Ryan Orsi, Director Product Management in WatchGuard Technologies, offre una panoramica dei principali deficit di sicurezza presenti in molte soluzioni Wi-Fi e spiega come le aziende debbano rivedere radicalmente ciò che si aspettano dal loro Wi-Fi
Dal primo protocollo 802.11 rilasciato nel 1997, il Wi-Fi è diventato un enorme mercato mondiale che vale più di 6 miliardi di dollari US e prevede di raggiungere i 15,6 miliardi di dollari entro il 2022, con un tasso di crescita annuale composto del 21,2%. Ma, nonostante questa crescita e il ruolo centrale che il Wi-Fi ha iniziato ad assumere nel business e nella vita in generale, la maggior parte dei punti di accesso Wi-Fi, router e hotspot sono superfici di attacco estremamente esposte.
Praticamente ogni azienda di sicurezza si concentra sugli attacchi al settimo livello di applicazione (come malware zero-day e ransomware), ma viene rivolta poca attenzione alla superficie d’attacco WiFi al livello due. Ci sono sei categorie di minacce conosciute nella sicurezza Wi-Fi e non sono state affrontate nei settori della sicurezza e del networking per troppo tempo.
Serve educazione e consapevolezza per correggere questo problema di sicurezza globale. Trusted Wireless Environment Framework è una risorsa che può contribuire a creare consapevolezza su ciò che costituisce una buona sicurezza Wi-Fi. Spiega come costruire una rete Wi-Fi completa che sia veloce, facile da gestire e, soprattutto, sicura. Per essere un vero ambiente wireless affidabile, un sistema Wi-Fi deve fornire rilevamento automatico e prevenzione da queste sei categorie di minacce Wi-Fi note: analizziamole di seguito.
1) Rogue Access Point – Un Access Point (AP) fasullo è un AP che è stato connesso fisicamente a una rete senza esplicita autorizzazione da parte dell’amministratore. È una violazione PCI-DSS. I rogue AP sono connessi alla rete autorizzata, permettendo così agli attaccanti di bypassare il perimetro della sicurezza. Questo può avvenire o tramite un AP fisico o tramite uno creato a livello software su un computer e collegato a una rete autorizzata. Per esempio, in un negozio che ha clienti che entrano ed escono tutto il giorno è impossibile tenere d’occhio tutti. È possibile che qualcuno acceda all’armadio dove si trovano tutti gli apparati e inserisca un AP anche tra i più economici. Ora i criminali possono accedere alla rete privata protetta dell’azienda e dirottare i sistemi POS per rivelare i numeri delle carte di credito o accedere ai sistemi di controllo degli edifici come serrature, allarmi e telecamere. I sistemi Wi-Fi devono rilevare se un segnale nell’aria viene trasmesso da un AP fisicamente collegato alla rete autorizzata. In tal caso, il sistema WiFi deve essere in grado di impedire a un rogue AP di accedere alla LAN, che avviene tipicamente via ARP poisoning. Dovrebbe anche essere in grado di impedire ai client Wi-Fi di associarsi ad esso, di solito tramite un flusso di frame di deautenticazione.
2) Access Point “Evil Twin” – Gli AP Evil Twin simuleranno access point legittimi, modificando gli SSID e solitamente anche gli indirizzi MAC. Gli attaccanti possono così intercettare il traffico secondo quello che viene definito attacco man-in-the-middle (MitM). Ma come funziona esattamente? Una volta che la vittima è connessa, il malintenzionato può rubare le credenziali, immettere codice dannoso nei browser della vittima, reindirizzare la vittima su un sito di malware e molto altro ancora. Se un dipendente in ufficio durante la pausa pranzo decide di connettersi alla rete Wi-Fi Guest per fare acquisti su siti di e-commerce, un hacker nelle vicinanze può utilizzare un AP Evil Twin per trasmettere lo stesso SSID Guest dell’azienda e ingannare quel dipendente a collegarsi all’AP malevolo. Quando quella persona paga per i suoi acquisti online, non fa altro che inviare i dettagli della sua carta di credito direttamente all’attaccante. Un sistema di sicurezza Wi-Fi non deve interferire con i client non amministrati dalla rete autorizzata, ma allo stesso tempo deve rilevare quando AP Evil Twin tentano di ottenere il collegamento di client autorizzati e impedire questa connessione con frame di de-autenticazione e altre tecniche.
3) Neighbour Access Point – Questa minaccia si verifica quando un client autorizzato gestito dall’azienda si connette a un access point esterno o guest, bypassando il perimetro di sicurezza dell’azienda e aggirando le restrizioni di sicurezza impostate dal firewall. In realtà non esiste un trucco hacker super-segreto per fare questo. Qualsiasi dipendente potrebbe farlo (e probabilmente lo farà) proprio ora. Scegliendo di connettere i propri dispositivi alla rete ospite o alla rete del bar al piano di sotto, i dipendenti stanno bypassando la sicurezza della rete. Un altro esempio di questa minaccia potrebbe essere quando un cameriere di un ristorante porta il tablet POS connesso alla rete Wi-Fi al tavolo del cliente per accettare il pagamento con carta di credito. Quel cameriere noterà che il tablet POS lo invita a scegliere una rete Wi-Fi a cui connettersi, e lui sceglierà il SSID del locale di fianco perché sa che ha una rete WiFi migliore. Il cameriere non ha fatto altro che connettere il tablet a un neighbour AP SSID che è aperto e sta inviando le informazioni sulla carta di credito in plain text, che chiunque può intercettare. Soluzioni Wi-Fi devono essere in grado di classificare in modo automatico client di device gestiti dall’azienda come client autorizzati e prevenire che questi si connettano ad altri SSID se non quelli che gli amministratori IT hanno definito. Le tecniche di prevenzione per questa minaccia includono ancora frame di de-autenticazione.
4) Rogue client – Qualsiasi client precedentemente collegato a un rogue AP o ad altri AP malevoli nel raggio di una rete privata è considerato un rogue client. Un client collegato a un rogue AP potrebbe essere stato vittima di una serie di attacchi man-in-the-middle (MitM) che includono il caricamento di ransomworms, malware o backdoor sul client. Quando un rogue client si connette a un’altra rete, può diffondere questo malware. Ad esempio, immaginiamo una persona che si ferma allo stesso bar mentre va al lavoro tutti i giorni. Dal momento che si è collegata al Wi-Fi del bar in passato, il suo telefono si connette automaticamente ogni volta che entra. Un giorno, qualcuno potrebbe installare un AP Evil Twin, imbrogliare il telefono di questa persona e infettarlo con un ransomware che verrà portato in ufficio. I sistemi di sicurezza Wi-Fi devono riclassificare automaticamente un client autorizzato come rogue client nel momento in cui viene rilevato che è collegato a un AP malevolo e impedire a questo client di associarsi nuovamente a SSID autorizzati privati finché l’IT non ha confermato che il dispositivo è privo di malware.
5) Ad-hoc network – Questa minaccia è essenzialmente una connessione Wi-Fi peer-to-peer tra client che consente a due o più dispositivi di comunicare direttamente tra loro, aggirando le politiche di sicurezza della rete e rendendo invisibile il traffico. Qualsiasi dipendente potrebbe rapidamente creare una rete ad-hoc tra i dispositivi dei propri colleghi, se lo desiderasse. Ad esempio, mentre sta per iniziare un incontro, un dirigente sta aspettando un file che doveva essere già arrivato da ore. Servirebbe troppo tempo per utilizzare il servizio di condivisione file della rete sicura approvata dall’IT, quindi un dipendente decide di creare una rete ad-hoc per inviarlo direttamente da notebook a notebook. Le soluzioni Wi-Fi devono essere in grado di rilevare automaticamente quando i client autorizzati, gestiti dall’IT aziendale stanno partecipando a reti ad-hoc e devono impedire tale connessione, anche se crittografate utilizzando tecniche di cell-splitting o metodi simili.
6) Access Point mal configurato – Può essere troppo facile per gli amministratori di rete commettere accidentalmente un errore di configurazione, come rendere un SSID privato aperto senza crittografia, esponendo potenzialmente informazioni sensibili all’intercettazione. Ciò può accadere ogni volta che un access point non è impostato correttamente (ad esempio, lasciando invariate le impostazioni predefinite). Immagina: un AP viene spedito dall’azienda a un nuovo ufficio e un addetto alla reception si offre volontario per collegarlo. Segue le istruzioni ma commette un errore e installa l’AP in modo da trasmettere un SSID aperto e trapelare dati privati. Non può essere incolpato perché non è un professionista IT, ma l’azienda ha un AP mal configurato che potrebbe rappresentare un serio rischio per l’organizzazione.
I sistemi di gestione Wi-Fi devono includere le impostazioni delle policy di configurazione in cui gli amministratori IT possono specificare dettagli quali i requisiti minimi di crittografia sugli SSID trasmessi dagli AP gestiti, gli OUI del fornitore autorizzati a trasmettere SSID e così via. A un AP sulla rete autorizzata che non aderisce a questa policy dovrebbe essere impedito al secondo livello che qualsiasi client si connetta ad esso finché l’IT non risolve l’errore di configurazione.
Formazione continua per l’industria WiFi
La superficie d’attacco Wi-Fi al livello due del modello ISO/OSI è data dai punti di accesso e dai router che trasmettono segnali Wi-Fi. Per risolvere questo problema, serve influenzare le persone che acquistano questi dispositivi. Proprietari di aziende, utenti domestici e professionisti della sicurezza e della rete dovrebbero chiedere ai fornitori e ai service provider che hanno venduto loro AP e router se soddisfano questi standard di sicurezza emergenti che abilitano ambienti wireless affidabili. Questa semplice domanda assicurerà che più aziende abbiano i loro prodotti Wi-Fi testati per la sicurezza da società indipendenti e imparziali e che col tempo aumentino le capacità di sicurezza delle reti Wi-Fi a beneficio di tutti.