Si legge su alcuni siti che è emersa una falla nel WPA, sistema crittografico usato nelle reti wi-fi.
Ho commentato su Zeus News e su Punto-Informatico questa notizia che riassumo brevemente.
Dei ricercatori tedeschi hanno sottolineato la possibilità in alcune stringenti ma verosimili condizioni che tramite attacchi del dizionario o chopchop modificato per il TKIP (il protocollo oggettivamente incriminato, non il wpa) si possono decifrare pacchetti corti come ARP e ARP response.
Questo è possibile in quanto il TKIP è stato progettato come soluzione legacy per quegli apparati aggiornabili che funzionavano solo con il WEP. Pertanto, di quest’ultimo si porta dietro alcune criticità (come il cipher RC4 e l’ICV (con MICHAEL e non con CRC32) ad ogni pacchetto cifrato.
Per il resto, nulla di nuovo sotto al sole se non un livello di attenzione che la problematica merita anche da parte dei non addetti ai lavori.
Attendiamo fiduciosi il paper della PacSec di Tokyo per leggere i dettagli dello studio presentato dai due ricercatori.
Nel frattempo, se non potete disabilitare il TKIP e usare solo AES-CCMP, abbassate il rekeying time del TKIP a 60-120 secondi al massimo, per ora…
P.S.: avete il TKIP ancora abilitato? AES o direttamente WPA2 
E per chi usa ancora il WEP per mantenere una compatibilità con il Nintendo DS Lite ? ? ?
Al massimo se ti va di giocare fai due SSID separati oppure molto più semplicemente smetti di giocare e lavora:-)
Battute a parte, il WEP in meno di 10 minuti è aperto.
Ti conviene, almeno, scegliere una chiave lunga e cambiarla più spesso possibile.
WPA: cautela, non allarmismi…
E’ trascorso quasi un mese da quando si leggeva su alcuni siti che era emersa una falla nel WPA, sistema crittografico usato nelle reti wi-fi. Ho scritto qualcosa in proposito su uno dei miei blog e commentato su Zeus News……
Ciao a tutti , ho letto con interesse queste argomenti in quanto anche io utilizzo una connessione wi-fi a casa.
.
?
Attualmente utilizzo una chiave di protezione a 64 bit (wep 64bit).
Sò che è una chiave obsoleta , ma non ho voglia di cambiarla
Oltre a mettere una wpa2 (sempre se il mio access point la tiene) e nascondere l’SSID cosa dovrei fare x sentirmi piu sicuro
é vero che programmi come wep-crack che girano su linux esistono anche su win ?
Ciao Ales, tenere la chiave wep è come lasciare la porta di casa con il solo scatto della serratura.
Esistono, come correttamente affermi, programmi che fanno del traffico prodotto da sessioni cifrate con la suddetta chiave una base statistica d’ingresso su cui applicare degli algoritmi che riescono ad identificare la chiave stessa.
Fai pure qualche ricerca, google è strapieno di articoli o di white paper a riguardo.
WPA2 è tutta un’altra cosa, sempre con le accortezze descritte nel post.
Per un uso domestico direi che, al momento, basta e avanza.
Se vuoi andare oltre esistono sistemi di autenticazione 802.1x ma presuppone necessità ed infrastrutture diverse.
Buon divertimento
Armiz sapresti dirmi come devo configurare i mac address x essere + sicuro, avendo una connessio tramite il wireless
Ales, più che come configurare i mac address ti suggerisco di abilitare il controllo accessi sull’access point. Poi dalla sua interfaccia di configurazione abiliti puntualmente i dispositivi che hanno tentato la connessione (li vedrai nel pannello di configurazione sfruttando solitamente l’interfaccia web dell’access point).
In questo modo abiliterai solo i dispositivi (mac address) che tu desideri utilizzino la tua rete wireless.
Nota dolente: i mac address sono spoofabili e capire quale sia abilitato è un gioco da ragazzi.
Ma questo è un altro film:-)
Quindi cosa faccio ? uno è spooffabile quell’altro è craccabile .
Tolgo tutto il pc e passo ad usare la macchina da scrivere.
Secondo me, per un utente domestico, usare una chiave wpa2 è più che sufficiente.
Se poi vuoi star tranquillo, cambiala mensilmente.
Eviterei fossi in te il wep.
Ales , secondo me sei capito un sito dove prevalgono le paranoie! ! !
Ricorda che sono tutti capaci a parlare……..
Sto qua spoofa anche i mac-address ahhahahah , chissa dove andremo a finire!
Fai una cosa ale , lascia tutto come sei e non toccare piu niente anche perche non sei un’ azienda! Almeno credo…….
Vorrei tanto sapere con che distrobuzione di linux spoofa i mac – address armys
Ales , secondo me sei capito un sito dove prevalgono le paranoie! ! !
Ricorda che sono tutti capaci a parlare……..
Sto qua spoofa anche i mac-address ahhahahah , chissa dove andremo a finire!
Fai una cosa ale , lascia tutto come sei e non toccare piu niente anche perche non sei un’ azienda! Almeno credo…….
Vorrei tanto sapere con che distrobuzione di linux spoofa i mac – address armys ….. hihihi
Alfredo, rispondo a questo commento tanto l’altro è uguale a parte l’ip di provenienza.
Ales ha chiesto delle delucidazioni di carattere tecnico e probabilmente l’ha fatto perchè crede di essere “capito un sito” dove c’è una certa sensibilità ed attenzione verso determinate problematiche.
Non sempre criticare quello che non si capisce o non si conosce pienamente porta a fare una bella figura o fornisce valore aggiunto ad una discussione.
A volte stare in silenzio lascia qualche dubbio ma aprire la bocca chiarisce tutto a tutti
Questo articolo, ed in generale tutto il blog, non vuole essere o contenere tutorial per scardinare le reti wireless.
Piuttosto, spero serva per aumentare il livello di consapevolezza degli utenti che utilizzano un servizio unico per comodità e portabilità ma ad un costo “nascosto” di potenziale esposizione, mancanza di riservatezza, intercettazione e/o abusi.
Potenziale, ma il problema c’è. Perchè esiste, che ti piaccia o no, gente che utilizza la connessione wi-fi del vicino proprio sfruttando la faciloneria espressa dal tuo commento.
Se vuoi approfondire le problematiche relative allo spoofing o al cloning del mac-address prova a scrivere su google ” spoof mac-address” o “spoof mac-address clone”: resterai stupito di quanta gente esista “come sto qua”.
Se poi vuoi cercare paper più tecnici prova ad affinare la ricerca con termini più mirati.
Per la cronaca, lo spoofing non è peculiarità di un OS o di una distribuzione di linux.
La buona notizia è che sono d’accordo con te in ben due punti:
1) tutti sono buoni a parlare;
2) chissà dove andremo a finire!
E non è poco
Ciao e buona sera.
ho letto un po di fretta i precedenti post e anche io ho alcune domande riuardo alla sicurezza del wi – fi , usandolo.
Attualmente ho una wpa-psk con pass da 40 caratteri
tkip.
-secondo te è meglio avere la AES o TKIP ?
-meglio wpa o wpa-psk ?
-come posso aumentare il livello di sicurezza
ciao
Marco,
Il wpa è sicuramente meglio del wep ma non è il modo più sicuro di proteggere una rete wi-fi.
Fossi in te disabiliterei il TKIP (o al massimo abbassa il rekeying time se proprio non puoi disabilitarlo).
Tra AES e TKIP il problema non si pone: AES.
L’ideale sarebbe usare WPA2.
Spero di esseri stato utile.
quindi dovrei mettere solo AES…. ok
Wpa2 purtroppo il mio A.P non lo supporta.
Come si usano i mac addres , non l’ho mai capito
mi spieghi come si usano i mac address ?
mi scusi è in grado di spegarmi come funzionano i mac address oppure è bravo solo di spiegare le leggende di internet?
Ora, se non rispondessi potrei passare per superbo. Ma secondo te/lei (scegliere quello preferito), se uno chiede attenzioni e tempo altrui con questa arroganza cosa pensa di ottenere di preciso?
Spero che l’italiano non sia la sua lingua madre almeno per giustificare in parte l’arroganza.
Provi a fare una ricerca con google specificando wifi mac address filter o a leggere qualcosa del genere: http://compnetworking.about.com/cs/wirelessproducts/qt/macaddress.htm
Secondo lei se avessi voluto cercare informazioni via internet riguardo ai mac address forse lo avrei gia fatto.
Se ho chiesto a lei forse è perche avrei voluto che fosse lei a rispondermi , sempre se è in grado.
Ho dovuto fare 2 post , perche con il primo manco lo ha guardato e forse è proprio quello il problema .
Non sapendo configurare i mac address di conseguenza uno non li sa manco spiegare.
Di leggende via internete se ne trovano a migliaia, speravo che qui ci fosse qualcuno in grado di spiegare qualcosa in maniera razionale e non superflua
Con questi modi difficilmente lo scoprirà mai.
Se non capisce come formulare una domanda non mi aspetto che sappia comprenderne l’eventuale risposta.
la domanda mia è semplice :
come posso configurare i mac address in modo tale che solo 2 pc dentro la lan abbiano accesso navigare in internet?
La risposta sarà altrettanto semplice.
Non deve configurare i due mac address affinchè solo i dispositivi che li hanno in dotazione possano navigare ma il contrario.
Deve configurare sull’access point il controllo accessi. Provi a navigare dai suoi apparati. Vada sull’access point e controlli i tentativi di accesso (negato) e li vada ad abilitare puntualmente. Da quel momento in poi solo gli apparanti che si presentano con quei mac address sono accettati dal suo access point.
sa dirmi per caso un software per win che provi a testare la vulnerabilita della wpa encpription?