E se anche il WPA non fosse infallibile?

Redazione di Hardware Upg · 10-11-2004, 14:40

Link alla notizia: http://news.hwupgrade.it/13505.html

Le reti wireless sono da sempre nell'occhio del ciclone per quanto riguarda la propria sicurezza, anche il WPA adesso vacilla

Click sul link per visualizzare la notizia.

nicgalla · 10-11-2004, 15:00

Senz'altro non c'è niente di più sicuro di una rete wired... tutto ciò che è wireless può essere facilmente intercettato, assolutamente da scartare per informazioni confidenziali. Ma non è possibile - domanda da ignorante in materia - usare sistemi di codifica inviolati come quello, geniale, usato da PGP? O il WPA funziona già in questo modo?

DioBrando · 10-11-2004, 15:18

IMHO è un pò la scoperta dell'acqua calda...

Come scritto nello stesso articolo già un anno fà, o cmq al momento dell'introduzione sul mercato della tecnologia WPA si sapeva che questa non fosse sufficiente a garantire un livello di sicurezza ( non per l'utente home che n se lo fila nessuno) per aziende o sistemi ad alto rischio di perdita di dati sensibili...

Per questo sn in lavorazione da mesi nuovi "standard" .i, .l che integrano nuove tecniche di criptazione dei dati e delle chiavi in particolar modo...

Anche se per ora siamo ben lontani dalle garanzie che offre il "cablato".

Banus · 10-11-2004, 15:58

E per fortuna WEP stava per "Wired Equivalent Privacy"

All'università abbiamo visto passo passo come è possibile craccarlo con lo sniffing dei pacchetti

Rottweiler · 10-11-2004, 16:26

imho, ora come ora la scelta migliore è sempre l'autenticazione mediante server radius..

zhelgadis · 10-11-2004, 16:46

Il punto è che il WPA opera a livello MAC (scheda di rete), mentre il PGP cripta i dati a livello applicazione.
Ergo, con PGP cripti solo quello che vuoi, WEP/WPA critografano *tutti* i pacchetti, quindi nulla ti vieta di usare PGP per le tue email e stare sicuro

Il punto è che - AFAIK - il PGP è abbastanza pesante computazionalmente e su dispositivi come laptop e PDA questo si traduce in una durata inferiore delle batterie... insomma, non è pensabile crittografare tutti i pacchetti così

Banus · 10-11-2004, 17:47

Quote:

Originariamente inviato da zhelgadis
Il punto è che - AFAIK - il PGP è abbastanza pesante computazionalmente e su dispositivi come laptop e PDA questo si traduce in una durata inferiore delle batterie... insomma, non è pensabile crittografare tutti i pacchetti così

Il PGP infatti non è proprio adatto a grossi trasferimenti di dati.
Piuttosto non basterebbe una connessione di tipo SSL che richiede un algoritmo asimmetrico solo per lo scambio delle chiavi? Il problema è però il supporto dell'applicazione.
Mi chiedo secondo quali parametri si scelga l'algoritmo di crittazione per il wireless... il WEP era un sistema tanto astruso quanto debole, e infatti il WPA è una specie di "pezza".
Certo che il wireless ha un sacco di problematiche in più, ad esempio non deve essere possibile un "replay attac" sniffando i pacchetti della connessione.

DevilsAdvocate · 10-11-2004, 20:19

Basta molto meno..... con un algoritmo a rotazione dei byte differenziale a progressione variabile difficilmente qualcuno potrebbe capire qualcosa dei dati.
(A parole sembra una cosa complessa, in realta' si tratta di sfruttare il comando ROT assembler con qualche accorgimento in piu' rispetto ad un ROT puro..
roba che leva l'1% o meno ai cicli di una cpu moderna)

Banus · 10-11-2004, 20:50

Quote:

Originariamente inviato da DevilsAdvocate
Basta molto meno..... con un algoritmo a rotazione dei byte differenziale a progressione variabile difficilmente qualcuno potrebbe capire qualcosa dei dati.

che tecnica è?
WEP non era poi tanto stupida, generava uno stream pseudocasuale a partire da una chiave mediante l'algoritmo rc4 (usato dalla RSA prima che qualcuno ne pubblicasse il codice

) e aveva altri accorgimenti, come l'inserimento di Initialization Vector per avere stream sempre diversi.
Però si sono scoperte alcune vulnerabilità di rc4, il CRC come era calcolato in WEP poteva essere riciclato, si sono trovate tecniche per individuare l'IV...
Adesso esistono programmi che esaminando un certo numero di pacchetti (al massimo qualche milione) riescono a rompere il codice.

Dreadnought · 10-11-2004, 22:34

Mah... a parte che + che craccato il WPA hanno exploitato il PSK, in ogni modo se parlano di chiavi semplici mi sa che è un bruteforcing... quindi vorrei vedere il tempo a craccare una password si 15 lettere.

Idem il WEP, quando non è in open o shared mode voglio vedere quanto si impiega a craccare uno wep a 128bit (ancor di + un 256)

Azaroth · 05-12-2004, 16:25

Non c'entra il brute force, ci sono metodi per scoprire la chiave diversi dal brute force (crittanalisi differenziale e altre amenità simili).
SSL non si può utilizzare perchè fornisce sicurezza solo a livello trasporto, non a livello fisico.

10-11-2004, 15:18	#3
DioBrando Senior Member Iscritto dal: Jan 2003 Città: Milano - Udine Messaggi: 9418	IMHO è un pò la scoperta dell'acqua calda... Come scritto nello stesso articolo già un anno fà, o cmq al momento dell'introduzione sul mercato della tecnologia WPA si sapeva che questa non fosse sufficiente a garantire un livello di sicurezza ( non per l'utente home che n se lo fila nessuno) per aziende o sistemi ad alto rischio di perdita di dati sensibili... Per questo sn in lavorazione da mesi nuovi "standard" .i, .l che integrano nuove tecniche di criptazione dei dati e delle chiavi in particolar modo... Anche se per ora siamo ben lontani dalle garanzie che offre il "cablato". __________________ Vendo accessori, console e giochi (PS2, PSX, Dreamcast, Nintendo, PC Engine, Neo Geo) Vendo BlackBerry Bold 9700 e auricolare Nokia stereo Bluetooth BH-903 Appunti Digitali: La Valigia del Videogamer

10-11-2004, 15:58	#4
Banus Senior Member Iscritto dal: Nov 2002 Città: Singularity Messaggi: 891	E per fortuna WEP stava per "Wired Equivalent Privacy" All'università abbiamo visto passo passo come è possibile craccarlo con lo sniffing dei pacchetti __________________ echo 'main(k){float r,i,j,x,y=-15;while(puts(""),y++<16)for(x=-39;x++<40;putchar(" .:-;!/>"[k&7])) for(k=0,r=x/20,i=y/8;j=rr-ii+.1, i=2ri+.6,jj+ii<11&&k++<111;r=j);}'&>jul.c;gcc -o jul jul.c;./jul \|Only Connect\| "To understand is to perceive patterns" Isaiah Berlin "People often speak of their faith, but act according to their instincts." Nietzsche - Bayesian Empirimancer - wizardry

10-11-2004, 16:26	#5
Rottweiler Senior Member Iscritto dal: Nov 2002 Messaggi: 1149	Radius imho, ora come ora la scelta migliore è sempre l'autenticazione mediante server radius..

10-11-2004, 16:46	#6
zhelgadis Member Iscritto dal: Mar 2004 Messaggi: 182	x Nicgalla Il punto è che il WPA opera a livello MAC (scheda di rete), mentre il PGP cripta i dati a livello applicazione. Ergo, con PGP cripti solo quello che vuoi, WEP/WPA critografano tutti i pacchetti, quindi nulla ti vieta di usare PGP per le tue email e stare sicuro Il punto è che - AFAIK - il PGP è abbastanza pesante computazionalmente e su dispositivi come laptop e PDA questo si traduce in una durata inferiore delle batterie... insomma, non è pensabile crittografare tutti i pacchetti così

10-11-2004, 14:40	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75175	Link alla notizia: http://news.hwupgrade.it/13505.html Le reti wireless sono da sempre nell'occhio del ciclone per quanto riguarda la propria sicurezza, anche il WPA adesso vacilla Click sul link per visualizzare la notizia.

10-11-2004, 15:00	#2
nicgalla Senior Member Iscritto dal: Mar 2002 Città: Lodi Messaggi: 2208	Senz'altro non c'è niente di più sicuro di una rete wired... tutto ciò che è wireless può essere facilmente intercettato, assolutamente da scartare per informazioni confidenziali. Ma non è possibile - domanda da ignorante in materia - usare sistemi di codifica inviolati come quello, geniale, usato da PGP? O il WPA funziona già in questo modo?

10-11-2004, 20:19	#8
DevilsAdvocate Senior Member Iscritto dal: Jan 2003 Messaggi: 3646	Basta molto meno..... con un algoritmo a rotazione dei byte differenziale a progressione variabile difficilmente qualcuno potrebbe capire qualcosa dei dati. (A parole sembra una cosa complessa, in realta' si tratta di sfruttare il comando ROT assembler con qualche accorgimento in piu' rispetto ad un ROT puro.. roba che leva l'1% o meno ai cicli di una cpu moderna)

10-11-2004, 22:34	#10
Dreadnought Senior Member Iscritto dal: Aug 1999 Città: Vares Messaggi: 3830	Mah... a parte che + che craccato il WPA hanno exploitato il PSK, in ogni modo se parlano di chiavi semplici mi sa che è un bruteforcing... quindi vorrei vedere il tempo a craccare una password si 15 lettere. Idem il WEP, quando non è in open o shared mode voglio vedere quanto si impiega a craccare uno wep a 128bit (ancor di + un 256)

05-12-2004, 16:25	#11
Azaroth Member Iscritto dal: Nov 2004 Messaggi: 82	Non c'entra il brute force, ci sono metodi per scoprire la chiave diversi dal brute force (crittanalisi differenziale e altre amenità simili). SSL non si può utilizzare perchè fornisce sicurezza solo a livello trasporto, non a livello fisico.

Strumenti
Mostra una versione stampabile Invia questa pagina per email