ALLERTA PERICOLI INFORMATICI

Krack : attacco hacker che spia una casa connessa

Written by gestore

Allerta Pericoli Informatici : scarica la nostra app e rimani sempre informato :


Servizio di Allerta Pericoli Informatici

Cos’è Krack, l’attacco hacker che spia una casa connessa

Questo tipo di attacco permette di intrufolarsi nei sistemi connessi a internet della casa, dalle videocamere Iot agli assistenti virtuali. La scoperta di Eset
Bratislava – “Das Unheimliche”: così Sigmund Freud denominava quel sentimento di inquietudine che sorge quando una cosa, persona, luogo o situazione solitamente familiare viene percepita allo stesso tempo estranea, suscitando una sensazione “perturbante” di estraneità, angoscia e confusione. Chissà se il padre della psicologia moderna avrebbe utilizzato questo termine, che è il contrario di “heimlich” (da “heim”, “casa”), di fronte alla possibilità che osservatori ignoti possano spiarci nei nostri stessi appartamenti e prenderne il controllo a distanza. Come? Magari attraverso quei docili dispositivi sempre all’ascolto, accesi, connessi e da noi stessi installati per renderci la vita quotidiana più comoda e, almeno in teoria, sicura: gli smart home assistant.

Sì, perché è proprio questo il pericolo che, un secolo dopo e a soli 60 chilometri da Vienna, segnalano oggi i ricercatori Eset di Bratislava. Il team guidato da Stefan Svorencik, senior detection engineer e Jean-Ian Boutin, capo della ricerca sulle minacce cibernetiche, ha testato una dozzina di device simili dimostrando la vulnerabilità agli attacchi hacker delle telecamere D-Link 2132L, degli altoparlanti Echo Amazon di prima generazione (il primo hardware con Amazon Alexa) e del Kindle di ottava generazione. Il risultato emerge da una ricerca del 2018, resa nota soltanto ora, condotta con la tecnica dell’attacco Krack, utilizzabile per inserirsi nella connessione tra server e client nella rete wifi, modificandone la chiave crittografica dei dati.

Va detto che la casa di Seattle, una volta messa a parte della faccenda, è corsa subito ai ripari rilasciando dallo scorso gennaio in poi la nuova patch di aggiornamento “wpa_supplicant”, un’applicazione software per il “client device”, responsabile per la corretta autenticazione della rete wifi, compatibile sia per i dispositivi Echo che per Kindle. Peraltro, gli altoparlanti Echo con Alexa sono stati introdotti sul mercato italiano solo dalla seconda generazione in poi, mentre quelli appartenenti alla prima edizione erano circolati solo in Stati Uniti, Regno Unito e Germania.

Sicurezza online, Foto di Darwin Laganzon da Pixabay
Varie forme di attacco
I dispositivi internet of things sono generalmente un bersaglio facile per gli hacker, a causa di due difetti: raccolgono ed espongono molti dati, oppure sono di per sé vulnerabili. “Nel caso delle telecamere D-Link il feed del video veniva inviato direttamente al cloud dei dati in modo non criptato, permettendo a un aggressore di intercettare il traffico e vedere facilmente le immagini riprese dall’occhio elettronico inviandogli un update malevolo, una volta conosciuto l’Ip della telecamera”, spiegano i ricercatori di cybersecurity. In teoria quindi le possibilità di controllo per un intruso che utilizzi un aggiornamento malware sono infinite.

“What was wrong with Alexa?” È questa la domanda che si sono poi posti a Bratislava. In generale, ogni volta che un comune smartphone, notebook o home assistant hub si connette tramite password alla rete wifi, stabilisce una connessione generando una crittografia dei dati. Nel caso dello standard Wpa2 (wifi protected access 2), il client (“supplicant”) si connette wireless al punto di accesso “authenticator” e attraverso uno scambio di dati in quattro passaggi creano insieme una chiave con cui rendere sicuro lo scambio di informazioni.

“Tuttavia quando il device si scollega e poi si ricollega, magari perché la connessione è stata interrotta per uno spostamento fisico del device, la terza parte del messaggio deve essere rimandata – spiega Boutin -. In questo momento l’hacker si può inserire, inviando un suo codice e bloccando la quarta parte, in modo da non cambiare la chiave crittografica. Così tutti i dati immessi dalla vittima e trasmessi fra il device e l’access point possono essere letti dall’estraneo, altri dati possono iniettati nel flusso e contraffatti, informazioni sensibili possono essere decifrate. È possibile che un malintenzionato prenda persino il controllo degli smart device connessi all’home assistant come frigorifero, termostato, telecamere, stereo…”.

La tecnica Krack colpisce la sicurezza dello standard Wpa/Wpa2 e quando va a segno è come se il device si trovasse in una rete non protetta. “Quindi, a meno che non si utilizzino anche altre tecniche, l’impatto dell’attacco riguarda solo quei dati non correttamente protetti da ogni altro livello di rete come il protocollo Tls usato dai browser in Https, che protegge una grande quantità di dati”, così circoscrivono il campo i ricercatori di Eset.

Come proteggersi

Inoltre, la tecnica Krack può essere attuata solo se l’aggressore si trova nel raggio della stessa rete wifi. “Ma in futuro i device IoT saranno sempre interessanti per i malintenzionati: sempre accesi, connessi, aperti a vulnerabilità, offrono molte possibilità di inserire codice malware difficile da individuare, analizzare e rimuovere anche a causa di un’architettura diversa”, spiegano Boutin e Svorencik.

Quindi, oltre ad accertarsi bene su chi siano i vicini di casa, gli accorgimenti che gli esperti suggeriscono sono cinque: fare in modo che gli Iot non siano direttamente raggiungibili da internet, usare password forti e due fattori di autenticazione, abilitare una rete di comunicazione criptata, disabilitare i servizi inutilizzati e soprattutto aggiornare regolarmente i firmware con gli update più recenti, per assicurarsi di avere sempre la “pezza” giusta che copra eventuali falle del dispositivo.

Fonte : https://www.wired.it/internet/web/2019/10/25/krack-hacker/?utm_source=wired&utm_medium=NL&utm_campaign=default

Servizio di Allerta Pericoli Informatici

Alcuni dei Nostri Servizi più richiesti :

Copia Autentica Pagina Web

Copia Autentica Pagina Web

Il nostro studio fornisce un servizio professionale di autenticazione o copia conforme con valore legale di una pagina web o di una pagina di un social network per ogni tipo di contenuto ( testi, immagini, commenti, video, audio, tag ... ) che viene acquisito in modalità forense.

Denuncia per diffamazione su internet o sui social

Il nostro studio fornisce un servizio professionale di supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet o sui social network

MONITORAGGIO DELLA REPUTAZIONE ONLINE PERSONALE E AZIENDALE

La nostra società è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale.

Servizio professionale per la rimozione di recensioni negative

Il nostro studio fornisce un servizio professionale anche di supporto legale per la rimozioni di recensioni online negative, offensive o comunque inappropriate (recensioni negative su tripadvisor, google ...)

I segreti della Truffa online : come smascherare un truffatore

Questa sezione del nostro portale di assistenza sui rischi informatici desidera offrire un aiuto a tutti coloro che sono stati vittima di una truffa online o hanno il sospetto di avere a che fare con un truffatore.

Certificazione Chat WhatsApp anche da Remoto

La certificazione di una chat WhatsApp che conferisce ad un messaggio ricevuto il valore di una prova legale, può essere eseguita anche da remoto da uno studio di informatica forense ( ricordiamo che uno screenshot non è ritenuto una prova valida ai fini legali ).

Soluzioni Backup per tutte le esigenze anche con criptazione dati

La nostra società offre un servizio completo per le esigenze di backup di privati ed aziende. Lasciatevi consigliare dai Professionisti del Backup per conservare i vostri dati sempre al sicuro e protetti con le migliori tecnologie a disposizione in ottemperanza dei nuovi decreti in materia di protezione dei dati personali ed in osservanza a tutte le normative europee vigenti, anche con crittografia end-to-end per salvaguardare il valore dei vostri contenuti.

Estorsione o ricatto sessuale online : cosa fare e cosa non fare

Il nostro studio fornisce un servizio professionale con assistenza legale nei casi di estersione o ricatti online



Rss Feeds: