La sicurezza delle reti wireless è storicamente uno dei problemi più difficili del networking perché il mezzo trasmissivo — l’aria — è fisicamente accessibile a chiunque si trovi nel raggio del segnale, senza che sia possibile il controllo fisico dell’accesso come nelle reti cablate. I protocolli di sicurezza Wi-Fi si sono evoluti in risposta a vulnerabilità progressivamente scoperte, dal completamente rotto WEP al più robusto WPA3.
WEP: l’esempio storico di crittografia mal progettata
WEP (Wired Equivalent Privacy, 1997) fu il primo standard di sicurezza Wi-Fi. Usava RC4 con chiavi da 40 o 104 bit, ma con un difetto strutturale fatale: il vettore di inizializzazione (IV) di soli 24 bit veniva trasmesso in chiaro e si ripeteva statisticamente dopo circa 5000 pacchetti in una rete attiva. Nel 2001 Fluhrer, Mantin e Shamir dimostrarono che certi IV «deboli» rivelano bit della chiave — con 4–6 milioni di pacchetti catturati, la chiave WEP si recupera in minuti. WEP è completamente rotto e non deve essere usato in nessun contesto.
WPA2: l’handshake a 4 vie e le sue vulnerabilità
WPA2 (Wi-Fi Protected Access 2, IEEE 802.11i, 2004) usa AES in modalità CCMP e un handshake a 4 vie per derivare le chiavi di sessione. Il processo stabilisce una PTK (Pairwise Transient Key) unica per ogni sessione a partire dalla PMK (Pairwise Master Key) — derivata dalla password nella modalità PSK (Pre-Shared Key) usata nelle reti domestiche e di piccole organizzazioni.
Attacco al handshake (offline dictionary attack)
L’handshake a 4 vie può essere catturato passivamente (o forzato con un deauth frame che disconnette il client, inducendolo a riautenticarsi). Il calcolo della PMK usa PBKDF2-SHA1 con 4096 iterazioni applicato alla password — lento ma non abbastanza: GPU moderne provano milioni di password al secondo contro l’handshake catturato. Una password Wi-Fi di 8 caratteri comuni è vulnerabile.
Mitigazione: usare password WPA2-PSK lunghe (>15 caratteri, idealmente casuali) e preferire WPA2-Enterprise (802.1X) in contesti aziendali.
KRACK (Key Reinstallation Attack, 2017)
La ricercatrice Mathy Vanhoef ha dimostrato che il protocollo di handshake a 4 vie di WPA2 è vulnerabile a un attacco di reinstallazione delle chiavi: manipolando e ritrasmettendo messaggi del handshake, un attaccante può costringere il client a reinstallare una chiave già usata, azzerando il contatore del nonce. Questo permette di decifrare e potenzialmente iniettare traffico cifrato. Richiedeva posizione MitM tra client e AP. Risolto con patch firmware e OS.
PMKID Attack (2018)
Vanhoef ha anche dimostrato un attacco che non richiede di catturare il handshake completo: un singolo frame EAPOL — il PMKID — è sufficiente per un attacco dizionario offline. Il PMKID si ottiene senza attendere che un client si connetta, semplicemente inviando una richiesta all’access point.
WPA3: miglioramenti crittografici
WPA3 (2018) introduce due miglioramenti fondamentali:
SAE (Simultaneous Authentication of Equals, basato su Dragonfly/PAKE): sostituisce il PSK handshake con un protocollo di password-authenticated key exchange. Anche se la password viene catturata durante il handshake, non è attaccabile offline — ogni tentativo richiede interazione con l’AP. Garantisce inoltre forward secrecy per le sessioni PSK.
WPA3-Enterprise con 192-bit mode: suite crittografica rafforzata per reti aziendali ad alta sicurezza.
WPA3 ha però avuto proprie vulnerabilità iniziali (Dragonblood, 2019): side-channel timing e cache permettevano attacchi al SAE handshake. Corrette con aggiornamenti del protocollo.
Rogue Access Point e Evil Twin
Un rogue AP è un access point non autorizzato connesso alla rete aziendale — installato da un dipendente per comodità o da un attaccante con accesso fisico. Un evil twin è un AP che imita l’SSID di una rete legittima per catturare le connessioni. In WPA2-PSK, un client si connette a qualsiasi AP con lo stesso SSID e la stessa password — non autentica l’AP. WPA3-Enterprise e 802.1X con certificati lato server mitigano questo vettore.
802.1X: autenticazione enterprise
Nelle reti aziendali, WPA2/WPA3-Enterprise usa il protocollo 802.1X con un server RADIUS per autenticare ogni client individualmente (con credenziali o certificati) invece di una PSK condivisa. Ogni utente ha credenziali proprie: la compromissione di un account non espone la rete agli altri, e la revoca è immediata senza cambiare la password di tutta la rete.