Lo standard Wi-Fi WPA3 è uno degli argomenti più caldi dell’ultimo periodo sia perché è una tecnologia che si sta ampiamente diffondendo in tutto il mondo dopo il debutto circa un anno fa, ma anche perché sono emersi i primi problemi di vulnerabilità.

Ed è forse stata forse proprio questa la grande sorpresa, seppur in negativo. Il nuovo standard è infatti caduto dove avrebbe dovuto brillare, con una falla peraltro “vecchia” e proprio per questo motivo ancora più sconfortante. Il protocollo ha mostrato il fianco non proteggendo adeguatamente dall’intromissione indesiderata di malintenzionati.

Ma facciamo un passo indietro scoprendo tutto quello che c’è da sapere sullo standard WPA3 relativo alle reti Wi-Fi: come funziona, cosa cambia rispetto al passato dunque al precedente protocollo WPA2, perché ad ogni modo sarà il futuro e dove e perché ha fallito. Infine, alcune anticipazioni sul futuro di questa tecnologia fondamentale.

Che cos’è lo standard WPA3

Il nuovo protocollo WPA3 è stato presentato dalla WiFi Alliance a metà del 2018 dopo uno sviluppo durato diversi anni che ha portato all’ufficializzazione del nuovo standard crittografico che succede alla tecnologia WPA2 (uscita allo scoperto ormai 14 anni fa) e che ha come obiettivo quello di alzare muri più alti e più solidi per arginare eventuali attacchi informatici.

Per comprendere meglio e appieno che cosa sia lo standard WPA3 basta fare un confronto con quello precedente WPA2. Entrambi si possono intendere come una barriera protettiva al traffico di pacchetti dati e file che fluisce attraverso una rete senza fili tra il router e i vari dispositivi connessi come computer, smartphone, tablet e qualsiasi altro gadget tecnologico.

Attraverso lo standard si pone una password complessa che è un po’ come la chiave del recinto che dovrebbe, almeno in teoria, evitare che i suddetti dati possano essere captati da malintenzionati. Questo avviene sia a livello privato con il Wi-Fi di casa sia a livello pubblico con reti cittadine oppure di aziende o di luoghi di aggregazione.

Il WPA3 sarà fondamentale per il futuro perché tra i dispositivi che beneficeranno di questa tecnologia ci sono quelli per la domotica e dell’Internet delle Cose ossia tutti gli oggetti della casa che potranno potenzialmente collegarsi in rete pur non essendo dotati di schermo, tastiera e altri componenti classici di computer e gadget portatili. Potranno così sfruttare la tecnologia WPA3 con WPS ossia WiFi protected setup per proteggere il collegamento senza fili anche nell’impossibilità di mettere una password attraverso la combinazione di schermo-tastiera. Sarà però richiesta la pressione di un tasto sul router.

Discorso diverso per la modalità di collegamento Wi-Fi Easy Connect compatibile sia con le reti WPA2 sia con le WPA3, che consente di associare un dispositivo senza interfaccia di visualizzazione alla rete tramite scansione di un codice QR.

Le caratteristiche del WPA3

Uno dei grandi vantaggi della tecnologia WPA3 è il fatto di criptare adeguatamente anche reti che non hanno una password di accesso e che dunque tecnicamente sono di libero accesso per tutti i potenziali utenti nei paraggi. Questo è qualcosa che può interessare da vicino soprattutto i Wi-Fi cittadini con tantissimi utenti che si connettono alla stessa rete e con eventuali hacker che possono andare a setacciare e saccheggiare file e dati personali sensibili come dati bancari. Qualcosa che tecnicamente viene definito come “sniffing” e che, semplificando, è una tecnica un po’ più “soft” di intercettazione dei singoli pacchetti.

Quella invece più “hard” si chiama “brute force attack” ossia attacco di forza bruta e sono anche quelli più pericolosi. La precedente tecnologia WPA2 era più debole in questo senso perché poteva essere forzata durante la procedura di handshake (stretta di mano) tra il router e il dispositivo in quel momento connesso. Un momento cruciale in cui viene controllata la password crittografica.

Di solito questo è il metodo malevolo più empirico con l’immissione di migliaia e migliaia di possibili password fino a ottenere quella esatta. Il nuovo protocollo dovrebbe teoricamente andare a bloccare immediatamente tentativi continuativi di indovinare la password. Qualcosa che non dà la sicurezza di un blocco totale, ma di certo dovrebbe rendere la vita più difficile ai cybercriminali.

La vulnerabilità dello standard WPA3

Tuttavia di recente è stato scoperto che il protocollo WPA3 è molto meno sicuro di quanto si pensasse visto che attacchi di forza bruta si possono operare anche su questo tipo di reti con vulnerabilità molto gravi ribattezzate dragonblood, che permettono di scavalcare il continuo controllo nella password wi-fi accedendo al pacchetto dati tra dispositivi connessi al router.

La falla è stata scoperta dai due ricercatori di sicurezza Mathy Vanhoef della New York University Abu Dhabi) e Eyal Ronen della Tel Aviv University & KU Leuven che l’hanno individuata all’interno dell’algoritmo Simultaneous Authentication of Equals (SAE) relativo all’autenticazione sull’utilizzo di password sulla carta più sicure rispetto a quelle dello standard WPA2 (col vecchio sistema Pre-shared Key alias PSK).

Come è stato possibile? Da errori di programmazione e di sviluppo che hanno colpito la stessa debolezza di WPA2 ossia l’handshake (noto anche come dragonfly, da qui il nome dragonblood) con l’algoritmo che controlla lo scambio delle chiavi crittografiche.

L’attacco vero e proprio è stato portato a termine sfruttando la retrocompatibilità dello standard da WPA2 a WPA3 andando a forzare il dispositivo connesso a effettuare un downgrade alla tecnologia precedente e mettendo in pratica un attacco di tipo man-in-the-middle con la creazione di un access point ad hoc che ritrasmette o altera la comunicazione tra due parti interponendosi mentre credono di parlare tra loro. Tradotto: un inganno informatico, con smartphone e router che credono di star comunicando in modo sicuro, ma – al contrario – soggetti ad “ascolto” da parte di un terzo componente non visibile.

Un secondo tipo di possibile attacco è di tipo side channel leaks poggiandosi su errori delle operazioni o su elementi crittografici inadeguati nelle fondamenta. Per fortuna, entrambe le vulnerabilità sono state sistemate con apposite patch già diffuse a livello globale.

L’uscita dello standard WPA3

L’uscita della tecnologia è già avvenuta nel 2019 in modo massiccio dopo un primo debutto parziale a metà 2018.