Evito di inserire commenti nel titolo per non essere accusato, more solito, di generare paura e terrore quando parlo di sicurezza informatica, ma oggi la situazione è piuttosto seria: un gruppo di ricercatori, sfruttando una serie di vulnerabilità (di cui alcune già note), è riuscito a far saltare il protocollo di crittografia WPA2.

Tale protocollo è stato per anni considerato letteralmente inattaccabile, tanto che la Wi-Fi Alliance non ha mai proposto, sino ad oggi, una sua evoluzione: di fatto, demolirlo è come ottenere un passe-partout in grado di aprire qualsiasi porta di una qualsiasi abitazione, ufficio o, peggio ancora, ente di pubblica amministrazione (che, di norma, dovrebbe usare solo le care e vecchie reti cablate). Il proof of concept è stato reso da poco disponibile a tutti gli interessati con il nome di KRACK (Key Reinstallation Attacks) sul sito krackattacs.com (assieme ad un paper illustrativo e ad un tool per le applicazioni pratiche) e fa leva sulle vulnerabilità legate al sistema di scambio della chiave nel corso del processo di handshaking per decrittare il traffico dati, intercettare informazioni, dirottare le connessioni http, attaccare una vittima tramite http injection e replicare i pacchetti. Insomma, una vera e propria apocalisse. Peraltro, lo stesso team di ricercatori, nel corso della Black Hat Security Conference di quest'anno, aveva già comunicato di aver scoperto tali falle di sicurezza. Anche il CERT si è premurato di inviare una nota di allerta a un centinaio di aziende (sic!), confermando l'amara scoperta.

Ora i produttori di router e di access point devono affrettarsi a capire come tappare le falle ed a rilasciare gli aggiornamenti per i propri prodotti. Il problema, come è facile intuire, è legato alla miriade di dispositivi da aggiornare in giro per il mondo e, soprattutto, alla buona volontà di amministratori di sistema (o dei soggetti preposti a compiti simili) di aggiornare, quando sarà il momento, tutte le apparecchiature a cui hanno accesso. Nel frattempo, oltre ad auspicarmi che la Wi-Fi Alliance si metta al lavoro per la creazione dello standard WPA3, non posso che raccomandarvi di sfruttare, per quanto possibile, le connessioni via cavo di rete, almeno finché il produttore del vostro access point o router wireless non implementi le patch di sicurezza.