Vulnerabilità KRACK, come mettere in sicurezza router e access point Wi-Fi

Un ricercatore di sicurezza ha scoperto gravi vulnerabilità nel protocollo WPA2 che protegge i dati scambiati in una rete wireless. In questo articolo alcuni consigli utili e generali per mettere in sicurezza la rete Wi-Fi

È stata recentemente resa nota una vulnerabilità critica denominata KRACK (Key Reinstallation Attack) che consente in pratica di bypassare la protezione del protocollo WPA2 di router e access point ed è sulla carta piuttosto pericolosa: potrebbe, infatti, consentire a eventuali aggressori di intercettare il traffico Wi-Fi che avviene fra computer e access point, ottenendolo in chiaro.

Diciamo subito che giacché il problema risiede nel protocollo ed è indipendente dall’implementazione, l’unico modo per proteggersi è quello di installare aggiornamenti specifici per il proprio sistema o dispositivo non appena questi verranno messi a disposizione dai rispettivi produttori.

Il problema riguarda la procedura necessaria per la creazione della chiave crittografica per il traffico da e verso l’access point. È una falla grave ma realtà che vendono access point per le grandi aziende o per enti governativi hanno già dichiarato di avere delle patch pronte che consentono di annullare o ridurre i potenziali problemi.
Il problema maggiore riguarda centinaia di milioni di access point sparsi per il mondo, delle marche più disparate, che usano per default questo protocollo, finora ritenuto più sicuro rispetto al vecchio WEP. Nel momento in cui scriviamo non sappiamo ancora bene come funziona il potenziale attacco ma la speranza è che i vari produttori rilascino firmware aggiornati per mettere al sicuro gli utenti. Il firmware da solo non basterà: gli amministratori dovranno comunque aggiornare i dispositivi, un grattacapo non da poco per chi ad esempio gestisce reti con decine o anche centinaia di access point.

In casa tutti i dispositivi si connettono probabilmente usando un unico router e più access point/router e access point rappresentano lo “snodo” da cui partono tutte le comunicazioni via rete. Di conseguenza, se gli access point non sono protetti adeguatamente, anche i dispositivi collegati saranno a rischio. Cosa si può fare per stare al sicuro e proteggere la propria rete domestica? Di seguito alcuni consigli semplici e generali per proteggere computer e access point da potenziali attacchi.

Attenti alle Wi-Fi pubbliche
Se possibile, evitate di usare WiFi pubbliche come quelle di bar, aeroporti, hotel. Spesso l’utente sottovaluta i pericoli di queste reti ma esistono procedure di “sniffing” che consentono di acquisire i pacchetti di dati che passano in rete. Cybercriminali potrebbero interporsi tra il vostro computer e l’access point, intercettando le comunicazioni e di conseguenza tutto ciò che passa sulla rete. A volte cybercriminali preparano anche delle trappole ad hoc per convincere gli utenti a collegarsi a una rete che altro non è che un modo per acquisire dati e credenziali.

Disabilitare le funzioni di condivisione file e cartelle sul computer
Se possibile disabilitate le funzioni di condivisione dei file. Sono comode per scambiare file tra utenti della stessa rete ma bisogna ricordare che connettendosi a una rete Wi-Fi pubblica, si condividono le cartelle su tali reti permettendo, così, ad altri utenti di accedere a eventuali file condivisi. Se le funzioni di condivisione sul vostro computer sono attive, fate attenzione a cosa salvate nella cartella Pubblica. La cartella Pubblica di ogni utente con un account su Mac viene condivisa automaticamente. Per impedire la condivisione di una cartella, aprite le Preferenze di Sistema e selezionate “Condivisione”: nell’elenco “Cartelle condivise” potete rimuovere la cartella pubblica o impostare specifici permessi di accesso.

Wi-Fi Ospiti
Cambiate le password di default usate per accedere a router e access point
Molti utenti lasciano come password dell’access point/router, quella impostata in fabbrica dai produttori dei dispositivi. In combinazione ad altre mancanze, i cybercriminali una volta collegati alla rete Wi-Fi, possono potenzialmente prendere controllo completo di router/access point. Se non lo avete già fatto, è bene reimpostare subito la password di accesso all’area di amministrazione del router/access point indicandone una più complessa.

Disabilitare le funzioni di gestione in remoto del router
Alcuni router offrono funzionalità di gestione in remoto. Se non vi servono, è meglio disattivare queste funzioni bloccando l’accesso al router mediante Telnet o protocolli SSH (se supportato dalla vostra connessione). Gli utenti più esperti possono applicare restrizioni al pannello di controllo LAN per l’indirizzo MAC. Ogni dispositivo che si connette a una rete Wi-Fi ha un codice identificativo conosciuto come “indirizzo MAC”, un codice univoco per ogni dispositivo. Per impedire che persone sconosciute si colleghino alla nostra rete, è possibile specificare il MAC address nel Pannello di Amministrazione di ogni dispositivo usato regolarmente.

sicurezza wi-fi Aggiornamento firmware del router

Disattivate funzioni non utilizzate
Se non le utilizzate, è bene disattivare funzioni dei router quali l’Universal Plug and Play (UPnP), DLNA (Digital Living Network Alliance) e simili. Si riduce in questo modo il rischio derivante da vulnerabilità presenti nei software che utilizzano queste funzionalità. Se dovessero servire, è sempre possibile entrare nel pannello di amministrazione e attivare ciò che serve, quando serve.

Disabilitare il broadcasting
SSID è l’acronimo di Service Set Identifier, in altre parole il nome col quale una rete Wi-Fi si presenta ai suoi utenti. Per default molti router usano come SSID il nome e il modello de dispositivo stesso: in questo modo, un malintenzionato che passa nelle vicinanze dell’access point conosce anche con quale hardware ha a che fare. Se possibile è meglio disattivare il broadcasting dell’SSID, nascondendo la diffusione del nome. Nascondendo l’identificativo della propria rete wireless non impedirà a chi già conosce il nome di collegarsi ma permetterà di attivare una semplice misura con la quale tenere lontani gli “spioni” meno esperti. Lo “scotto” da pagare è la necessità di digitare il nome SSID ogni volta che il dispositivo si connette alla rete.

Sfruttate le reti “Guest” per gli ospiti
Molti router di recente generazione consentono di configurare una “Guest Network”, in altre parole una rete Wi-Fi per gli ospiti, con restrizioni d’accesso. Entrate nel pannello di amministrazione del router/access point, indicate la password per la Guest Network, e permettete ai vostri ospiti di connettersi a questa rete se vogliono collegarsi a Internet da casa vostra. Sarà in questo modo possibile avere un maggiore controllo sui dispositivi che si connettono con regolarità alla rete domestica, “isolando” quelli sconosciuti o non di vostra proprietà in una rete separata. A questo indirizzo un nostro specifico articolo su come creare reti Wi-Fi per gli ospiti.

Aggiornate il firmware di router e access point
I produttori di access point/router rilasciano regolarmente aggiornamenti firmware. Spesso questi integrano nuove funzionalità ma risolvono anche problematiche di sicurezza. Per verificare la presenza di aggiornamenti firmware basta entrare nell’interfaccia di amministrazione del router (digitando, ad esempio, un indirizzo del tipo: 192.168.1.1 o 192.168.0.1 nella barra degli URL del browser) e individuare la sezione che consente di verificare la presenza di update e aggiornare il firmware.

sicurezza wi-fi

Verificate il protocollo di cifratura usato
Cercando tra le varie impostazioni dell’access point/router troverete quelle che riguardano la sicurezza della rete wireless. In questa sezione è generalmente possibile indicare la password di accesso alla rete e scegliere il tipo di crittografia utilizzato. La maggior parte dei router nuovi di default hanno il protocollo WPA/WPA2, quello finora considerato più sicuro. Nel caso aveste un router più vecchio, potrebbe essere impostata la crittografia WEP. Questa è facilmente violabile. Se il vostro router/access point è impostato per usare il protocollo WEP, non è sicuro. Se non è possibile usare un protocollo diverso, è ora di cambiare dispositivo.

Usate le VPN
Un Virtual Private Network (VPN), è un servizio che permette di creare una connessione sicura fra il vostro computer e un sito web, indipendentemente dal tipo di rete usata per accedere a Internet. Sfruttare una VPN per accedere a una Wi-Fi pubblica è un metodo semplice e sicuro per garantire la sicurezza del collegamento. Esistono VPN gratuite e a pagamento (con funzionalità maggiori rispetto alle prime). Sono comode per chi ha che fare con dati sensibili, per esempio per lavorare da casa collegati a computer aziendali, per gestire mail, online banking e altro ancora.

Conclusioni
Non esiste un meccanismo che consente di proteggere la rete in modo definitivo. Tuttavia, predisporre le giuste precauzioni, aggiornare il firmware, utilizzare password robuste e così via, permette di incrementare il livello di sicurezza della rete wireless. Gli utenti più tecnici possono pensare a soluzioni quali l’uso di firewall ma per l’utente domestico, i consigli qui indicati sono più che sufficienti per mettere al sicuro router e access point.