WLAN — Wi-Fi: standard IEEE 802.11 e sicurezza

di
📋 Obiettivi di apprendimento
Descrivere l’evoluzione degli standard IEEE 802.11 da 802.11b a Wi-Fi 6E indicando frequenze, velocità teoriche e tecniche chiave
Spiegare perché WEP è insicuro, come TKIP ha migliorato WPA e perché AES-CCMP in WPA2 ha rappresentato il salto qualitativo decisivo
Descrivere il 4-Way Handshake WPA2 spiegando come vengono generate PTK e GTK e dove agiscono gli attacchi KRACK e PMKID
Confrontare WPA3 Personal (SAE) con WPA2-PSK spiegando forward secrecy, resistenza al brute force offline e OWE per reti aperte
📄
Slides
Classificazione reti wireless — slide complete

Le reti Wi-Fi — vulnerabilità per progetto

Le reti Wi-Fi, basate sulla famiglia di standard IEEE 802.11, sono oggi la forma più diffusa di rete locale senza fili. La loro forza — trasmettere attraverso l’aria — è anche la loro vulnerabilità strutturale: il segnale radio si propaga in tutte le direzioni, raggiunge i muri degli edifici e si propaga ben oltre i confini fisici dell’organizzazione.

In una rete Ethernet cablata un attaccante deve avere accesso fisico all’infrastruttura. In una rete Wi-Fi è sufficiente trovarsi nel raggio del segnale — spesso raggiungibile dal parcheggio di un edificio aziendale o dall’appartamento accanto. Questo ha reso la sicurezza delle WLAN un problema strutturale che ha accompagnato l’intera storia della tecnologia.

Principali minacce alle reti Wi-Fi
👁️ Sniffing passivo
Cattura di frame non cifrati senza trasmettere — invisibile alla rete
🎭 Evil Twin / Rogue AP
Access point falso con SSID identico alla rete legittima per intercettare il traffico
🔨 Attacco a dizionario
Cattura dell’handshake WPA2 per testare password offline a velocità elevata
🔄 Deauthentication flood
Invio di frame di disconnessione falsi per forzare la riconnessione dei client
🔓 KRACK / PMKID
Attacchi specifici contro il 4-Way Handshake di WPA2
🔧 WPS PIN bruteforce
Sfruttamento del protocollo di configurazione rapida per ottenere la password

Evoluzione degli standard IEEE 802.11

Lo standard IEEE 802.11 definisce le specifiche tecniche delle reti Wi-Fi a livello fisico e MAC. Dal 1999 ad oggi ha attraversato una serie di revisioni che hanno moltiplicato la velocità di trasmissione di quasi mille volte, introducendo nuove bande di frequenza e tecniche avanzate di modulazione.

Evoluzione degli standard IEEE 802.11
StandardNome Wi-FiAnnoBandaVelocità max teoricaTecniche chiave
802.11b19992,4 GHz11 MbpsDSSS — primo standard consumer
802.11a19995 GHz54 MbpsOFDM — primo uso della banda 5 GHz
802.11g20032,4 GHz54 MbpsOFDM a 2,4 GHz — compatibile con 802.11b
802.11nWi-Fi 420092,4 / 5 GHz600 MbpsIntroduce MIMO (4×4), canali 40 MHz
802.11acWi-Fi 520135 GHz3,5 GbpsMU-MIMO, canali 80/160 MHz, 256-QAM
802.11axWi-Fi 620192,4 / 5 GHz9,6 GbpsOFDMA, BSS Coloring, TWT, 1024-QAM
802.11axWi-Fi 6E20212,4 / 5 / 6 GHz9,6 GbpsEstende Wi-Fi 6 alla banda 6 GHz (1200 MHz aggiuntivi)

Le innovazioni chiave di Wi-Fi 6 — OFDMA e BSS Coloring

OFDMA — Orthogonal Frequency Division Multiple Access

Wi-Fi 5 usava OFDM: il canale veniva assegnato a un solo client per volta. Wi-Fi 6 introduce OFDMA: il canale viene suddiviso in Resource Unit (RU) assegnabili a client diversi simultaneamente. Riduce la latenza e aumenta l’efficienza in ambienti ad alta densità (stadi, aeroporti, aule).

BSS Coloring — riduzione interferenze tra reti adiacenti

In ambienti con molti AP sovrapposti (condomini, uffici open space), i client rinviavano la trasmissione ogni volta che sentivano un qualsiasi segnale Wi-Fi. BSS Coloring assegna un “colore” a ogni rete — i client ignorano le trasmissioni di reti con colore diverso, aumentando enormemente la capacità complessiva.

L’evoluzione della sicurezza Wi-Fi

La sicurezza delle reti Wi-Fi ha seguito un percorso parallelo all’evoluzione degli standard, spesso reattivo: nuovi protocolli di sicurezza sono stati introdotti in risposta a vulnerabilità scoperte in quelli precedenti. Comprendere questo percorso non è solo storia — è fondamentale per capire perché WPA3 è fatto come è fatto.

WEP — Wired Equivalent Privacy (1999)

Il primo meccanismo di sicurezza Wi-Fi, introdotto con lo standard originale 802.11. L’obiettivo dichiarato era offrire una protezione “equivalente” a quella delle reti cablate.

❌ WEP — Completamente insicuro. Non usare mai.

WEP usa l’algoritmo RC4 con chiave a 40 o 104 bit, combinata con un vettore di inizializzazione (IV) di soli 24 bit. Il problema centrale sta qui: 24 bit generano solo 16 milioni di combinazioni possibili. In una rete trafficata gli stessi IV si ripetono in poche ore.

Meccanismo dell’attacco (Fluhrer-Mantin-Shamir, 2001)
1. L’attaccante cattura passivamente i frame Wi-Fi
2. Raccoglie pacchetti con IV uguali o deboli
3. L’analisi statistica degli IV permette di dedurre la chiave RC4
4. Con strumenti come aircrack-ng, bastano 50.000–100.000 pacchetti — catturabili in minuti
Ulteriori debolezze: il CRC-32 usato per l’integrità è invertibile — un attaccante può modificare i dati e ricalcolare il checksum senza conoscere la chiave.

WPA — Wi-Fi Protected Access (2003)

WPA nasce come soluzione di emergenza mentre veniva sviluppato il più robusto WPA2. Era progettato per funzionare anche con l’hardware WEP esistente tramite aggiornamento firmware — un vincolo che ha limitato la sua robustezza.

⚠️ WPA — Miglioramento significativo ma obsoleto

WPA sostituisce la gestione statica delle chiavi di WEP con TKIP (Temporal Key Integrity Protocol). TKIP genera una chiave per ogni pacchetto, risolvendo il problema degli IV ripetuti. Usa ancora RC4 come cipher, ma con una chiave da 128 bit diversa per ogni frame.

✅ Chiavi per-packet — elimina il problema IV di WEP
✅ MIC (Michael) — protezione integrità migliorata
❌ RC4 rimane il cipher — vulnerabile a long-term
❌ TKIP rotto nel 2008 (Beck-Tews attack)

WPA2 — Lo standard di riferimento (2004)

WPA2 ha rappresentato il salto qualitativo decisivo nella sicurezza Wi-Fi. Abbandona completamente RC4 e adotta AES (Advanced Encryption Standard) con la modalità operativa CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol).

✅ AES-CCMP — cifratura simmetrica a 128 bit, sicura per definizione crittografica
✅ Autenticazione e integrità combinate in un’unica operazione AEAD
✅ Chiavi di sessione diverse per ogni client — isolamento crittografico
✅ Due modalità: Personal (PSK) ed Enterprise (802.1X + RADIUS)

Il 4-Way Handshake WPA2-Personal

Il meccanismo centrale di WPA2-Personal è il 4-Way Handshake — lo scambio di quattro messaggi tra client e access point che serve a verificare che entrambi conoscano la stessa password e a generare le chiavi di sessione. È fondamentale capire questo processo per comprendere dove agiscono gli attacchi.

📌 PMK — Pairwise Master Key

Prima ancora del 4-Way Handshake, sia il client che l’AP derivano indipendentemente la stessa chiave di 256 bit chiamata PMK. In WPA2-Personal la PMK deriva dalla password con la funzione PBKDF2: PMK = PBKDF2(HMAC-SHA1, password, SSID, 4096, 256). Questo processo è lento per design — rende costoso il brute force offline.

Il 4-Way Handshake — sequenza dettagliata
Access Point
Client
AP invia il proprio nonce casuale (ANonce)
MSG 1 →
Client riceve ANonce. Genera il proprio SNonce. Calcola la PTK = PRF(PMK + ANonce + SNonce + MAC-AP + MAC-Client)
AP riceve SNonce. Calcola la PTK con gli stessi parametri. Verifica il MIC — se corrisponde, il client conosce la password
← MSG 2
Client invia SNonce + MIC (Message Integrity Code calcolato con la PTK)
AP invia GTK (Group Temporal Key) cifrata con PTK + numero di sequenza
MSG 3 →
Client riceve e installa PTK e GTK. Attiva la cifratura.
Handshake completato — traffico cifrato con PTK (unicast) e GTK (broadcast)
← MSG 4
Client invia conferma — ACK dell’installazione delle chiavi
PTK (Pairwise Transient Key): chiave unicast per cifrare il traffico tra quel client e l’AP — unica per ogni dispositivo connesso.
GTK (Group Temporal Key): chiave condivisa tra tutti i client per cifrare il traffico broadcast/multicast.

Attacco al 4-Way Handshake — cattura e brute force offline

🔨 Attacco classico a dizionario su WPA2-PSK
1.
L’attaccante forza una disconnessione (deauthentication frame) per obbligare il client a riconnettersi
2.
Cattura i 4 messaggi del 4-Way Handshake (contengono i nonce e il MIC)
3.
Per ogni password candidata: calcola la PMK → calcola la PTK → verifica il MIC. Se corrisponde, la password è trovata
!
Con GPU moderne: centinaia di migliaia di tentativi al secondo. Una password di 8 caratteri numerici si rompe in ore. La password deve essere lunga e casuale.

Attacco PMKID (2018) — senza catturare il handshake

⚠️ PMKID Attack — Jens Steube (autore di hashcat), 2018

Scoperto quasi per caso dall’autore di hashcat, questo attacco non richiede catturare il 4-Way Handshake — elimina il passaggio più difficile (attendere o forzare una riconnessione). Il PMKID è un valore derivato dalla PMK presente nel primo frame di associazione dell’AP: PMKID = HMAC-SHA1-128(PMK, "PMK Name" + AP_MAC + Client_MAC)

L’attaccante invia una singola richiesta di associazione all’AP, cattura il PMKID dalla risposta e lo usa per fare brute force offline sulla password — senza che nessun client legittimo sia presente. Colpisce tutti gli AP WPA2-Personal che supportano il roaming veloce (802.11r).

KRACK — Key Reinstallation Attack (2017)

⚠️ KRACK — Mathy Vanhoef, 2017 — la vulnerabilità che ha motivato WPA3

KRACK non attacca la crittografia AES ma il protocollo di handshake. Lo standard WPA2 prevede che se il messaggio 3 del 4-Way Handshake non riceve risposta, l’AP lo ritrasmette. Un attaccante può intercettare e ritardare il messaggio 4 (la conferma del client) forzando il client a reinstallare una chiave già usata, azzerando i contatori di nonce.

Riutilizzare un nonce con la stessa chiave AES-CCMP permette di decifrare e in alcuni casi iniettare traffico. L’attacco è mitigato con patch software sui client — ma ha dimostrato che WPA2 aveva vulnerabilità strutturali nel protocollo, non solo nell’algoritmo.

WPS — una porta sul retro da chiudere subito

🔓 WPS PIN — vulnerabilità critica, disabilitare sempre

WPS (Wi-Fi Protected Setup) è stato introdotto per semplificare la connessione dei dispositivi tramite un PIN a 8 cifre. Il problema: il PIN viene verificato in due blocchi separati da 4 cifre — 10.000 × 1.000 = 11.000 tentativi invece di 100 milioni. Con tool come Reaver, un PIN WPS si può bruteforce in ore. Il metodo Push Button (fisico) è sicuro; il metodo PIN deve essere disabilitato in ogni contesto professionale.

WPA3 — Il riferimento attuale (2018)

WPA3 nasce per rispondere alle vulnerabilità strutturali emerse in WPA2 — in particolare KRACK e la vulnerabilità al brute force offline. Introduce un cambiamento architetturale profondo nel meccanismo di autenticazione, abbandonando il PSK classico a favore di SAE.

SAE — Simultaneous Authentication of Equals

Il cuore di WPA3-Personal è il protocollo SAE (anche noto come “Dragonfly Handshake”), che sostituisce il meccanismo PMK/PSK. La differenza fondamentale rispetto a WPA2:

WPA2-PSK — come funziona
1. La PMK deriva staticamente dalla password
2. I nonce vengono scambiati in chiaro
3. Il MIC nel MSG 2 consente il brute force offline
❌ Chi cattura l’handshake può testare password offline indefinitamente
WPA3-SAE — come funziona
1. Client e AP derivano un valore segreto condiviso usando la password tramite un protocollo a zero-knowledge
2. Le chiavi di sessione sono derivate dal segreto condiviso — diverse ad ogni connessione
3. Non esiste un valore offline da cui bruteforcare la password
✅ Brute force offline impossibile — ogni tentativo richiede interazione live con l’AP
📌 Forward Secrecy in WPA3

Poiché le chiavi di sessione sono generate in modo indipendente ad ogni connessione (tramite Diffie-Hellman nel protocollo SAE), anche se un attaccante registra tutto il traffico cifrato e scopre la password in futuro, non può decifrare le sessioni passate. Le chiavi temporanee usate non sono mai state memorizzate. Questa proprietà — già vista in TLS 1.3 — è chiamata Perfect Forward Secrecy.

OWE — Opportunistic Wireless Encryption

WPA3 introduce anche la modalità OWE per le reti aperte (senza password — bar, aeroporti, biblioteche). Con OWE, anche senza autenticazione, il traffico tra client e AP viene cifrato end-to-end tramite uno scambio Diffie-Hellman trasparente all’utente. Prima di OWE una rete aperta trasmetteva tutto in chiaro — qualsiasi snifferini poteva leggere ogni byte.

Confronto WPA2 vs WPA3

AspettoWPA2WPA3
Autenticazione PersonalPSK (Pre-Shared Key)SAE (Dragonfly)
Brute force offline❌ Possibile catturando l’handshake✅ Impossibile — ogni tentativo è online
Forward Secrecy❌ Non garantita✅ Obbligatoria
Reti aperte❌ Traffico in chiaro✅ OWE — cifratura senza auth
KRACK❌ Vulnerabile✅ Non applicabile
Cifratura EnterpriseAES-128 (CCMP)AES-256 (GCMP-256) opzionale
Compatibilità hardware✅ Universale⚠️ Richiede hardware 2018+

Raccomandazioni pratiche

Checklist di sicurezza Wi-Fi
Usa WPA3 Personal se tutti i tuoi dispositivi lo supportano. Se no, WPA2-PSK con AES (non TKIP).
Password lunga e casuale: almeno 20 caratteri con lettere, numeri e simboli. Il brute force WPA2 diventa computazionalmente impraticabile.
Disabilita WPS PIN nel pannello dell’access point — tenerlo attivo equivale a lasciare una porta sul retro aperta.
Non usare WPA o WEP — nessuna giustificazione tecnica per mantenere protocolli rotti in produzione.
Aggiorna il firmware dell’access point — le patch KRACK erano software; dispositivi non aggiornati restano vulnerabili.
VLAN separate per reti guest, IoT e rete aziendale — anche se un dispositivo viene compromesso, non raggiunge il resto della rete.
📌 Riepilogo — Punti chiave
  • L’evoluzione 802.11b → Wi-Fi 6 ha portato da 11 Mbps a 9,6 Gbps grazie a OFDM, MIMO e infine OFDMA. Wi-Fi 6E aggiunge la banda 6 GHz con 1200 MHz di spettro libero
  • WEP: IV a 24 bit ripetuti → ricostruzione della chiave RC4 in minuti. WPA: TKIP risolve gli IV ma RC4 resta vulnerabile. WPA2: AES-CCMP — salto qualitativo vero
  • Il 4-Way Handshake WPA2 non trasmette mai la password — scambia nonce per derivare la PTK. L’attacco a dizionario cattura l’handshake e testa password offline. PMKID (2018) rende questo possibile senza nemmeno catturare l’handshake
  • KRACK (2017) attacca il protocollo, non AES: forzando la reinstallazione di chiavi azzera i contatori di nonce. Ha motivato la nascita di WPA3
  • WPA3-SAE: brute force offline impossibile (ogni tentativo richiede interazione live), forward secrecy obbligatoria. OWE: anche le reti aperte ora cifrano il traffico

Lascia un commento