A poche ore dalla pubblicazione dei primi dettagli su KRACKs , il mondo informatico reagisce a quella che potrebbe essere una delle peggiori vulnerabilità di sicurezza degli ultimi anni. Lo studio condotto da Mathy Vanhoef, ricercatore presso l’università belga KU Leuven, ha generato un panico che si diffonde sui mezzi di comunicazione tradizionali ma preoccupa anche gli esperti di settore, tutti concordi nel dire che il rischio è concreto , la conseguenze potenzialmente gravi e la necessità di porre rimedio laddove possibile imperativa.
L’attacco KRACKs comprende un exploit in grado di sfruttare dieci vulnerabilità presenti nel protocollo Wi-Fi Protected Access II (WPA2), uno standard oggi fondamentale per la protezione delle reti Wi-Fi le cui chiavi crittografiche possono essere compromesse durante la fase di handshake della connessione.
Le vulnerabilità scovate da Vanhoef sono le seguenti: CVE-2017-13077 , CVE-2017-13078 , CVE-2017-13079 , CVE-2017-13080 , CVE-2017-13081 , CVE-2017-13082 , CVE-2017-13084 , CVE-2017-13086 , CVE-2017-13087 , CVE-2017-13088 .
A chi va ascritta la responsabilità di un problema così grave in uno standard così importante per il buon funzionamento di computer e gadget informatici moderni? Stando al professore della Johns Hopkins University Matthew Green, il principale indiziato è quello stesso Institute of Electrical and Electronics Engineers (IEEE) che ha ratificato, anni fa, l’uso del protocollo 802.11i (WPA2) per le connessioni wireless.
Il processo di discussione degli ingegneri di IEEE sugli standard tecnologici viene condotto a porte chiuse, ha accusato Green , e non aiuta nemmeno il fatto che le specifiche di WPA2 siano difficili da raggiungere attraverso gli strumenti pubblici più comuni. Il lavoro dei ricercatori interessati ad analizzare in profondità la sicurezza dei protocolli è stato in questi anni complicato inutilmente da meccanismi di verifica che andrebbero piuttosto assistiti dalle macchine, ha detto ancora Green.
La lista dei produttori coinvolti nell’affare KRACKs è già piuttosto lunga e include i produttori delle piattaforme informatiche più usate, colossi delle appliance di rete (Cisco, Aruba, Zyxel) e molti altri nomi noti o meno noti. Per quanto riguarda le suddette piattaforme informatiche, al momento solo Microsoft ha rilasciato una patch correttiva per Windows 10 in occasione del Patch Tuesday di ottobre. Google dice di voler rilasciare un aggiornamento per Android (dalla versione 6.0 in su) nelle prossime settimane, mentre Apple si è limitata a confermare l’integrazione dei bugfix nelle versioni beta dei suoi OS. Molti produttori e aziende tecnologiche hanno già distribuito i rispettivi aggiornamenti, mentre i marchi noti che ancora mancano all’appello (o preferiscono non rispondere alle richieste di informazioni) includono D-Link, Juniper Networks, Broadcom, CentOS e persino IBM.
Una risposta è arrivata anche dalla Wi-Fi Alliance , che ha confermato di essere impegnata a inglobare la ricerca delle vulnerabilità nel suo programma di certificazione per i dispositivi compatibili WiFi. Per maggiori informazioni su KRACKs, infine, occorrerà attendere la fine del mese quando Mathy Vanhoef interverrà in occasione della ACM Conference on Computer and Communications Security (CCS) di Dallas.
Alfonso Maruccia
-
A compensare
C'è per legge, e si spera nei fatti, un equipaggio sempre di guardia in navigazione che se legge dati strumentali anomali (es il GPS che dice d'aver derivato di qualche grado in un minuto o che il nord improvvisamente "cambia posizione" ecc) o nota "derive" anomale è (in teoria) in grado di correggere a mano senza che alcun sistema digitale possa impedirlo.Questo dovrebbe servir da lezione a chi preferisce il primato della procedura sull'uomo. La procedura per quanto "teoricamente" o meglio "apparentemente" affidabile a priori non lo è nei fatti, al pari dell'uomo. Quest'ultimo però non è *non responsabile* per ogni danno arrecato o derivato dall'uso di un certo software, deve rispondere delle sue azioni.Re: A compensare
Concordo... ma anni d'uso di gps e di tutti gli automatismi, ha generato due effetti:- chi comanda o gestisce queste navi si sono disabituati ad altri strumenti, ed è quindi probabile che piccole deviazioni, non riescano a notarle, se non quando gli effetti diventano visibili.- riduzione del personale a bordo. Anni fà su alcuni mercantili servivano decide e decine di marinai... ora sulle moderne navi trasposto automatizzate, occorrono molto, ma molto meno personale a borso.Re: A compensare
- Scritto da: Sisko212> Concordo... ma anni d'uso di gps e di tutti gli> automatismi, ha generato due> effetti:> - chi comanda o gestisce queste navi si sono> disabituati ad altri strumenti, ed è quindi> probabile che piccole deviazioni, non riescano a> notarle, se non quando gli effetti diventano> visibili.> - riduzione del personale a bordo. Anni fà su> alcuni mercantili servivano decide e decine di> marinai... ora sulle moderne navi trasposto> automatizzate, occorrono molto, ma molto meno> personale a> borso.Nulla vieta al capitano di tenere in tasca uno strumento isolato dalla rete della nave, in cui puo' essere rilevata in qualunque momento la posizione dello strumento e confrontata con quella della rotta.Re: A compensare
- Scritto da: panda rossa> > Nulla vieta al capitano di tenere in tasca uno> strumento isolato dalla rete della nave, in cui> puo' essere rilevata in qualunque momento la> posizione dello strumento e confrontata con> quella della rotta.Certo, infatti tu fai affidamento sul tuo cellulare per portare in porto una nave e non sul sistema che l'armatore ti fornisce/garantisce/obbliga ad usare per navigare. Poi se il tuo cellulare sbaglia (è facile immaginare il perché) e vai a sbattere paghi tu i danni vero? Invece se è il sistema di navigazione certificato e controllato a sparare XXXXXXX non rispondi di certo tu.Aggiungo, si insegna ancora ad usare il sestante per tracciare la rotta, ma devi averne la voglia e motivo per mettere in discussione quello che sei pagato per usareRe: A compensare
Sì perché a 2000 km dalle coste il cellulare troverà sicuramente campo (rotfl)(rotfl)(rotfl)Re: A compensare
- Scritto da: panda rossa> - Scritto da: Sisko212> > Concordo... ma anni d'uso di gps e di tutti> gli> > automatismi, ha generato due> > effetti:> > - chi comanda o gestisce queste navi si sono> > disabituati ad altri strumenti, ed è quindi> > probabile che piccole deviazioni, non> riescano> a> > notarle, se non quando gli effetti diventano> > visibili.> > - riduzione del personale a bordo. Anni fà su> > alcuni mercantili servivano decide e decine> di> > marinai... ora sulle moderne navi trasposto> > automatizzate, occorrono molto, ma molto meno> > personale a> > borso.> > > Nulla vieta al capitano di tenere in tasca uno> strumento isolato dalla rete della nave, in cui> puo' essere rilevata in qualunque momento la> posizione dello strumento e confrontata con> quella della> rotta.nel tuo mondo di unicorni rosa e ponti di arcobalini fatati, sicuramente.Re: A compensare
È assolutamente vero, oggi molti *ufficiali*, non solo marinai, non sanno manco i nomi dei cavi e a tracciare una rotta con le squadrette se non riescono a far una tratta nella lunghezza della squadretta han difficoltà. Però fuori dagli stretti tutt'ora devi fare il punto nave 2 volte al giorno (salvo condizioni meteo che lo rendano impossibile), tutt'ora sei obbligato ad avere una carta nautica di carta con squadrette, matita, gomma e compasso...'Somma stiamo andando male ma in certi settori ancora di salvaguardie ne abbiamo. Se poi non noti qualche metro di errore poco importa, quando arrivi sulla costa ti orienti.Re: A compensare
- Scritto da: xte> C'è per legge, e si spera nei fatti, un> equipaggio sempre di guardia in navigazione che> se legge dati strumentali anomali (es il GPS che> dice d'aver derivato di qualche grado in un> minuto o che il nord improvvisamente "cambia> posizione" ecc) o nota "derive" anomale è (in> teoria) in grado di correggere a mano senza che> alcun sistema digitale possa> impedirlo.> > Questo dovrebbe servir da lezione a chi> preferisce il primato della procedura sull'uomo.> La procedura per quanto "teoricamente" o meglio> "apparentemente" affidabile a priori non lo è nei> fatti, al pari dell'uomo. Quest'ultimo però non è> *non responsabile* per ogni danno arrecato o> derivato dall'uso di un certo software, deve> rispondere delle sue azioni.abbiamo - sempre grazie ad appalti al ribasso - filippini e pachistani ubriachi alla guida di carghi da migliaia di tonnellate, che XXXXX vuoi che capiscano, il comandante gli ha fatto a capire a gesti che devono seguire la freccia rossa sul display di sinistra e loro quello fanno, il io-macchina comanda sull'appendice-uomo.i lupi di mare sono andati in pensione a fine anni ottanta, ora c'e' solo una generazione di disperati non-sapevo-come-tirare-a-campare-e-allora-mi-sono-imbarcato.Re: A compensare
> > abbiamo - sempre grazie ad appalti al ribasso -> filippini e pachistani ubriachi alla guida di> carghi da migliaia di tonnellate, che XXXXX vuoi> che capiscano,I sorridoi navigabili intorno a Singapore sono una delle rotte più trafficate al mondo. Sembra di stare in un ingorgo autostradale tante sono le navi. Eppure gli incidenti sono pochi. Però se fai passare da quelle parti una nave militare americana con equipaggio super addestrato e tecnologia di navigazione all'avanguardia:http://www.straitstimes.com/singapore/us-destroyer-collision-hopes-of-finding-survivors-end-with-sea-search-called-offForse i filippini ubriachi tanto ubriachi non sono (o i marinai americani sono peggio).Re: A compensare
Credo sia una peculiarità delle navi militari, più o meno di tutto il mondo. Tempo fa una nave NATO in manovra a Genova lavò letteralmente tutto il "comitato di benvenuto" in banchina perché il pilota aveva sbagliato manovra e vedendo che la banchina si stava avvicinando un po' troppo rapidamente ebbe la trovata di chiedere "battle speed" (essenzialmente un calcio nel sedere che fa schizzare la nave in avanti per rapide virate o scarti per evitare siluri o collisioni in battaglia), il comandante da bravo militare obbedì senza batter ciglio riempiendo di acqua non proprio pulita l'intera banchina...Re: A compensare
Hai detto Schiettino??Re: A compensare
Solo la bassa forza è del III mondo, in genere gli ufficiali sono europei, con qualche raro caso USA... Quanto alla rotta poco fuori dalla diga foranea metti il pilota automatico e c'è sempre un ufficiale di guardia. La nave non viaggia alla velocità di un aereo quindi eventuali errori si notano e correggono senza particolari problemi, la "nave che si perde"(1) è una leggenda. Anche in manovra in genere si va assai piano, a meno di rari casi di vento a raffiche o guasti le leve le ha un ufficiale e se anche il computer "sbaglia" a "compensare" vento&corrente hai (almeno sinora) elichette ed eliche manualmente disponibili sulla console.'Somma non siamo al livello delle auto che decidono quando frenare o sterzare con i "sistemi avanzati"... Per lo meno, non ancora...(1) aneddoto reale di un giovane III di coperta che tirò giù dal letto il comandante dicendogli qualcosa tipo "c'è terra dappertutto, ci siamo persi!" perché di notte con un temporale notevole ha scambiato il temporale sul radar per un profilo di costa...Re: A compensare
> abbiamo - sempre grazie ad appalti al ribasso -> filippini e pachistani ubriachi alla guida di> carghi da migliaia di tonnellate, che XXXXX vuoi> che capiscano, il comandante gli ha fatto a> capire a gesti che devono seguire la freccia> rossa sul display di sinistra e loro quello> fanno, il io-macchina comanda> sull'appendice-uomo.> i lupi di mare sono andati in pensione a fine> anni ottanta, ora c'e' solo una generazione di> disperati> non-sapevo-come-tirare-a-campare-e-allora-mi-sono-Non c'è bisogno che scomodi i filippini e pakistani (non pachistani, non si chiama Pachistan!) per avere gente a bordo che non capisce un XXXXX...come si è ben potuto vedere con la Costa, i napoletani sono già più che sufficientiRe: A compensare
]> Questo dovrebbe servir da lezione a chi> preferisce il primato della procedura sull'uomo.> La procedura per quanto "teoricamente" o meglio> "apparentemente" affidabile a priori non lo è nei> fatti, al pari dell'uomo. Quelle che chiami procedure sono in realtà un insieme di apparecchiature e supporti di navigazione che hanno migliorato tanto la sicurezza che gli armatori sono passati a navi sempre più grandi e massicce.Oltre alla difficoltà di manovrare le gigantesche navi moderne è pure aumentato il traffico.Affidarsi all'uomo come dici tu tecnicamente non è più fattibile, senza l'ausilio della tecnologia è praticamente impossibile manovrare quelle navi senza fare danni alla Schettino.Re: A compensare
Non è proprio esatto: si è "automatizzato" col concetto non di alleggerire il lavoro umano ma di *rimpiazzare* l'uomo ritenuto meno affidabile, "procedura" in questo senso. Se hai lavorato per un'azienda USA/UK ed una Europea avrai ben chiaro il concetto.Quanto alle navi l'era del più grosso è meglio è non c'è più, oggi al di fuori di navi da crociera si è tornati a rimpicciolirsi sia sui containers che sulle petroliere&c semplicemente perché si è visto che le mega-navi oltre al rischio potenziale hanno in effetti costi assai maggiori di più navi di stazza inferiore.Re: A compensare
- Scritto da: xte> Non è proprio esatto: si è "automatizzato" col> concetto non di alleggerire il lavoro umano ma di> *rimpiazzare* l'uomo ritenuto meno affidabile,> "procedura" in questo senso. Se hai lavorato per> un'azienda USA/UK ed una Europea avrai ben chiaro> il> concetto.> > Quanto alle navi l'era del più grosso è meglio è> non c'è più, oggi al di fuori di navi da crociera> si è tornati a rimpicciolirsi sia sui containers> che sulle petroliere&c semplicemente perché si è> visto che le mega-navi oltre al rischio> potenziale hanno in effetti costi assai maggiori> di più navi di stazza inferiore.Guarda l'anno di costruzione prima di sparare altre XXXXXXX:https://en.wikipedia.org/wiki/List_of_largest_container_shipsGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 17 ott 2017Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 17 ott 2017Link copiato negli appunti
