Abbiamo passato anni a raccomandare di usare una password per crittografare i dati delle connessioni Wi-Fi. Ieri si è scoperto che è perfettamente inutile: il protocollo di crittografia WPA2 soffre infatti di un bug che consentirebbe ai pirati informatici di fare quello che vogliono.

WPA2 (Wi-Fi Protected Access II) è il protocollo adottato per proteggere le connessioni tra dispositive e access point che utilizzano Wi-Fi e, fino a oggi, era considerate lo stato dell’arte per garantire connessioni sicure. Con questa nuova tecnica di attacco si apre una vera voragine che indebolisce qualsiasi rete.

Il “proof of concept” che verrà reso pubblico oggi è stato battezzato con il nome di KRACK(abbreviazione di Key Reinstallation Attacks) e farebbe leva su una serie di vulnerabilità legate al sistema di scambio delle chiave nel corso del processo di handshacking.

Stando a quanto si legge in un’allerta inviata dal CERT a un centinaio di aziende, sfruttando le vulnerabilità sarebbe possibile decrittare il traffico, intercettare informazioni, dirottare le connessioni http, replicare i pacchetti e portare attacchi di http injection. Insomma: un vero disastro.

La buona notizia è che si tratta di vulnerabilità scoperte da un gruppo di ricercatori e non ancora attivamente utilizzate da cyber-criminali. Le cose, però, rischiano di degenerare in fretta. Non appena si conosceranno i dettagli, i pirati potranno cominciare a sfruttarla.