoning. Dovrebbe anche essere in grado di impedire ai client Wi-Fi di associarvisi tramite un flusso di frame di deautenticazione.
- Access Point “Evil Twin” – Si tratta di AP in grado di simulare access point legittimi, modificando SSID e indirizzi MAC e intercettando il traffico con un attacco man-in-the-middle (MitM). Quando la vittima è connessa, l’attaccante può rubare dati e informazioni, immettere codice dannoso, reindirizzare la vittima su un sito di malware, e molto altro. Un sistema di sicurezza Wi-Fi deve essere in grado di rilevarli ed impedire la connessione con frame di de-autenticazione e altre tecniche. Anche in questo caso, si tratta di attacchi che possono essere molto facilmente sferrati con device a basso costo e di facile reperibilità. Ad esempio, è accaduto che degli agenti dell’agenzia di intelligence militare russa, si siano collocati nel parcheggio sottostante la lobby di un hotel, prendendo di mira esponenti di varie organizzazioni governative.
- Neighbour Access Point – Attacchi di questo tipo si verificano quando un client autorizzato si connette a un access point esterno al fine di bypassare le impostazioni del firewall. Si tratta di una minaccia assai comune: è il caso di un dipendente che voglia accedere a un sito web bloccato dalla rete aziendale, e per farlo si connette, ad esempio, alla rete del bar al piano di sotto, o utilizza il tethering dal proprio cellulare. Una soluzione di sicurezza Wi-Fi deve essere in grado di classificare automaticamente i device gestiti dall’azienda come client autorizzati e impedire che si connettano ad altri SSID. Le tecniche di prevenzione per questa minaccia includono ancora frame di de-autenticazione.
- Rogue client – Qualsiasi client precedentemente collegato a un rogue AP o ad altri AP malevoli all’interno di una rete privata, che potrebbe aver subito una serie di attacchi MitM e, connettendosi a un’altra rete, diffondere il malware al suo interno. Questo avviene ad esempio quando il nostro smartphone si collega automaticamente alla rete del bar dove beviamo il caffè ogni mattina prima di andare al lavoro. Se a un certo punto qualcuno installasse un AP Evil Twin, potrebbe infettare il nostro smartphone con un malware che poi porteremmo all’interno del perimetro aziendale. I sistemi di sicurezza Wi-Fi devono riclassificare automaticamente i client autorizzati come rogue client non appena ne rilevano il collegamento ad un AP malevolo, impedendogli di associarsi nuovamente a SSID autorizzati privati.
- Ad-hoc network – Si tratta di una connessione Wi-Fi peer-to-peer che consente a due o più dispositivi di comunicare direttamente tra loro. Le soluzioni di sicurezza Wi-Fi devono essere in grado di rilevare automaticamente tali connessioni e impedirle, anche se crittografate utilizzando tecniche di cell-splitting o metodi simili.
- Access Point mal configurato – Gli amministratori di rete possono commettere un errore di configurazione, rendendo così intercettabili informazioni sensibili.
