Sua rede Wi-Fi está desprotegida

por Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Sua rede Wi-Fi está desprotegida

As falhas na criptografia WEP são bem conhecidas. Na semana passada, pesquisadores de segurança anunciaram que encontraram uma maneira de quebrar o padrão de criptografia Wi-Fi Protected Access (WPA). O padrão comumente usado para proteger dados em redes sem fio domésticas e comerciais .

“A falha” não é um crack genérico: não permite que uma chave WPA seja recuperada, nem funciona em todos os dados que passam a rede. A falha afeta apenas os pacotes criptografados usando o sistema TKIP, que é uma atualização compatível com versões anteriores para o sistema WEP original do 802.11. Também é possível neste momento recuperar o texto original para pacotes curtos – aqueles com conteúdos previsíveis que são bastante curtos. E requer o uso do 802.11 e, o padrão Quality of Service (QoS) que prioriza os dados de voz e transmissão de dados acima dos dados normais para fornecer qualidade de voz.

O alvo do ataque não é o roteador, mas os dispositivos conectados a uma rede Wi-Fi, sendo que os mais afetados são os que rodam sistemas operacionais Linux e Android 6.0 ou superior. No entanto, “os pontos fracos estão no padrão Wi-Fi, não em produtos ou implementações individuais. Portanto, qualquer implementação correta do WPA2 provavelmente será afetada.

Solução

A solução para a falha no momento  é usar AES, uma opção de criptografia que faz parte do WPA2 (e 802.11i, o padrão subjacente). Se a sua rede inclui todos os dispositivos WPA2, que quase todos os equipamentos vendidos a partir de 2003 são compativeis, então você pode optar por configurar roteadores para usar apenas o tipo AES. Para redes domésticas ou pequenos escritórios, isso significa escolher WPA2-PSK ou WPA2 Personal na maioria dos casos. (Enquanto o Windows permite que você escolha identificar uma chave WPA2 como TKIP ou AES, o roteador é o que controla quais algoritmos são aceitáveis.

Como evitar

  • Compre equipamento Wi-Fi que usa Wi-Fi Protection Setup (WPS).
  • Aumente sua senha para 22 caracteres.
  • Ao criar uma frase secreta, use combinações de números e letras que não formam palavras.

Como se proteger

Embora a falha esteja no protocolo, é possível implementar um mecanismo de segurança adicional sem quebrar nenhuma compatibilidade com as redes existentes. Por isso, algumas empresas já estão distribuindo correções:

  • A Microsoft já liberou silenciosamente  uma atualização para as versões suportadas do Windows (8.1 ou superior). Se não há nenhuma instalação pendente no seu Windows Update, você já está livre do problema.
  • O Google vai liberar um patch de segurança para o Android no dia 6 de novembro. Quem possui um smartphone Pixel estará protegido; caso contrário, será necessário esperar a boa vontade das fabricantes.
  • As principais distribuições Linux estão liberando correções para o pacote wpa-supplicant. Instale-as. O Linux é mais afetado que os outros porque, além de estar vulnerável às brechas no protocolo WPA2, possui uma implementação falha.

Caso seu computador, smartphone ou outro dispositivo conectado esteja atualizado, isso deve evitar a interceptação de dados. No entanto, isso não protege todos os aparelhos conectados à rede: smartphones com Android e certos dispositivos inteligentes, como câmeras de segurança, talvez nunca recebam uma atualização. Então, também é importante instalar uma correção no seu roteador Wi-Fi.

Por enquanto, as correções liberadas se limitam a roteadores de nível corporativo, como os da Ubiquiti. Mas é bom verificar se a fabricante do seu roteador já tem um firmware novo para o seu modelo. Para facilitar, estes são os links para as páginas de suporte das principais marcas:

E se você não recebeu nenhuma atualização nem no seu dispositivo, nem no seu roteador? Nesse caso, há algumas soluções pouco triviais para usuários comuns:

  • Utilizar uma VPN para criptografar todo o tráfego entre o dispositivo e o roteador. No entanto, elas custam alguns dólares por mês. Boa parte das VPNs gratuitas são notavelmente inseguras ou vendem seus dados, e só piorariam a situação;
  • Deixar de se conectar por Wi-Fi e voltar ao cabo Ethernet.

Se quiserem conhecer mais a respeito dessa vulnerabilidade visitem: https://www.krackattacks.com/

Está TUDO perdido… provavelmente não! Apenas siga sempre as recomendações de segurança básica na rede.

Ricardo Esper

Ricardo Esper é um experiente profissional com 40 anos em tecnologia e segurança cibernética, fundador da NESS e atuante na Ionic Health como CISO. Especialista em gestão de crises, compliance e investigação na Trustness e forense.io, contribui para várias entidades, incluindo HackerOne e OWASP, promovendo práticas seguras em tecnologia.

Falando nisso…

Ciberguerra

Ciberguerra

Todos estão atentos ao conflito instalado entre a Rússia e a Ucrânia. A movimentação de tropas, os tanques, os aviões,...

0 comentários