Falha severa torna todas as redes Wi-Fi inseguras; saiba como reduzir os danos

wi-fi-krack

Outro dia, outra falha de segurança para tirar o nosso sono só que desta vez o bug é bem sacana: um novo conjunto de falhas descobertas no protocolo de rede WPA2 tornam toda e qualquer rede Wi-Fi moderna vulnerável a ataques externos, e hackers podem ter acesso a dados críticos de forma extremamente simples.

E pior: o bug não possui uma solução simples; encurtando a história o WPA2 virou uma peneira.

Até ontem acreditava-se que o protocolo WPA2 era de longe o mais seguro para conexões Wi-Fi, frente aos mais antigos WPA e o inseguro desde sempre WEP. No entanto, o conjunto de falhas que recebeu o nome de KRACK (Key Reinstallation Attacks, ou Ataque de Reinstalação de Chaves) mira na conexão entre o roteador e os dispositivos, e embora os alvos mais vulneráveis sejam dispositivos rodando Linux ou Android 6.0 Marshmallow ou superior, as falhas estão presentes exclusivamente no protocolo de conexão. Assim sendo, virtualmente todas as redes abertas ou fechadas, públicas ou pessoais ou corporativas estão na berlinda.

Coloquemos da seguinte forma: o método de invasão independe de senhas e não adianta nada trocar a chave de seu roteador, pois ele se baseia nas chaves criadas por cada conexão. Quando você acessa uma rede Wi-Fi protegida por senha por exemplo, uma requisição chamada handshake é usada para verificar a validade da senha e em caso positivo, permitir a sua entrada. A rede então fornece uma chave de criptografia que irá proteger seus dados trafegados. O KRACK permite que um hacker burle a segurança da senha, forçando a exibição de um site falso ao usuário e dessa forma, é possível ver qualquer dado desejado, inclusive senhas.

O vídeo abaixo demonstra como o ataque funciona, utilizando o site de encontros Match.com como exemplo:


Mathy Vanhoef — KRACK Attacks: Bypassing WPA2 against Android and Linux

A falha é extremamente grave porque não só tornou inseguras todas as redes WPA e WPA2, como protocolos GCMP/WiGig e WPA-TKIP permitem até mesmo a inserção de códigos maliciosos nos dispositivos-alvo. O KRACK virtualmente aniquilou toda a pretensa segurança das redes Wi-Fi e mesmo a sua particular, que você usa para conectar seus smartphones está livre de um ataque.

O que fazer?

Sendo bastante sincero, a melhor alternativa para minimizar as chances de ser hackeado é evitar utilizar o Wi-Fi quando possível. Se você possui dispositivos que possuem a opção de conexão via Ethernet (set-top boxes, consoles de videogame, Smart TVs e etc.), use-as. Quanto aos demais, trocar a senha padrão do roteador (o famigerado admin:admin) e desabilitar a tecnologia WPS (a de conexão Wi-Fi por um botão, que é sabidamente bem insegura graças ao armazenamento da chave localmente) já ajuda bastante, porém também não evita o ataque (só dificulta). Utilizar a criptografia WPA2-PSK com AES (CCMP) forçado também é uma boa, visto que ela é a menos insegura mas não invulnerável.

Manter seus sistemas operacionais atualizados também é importante: a Microsoft já liberou correções para o Windows 7, Windows 8, Windows Phone e Windows 10 desktop e Mobile; a Apple introduziu correções nas versões beta do iOS, macOS, tvOS e watchOS que deverão ser liberadas nos próximos dias nas atualizações finais e o Google vai liberar um patch no dia 06/11, que obviamente chegará primeiro aos dispositivos Pixel; os demais que esperem uma posição dos fabricantes. Distribuições Linux baseadas em Debian podem utilizar o patch de correção disponível, enquanto o OpenBSD já está protegido desde julho (o bug não é novo, só foi divulgado publicamente ontem mas as empresas já haviam sido informadas).

E quanto aos roteadores? Empresas como Cisco, D-Link, TP-Link, Ubiquity e outras estão ou verificando quais modelos são afetados ou liberando os patches de atualização. Convém verificar nas páginas de suporte de seus dispositivos se há uma atualização disponível e manter seu aparelho atualizado e protegido. Há também a opção de instalar firmwares customizados como LEDE, DD-WRT ou OpenWRT, caso seu aparelho tenha suporte (leia-se não tenha sido fornecido por operadoras). No entanto é preciso tomar muito cuidado e estar ciente de que qualquer erro no processo pode levar a uma morte prematura do equipamento.

De qualquer forma, coisas como mudar a senha do roteador, mudar o protocolo de conexão ou mesmo fazer filtragem de conexões a endereços MAC, bem como esconder o SSID não são técnicas seguras; ataques anteriores já demonstraram que mesmo os dois últimos métodos são falhos e os dois primeiros… bem, não passam de um placebo. Utilizar uma VPN até seria uma boa, se elas já não tivessem sua própria cota de insegurança.

Enfim: a melhor maneira de lidar com essa situação é não se estressar, visto que não há uma bala de prata. Pode até ser que o KRACK force o desenvolvimento de um novo protocolo Wi-Fi mas sendo realista, ainda deverá demorar um bocado para que ele seja introduzido e até lá, teremos que nos virar com os remendos que as empresas liberarem.

Fontes: KRACK e ZDNet.

Relacionados: , , , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Artur Ferreira

    Ou seja: o melhor remédio é torcer pra ninguém dar importância pra sua rede.

    • Cocainum

      Mude o SSID para “TESTEMUNHA_JEOVÁ”.

      • Testemunhem!

      • Rodrigo Primon Savazzi

        Minha cunhada usa “MUITOS_VIRUS” no dela. Não seu se adianta alguma coisa, mas a intenção é só fazer piada mesmo.

        • Walmir Werner

          VIZINHO_TEM_50_MEGA, é melhor

          • Maom

            Ou NEXTEL_3G.

        • De minha amiga se chama “Vagina”.

          • Harlley Sathler

            Convite para um PenTest?!

      • Caipiroto, o Capeta Caipira 😈

        Acho então que é uma excelente hora pra mudar o nome da minha rede de “conectesepuder” pra alguma outra coisa…

      • FernandoVCaboi

        “Oi velox”

        é tão lento que ninguém vai querer invadir

      • OverlordBR

        Ou “ALLAHU AKBAR”

        • Cocainum

          10 segundos depois, a NSA invadiu…

          • OverlordBR

            Acho mais fácil o Google, o Facebook ou qualquer emprega deste tipo invadir do que a NSA.

      • Ou “Baidu”

        Só por escrever isso já apareceu na minha tela “Baidu instalado com sucesso!”

      • Tesento Avara

        Oi Wi-Fi FON.

    • Filipe Pereira Andrade

      Disse tudo

    • Malcomtux

      Ficar na miúda e não chamar atenção

    • Exatamente, por mais deprimente que seja admitir isso.

  • Tesento Avara

    Destacando que, conforme o vídeo mostra, o “ráquer” precisa estar próximo do alvo para conseguir realizar o ataque, já que é necessário que ele suba uma rede pirata e force o alvo a se conectar a ela, ao invés de utilizar o AP “verdadeiro”. É uma técnica “antiga” que, como novidade, explorou o handshake do WPA2.

    Esse cara podia ter ficado quieto. Revelou o bug só pra tirar o sono das pessoas de bem.

    • Não é bem assim, na verdade o bug já havia sido informado às empresas antes. Divulgar publicamente é o método usado para sacudir quem ainda não fez por onde corrigir o bug, expondo os lerdos à pressão pública.

      • Tesento Avara

        Mas eu usei tags. TAGS! Ajuda aí, Ronaldo! Abraço.

      • Bleno Augusto

        Kkkkkkkkkkkkkkkkk

        Com tags?????

  • Dou uma e se for bom dou mais

    1 – Quem tem smartphone está fudido, as fabricantes odeiam patchear smatphone com mais de 3 meses de vida. Imagina aqueles com 4 meses… (sim foi ironia mas com uma bela pitada de verdade)
    2 – Se tiverem que esperar dlink se mexer melhor esperar sentando, até hoje sai roteador com a falha que permite acesso remoto e mudança de DNS do roteador.
    3 – Ainda bem que só uso tplink em casa e troco o roteador todo ano (e pedi para o pessoal da NET colocar em casa o “cablemodem” sem roteador e sem wifi)

    • Islan Oliveira

      A Motorola, apesar da cagada que andou fazendo com o Moto G4 Plus com atualização do dispositivo, surpreendentemente atualiza o patch de segurança a cada 3 meses, mas num caso de falha graves assim, 3 meses pode ser muito tempo.

    • (Sobre o 1) Iphone, o caro que sai barato…
      (Sobre o 2) AirPort, o caro que sai barato….
      (Sobre o 3) também tenho só um cable modem em casa, o resto é tudo comigo.

      • Dou uma e se for bom dou mais

        Quanto a esses 2 primeiros casos acho que todo mundo concorda, só que tem um gigante detalhe em tudo isso. Se todo mundo fizesse como a apple hoje teríamos como a anos atrás 33094209845702397452093 sistemas operacionais de celulares que mal e porcamente teriam algum software desenvolvido para eles e limitações a dar com pau pelas costas. Se hoje temos uma diversidade de material para smartphones é porque temos um universo muito menor de SO o que facilita para desenvolvedoras de engines e softwares.

        • Nem céu e nem inferno! Eu sou inclinado para sistemas fechados desde os anos 80, me dá muito mais garantias, mas os abertos sempre estiveram aí. Ambos convivem bem a 4 décadas e tem espaço pra todos. Era Commodore Amiga e Macintosh fechados (hard e soft amarrados) e Windows e Linux abertos (hard e soft desatados). No celular foi para o mesmo caminho… e o povo escolhe o custo/benefício que mais lhe equilibra.

          • Dou uma e se for bom dou mais

            “No celular foi para o mesmo caminho… e o povo escolhe o custo/benefício que mais lhe equilibra.”
            Não estou falando disso e sim de todo mundo simplesmente fechando todo seu universo. Imagina Blackberry, Nokia, Amazon, MS… Cada uma delas fechando seu software, hardware, acessórios… Aconteceria justamente o que aconteceu, começariam a morrer porque simplesmente os desenvolvedores não conseguiriam desenvolver para cara universo que quando um CEO enfiasse o dedo no rabo e tivesse a idéia de fazer um smartphone novo. Ou acabariam como MS, não apenas morreu como ficou MUITO atrás dos outros em relação a diversidade.
            Apple consegue se manter porque foi “a primeira” (entre aspas porque sabemos que a idéia é bem velha, só não souberam implementar) e já formou seu público alvo. E sabemos muito bem disso não tem como negar.

          • Estamos falando a mesma coisa 🙂

            No PC tinha um monte de sistema, um monte de arquitetura proprietária. Sobrou Win e Linux de hardware aberto e Apple De hardware fechado.

            No móvel a mesma coisa. Exatamente o que tu falou. Existiam várias, era o começo de tudo. A maioria não aguentou, sobrou poucas. As coisas naturalmente de equilibram. E sobrou arquiteta fechada de um lado – Apple (exatamente a mesma do desktop) e Android do outro (equivalente a Windows e Linux no PC.

            Sempre terá público para arquiteturas fechadas e abertas, é assim a 40 anos. Mudam as coisas, mas esses modelos continuam idênticos.

          • Dou uma e se for bom dou mais

            Continuamos falando de coisas diferentes, você fala de como existem diferenças e eu estou falando de que temos que dar graças a deus que elas existem.
            Porque se todo mundo fosse como a apple e não apenas um que outro a gente teria uma limitação muito grande. Então estou aplaudindo que nem todo mundo é como a apple que apesar de oferecer um sistema fechado, caro e com melhor controle e tempo de resposta a problemas de segurança (só que não tendo em vista o tanto de vazamento de foto que teve de artista usando iphone, mas isso não vem ao caso) do que os com android de que você vai acabar ficando sem proteção a qualquer minuto.

          • Não entendi? Estou dizendo que existe um público gigante para as duas abordagens, é assim a 40 anos. Não precisa dar graças a Deus, antes era o Windows, agora é o Android e Apple sempre seguiu fechada todas as décadas e ambas as abordagens continuam bem sucedidas.

            O vazamento das fotos da Apple não foram por problemas de segurança do iOS 😉

          • Dou uma e se for bom dou mais

            Sim, não entendeu. Em nenhum momento estou tentando falar de aberto ou fechado e sim do fato que se todo mundo fosse fechado como a apple simplesmente o mundo seria uma bosta. Não estou falando de existir ou não espaço e sim de que SE E APENAS SE APENAS UM MODELO fosse padrão a gente até teria segurança, mas não teria diversidade.
            Será que entendeu?

          • Entendi, tu odeia uma arquitetura fechada ! Agora entendi hehehe

            Mas não tem como isso acontecer, fica tranquilo, sempre vai ter espaço para um Windows da vida, na verdade o maior espaço ! 🙂

          • Dou uma e se for bom dou mais

            Não odeio arquitetura fechada, é simplesmente o fato de que se TODO MUNDO seguisse a apple a gente estaria fudido. Pois você falou sobre o caro que sai barato, eu falo que esse caro poderia acabar saindo muito mais caro se não houvesse arquiteturas abertas adotadas pelas empresas.
            Sendo assim, apple pode até ser mais segura, mas se não existisse o android que mesmo sendo inseguro era bem capaz de hoje termos 387205821048 SO de celulares, todos eles praticamente sem opções de softwares e estaríamos na idade da pedra (nokia 1110) ainda.
            Se não entender isso não sei mais o que dizer.

          • Se não existisse Android, talvez Win Phone reinasse junto com Apple. Não existe motivo para 375847342368 sistemas fechados coexistirem só pq IOS fosse o dominante. Estas sendo dramático, meu e-mail original só apontou as vantagens do sistema fechado, que nessa matéria ficaram caindo de madura. Impossível existir 500 sistemas fechados, o mercado não comporta nem 5. Não precisa dar graças a Deus, isso é irracional de acontecer.

          • Dou uma e se for bom dou mais

            “isso é irracional de acontecer.”
            Aham… irracional, como se o mercado não copiasse aquilo que dá mais lucro mandando o consumidor se foder. Me diz uma coisa, onde eu acho dumbtv com mais de 32”?

    • Leonardo Muniz

      Da última vez que comprei um DLink tomei um susto com a baixíssima qualidade do sistema, estabilidade e funcionalidades que simplesmente não funcionavam. Era como se estivesse usando um firmware alpha. Troquei por um Intelbras e de novo me surpreendi, mas pelo contrário ao da DLink, a qualidade excedia minhas expectativas em todos os aspectos. Só compro Intelbrás agora.

      • Dou uma e se for bom dou mais

        NUNCA tive um Dlink que não travasse a cada 5 minutos no meio da jogatina. Quando comprei um xingling do paraguai (era um com a marca LG mas duvido que fosse LG) foi como se existisse uma nova internet (na época meus 128k). Agora… o mais lindo… ele usava linux internamente, eu até usava iptables pra redirecionar portas e bloquear acessos.

  • Felipe Braz

    Outra medida que acabou de me passar pela cabeça é desabilitar o broadcasting do SSID da rede.
    Como a maioria dos dispositivos da pra digitar o SSID manualmente pode ser uma boa medida até tudo estar devidamente corrigido.

    • Cocainum

      De qualquer forma, coisas como mudar a senha do roteador, mudar o
      protocolo de conexão ou mesmo fazer filtragem de conexões a endereços
      MAC, bem como esconder o SSID não são técnicas seguras; ataques
      anteriores já demonstraram que mesmo os dois últimos métodos são falhos e
      os dois primeiros… bem, não passam de um placebo.

      • Felipe Braz

        Enquanto não sair correção no roteador nenhuma técnica é 100% eficaz. O cerne da discussão são formas de dificultar um pouco a exploração da falha.

      • Metalmacumba

        muda todo mundo pra wep logo.

    • Cara, basta abrir o NetStumbler que vai aparecer todas as redes ocultas em volta de você. Sem esforço.

  • Nada como uma boa vulnerabilidade para aumentar impulsionar as vendas

  • Mario Neis

    isso é um tipo de ataque não tão novo, conhecido como “evil twin”

    tem um framework muito interessante que utiliza esse tipo de jamming, se tiver mais de uma interface wlan plugada ao pc, chamada fluxion

    depois do finger print e a possível detecção da brand do router alvo, ele consegue gerar telas de login customizadas.. bem interessante mesmo

  • Thiago

    Pelo que li a respeito, para que tal falha possa ser explorada, o invasor precisa estar conectado à rede.

    Logo é só não dar acesso à sua rede a estranhos e seguir com a vida.

    • Na verdade ele só precisa saber o nome da rede em que você se conecta.

      • Thiago

        Verdade… Prossegui pesquisando e vi que é um ataque que vai quebrando a senha aos poucos. Aí a situação ficou séria mesmo.

  • Lucas Martins Silva

    Pelo que entendi, basta prestar atenção ao HTTPS dos sites. Parece que o esquema do cara do vídeo removeu o https do site antes de remeter ao visitante.

    Mais um motivo pro google forçar a web a instalar https em tudo.

    • Já existe iniciativa pra isso, chamada Let’s Encrypt, que é uma emissora de certificado SSL de graça. A Apple já não permite mais que aplicativos façam requisição HTTP, só aceita HTTPS a partir de agora.

  • chadefita

    Só ocultar o SSID?

    • Isso não adianta nada. Só usar o NetStumbler que aparece todas as redes ocultas em volta de você.

  • gfg2
    • OverlordBR

      Minha casa é toda cabeada porque odeio WiFI e uso chapéu de papel alumínio!

      • Flavio Freitas

        Eu tive a chance de cabear a minha casa e nao o fiz… ÔÔÔÔ raiva.

    • Germano

      Ate a pouco tempo era quase tudo wifi em casa, so meu laptop usava um cabo a maior parte do tempo. Mas o que eu ouvia da patroa e do guri de reclamação sobre volta e meia a internet não estar funcionando. Eu sabia o motivo principal: o roteador estava em uma pessima posição e, ainda, escolhi mal o modelo: um desses que tem ADSL e Wifi no mesmo aparelho, que depois descobri serem os menos recomendados. A solução foi desligar o wifi dele e usa-lo so como ADSL, colocando um outro roteador dedicado so ao wifi em um ponto melhor, mais central e mais alto. Mas para isso eu tive que puxar cabo de rede partindo do ADSL que ficou perto da tomada do telefone. E ja que ia puxar cabo de rede mesmo… alem do novo roteador agora wifi lá é só para os dispositivos móveis. O que tem lugar fixo e usa rede está usando cabo.

  • OverlordBR

    TAMUFU!

  • SignaPoenae

    Há!! Ainda bem que eu uso Linux!
    Não, pera…

    • Ainda bem que uso linux e saiu patch de correção ontem para varias distribuições. No windows sempre demora mais.

      • SignaPoenae

        Uso debian 8.0 e o patch saiu no mesmo dia na notícia, mas não tinha o changelog da versão que foi instalada pra mim. Achei só o changelog da versão stable e nele fala da correção pra essa falha

  • otaviodecamposg

    que grande falha… deixa ver se entendi.. voce desconecta da sua rede por alguma razao, e conecta na rede “armada” com o mesmo ssid. que provavelmente aceita qualquer senha. ai nessa rede tem um proxy para alguns dominios, tipo gmail, que vao capturar sua senha. Se for isso, nao é falha do wpa, eh do usuario

  • j c

    Eu não quero roubar nada de ninguém, só quero descobrir a senha do Wifi do vizinho.

  • Wagner Felix

    Ahhhh, nem tanto assim, tem bastante engenharia social, fazer o cara conectar rede falsa e tal. Sensacionalismo.

  • Flavio Freitas

    Acho que eu sou o único que nao entendeu o texto…

    > WPA2 é uma peneira, nao tem o que fazer, corram para as montanhas (de preferência sem os smartphones)!

    > Fabricantes de roteadores estao liberando patches

    Afinal, tem ou nao soluçao? Os fabricantes estao trocando o WPA2 por outra coisa?

  • Iuri Santos

    Se é para dificultar um pouco. Ao menos colocar no modo oculto.
    Não é impeditivo mas… Ladrão prefere roubar carro sem alarme pq dá menos trabalho.

  • Rafael Rohden

    Se a falha é de protocolo então nao é verossímil vocês afirmarem no artigo de que Linux e Android são alvos mais vulneráveis, já que o protocolo e igual para todos.

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis