Falha severa torna todas as redes Wi-Fi inseguras; saiba como reduzir os danos

wi-fi-krack

Outro dia, outra falha de segurança para tirar o nosso sono só que desta vez o bug é bem sacana: um novo conjunto de falhas descobertas no protocolo de rede WPA2 tornam toda e qualquer rede Wi-Fi moderna vulnerável a ataques externos, e hackers podem ter acesso a dados críticos de forma extremamente simples.

E pior: o bug não possui uma solução simples; encurtando a história o WPA2 virou uma peneira.

Até ontem acreditava-se que o protocolo WPA2 era de longe o mais seguro para conexões Wi-Fi, frente aos mais antigos WPA e o inseguro desde sempre WEP. No entanto, o conjunto de falhas que recebeu o nome de KRACK (Key Reinstallation Attacks, ou Ataque de Reinstalação de Chaves) mira na conexão entre o roteador e os dispositivos, e embora os alvos mais vulneráveis sejam dispositivos rodando Linux ou Android 6.0 Marshmallow ou superior, as falhas estão presentes exclusivamente no protocolo de conexão. Assim sendo, virtualmente todas as redes abertas ou fechadas, públicas ou pessoais ou corporativas estão na berlinda.

Coloquemos da seguinte forma: o método de invasão independe de senhas e não adianta nada trocar a chave de seu roteador, pois ele se baseia nas chaves criadas por cada conexão. Quando você acessa uma rede Wi-Fi protegida por senha por exemplo, uma requisição chamada handshake é usada para verificar a validade da senha e em caso positivo, permitir a sua entrada. A rede então fornece uma chave de criptografia que irá proteger seus dados trafegados. O KRACK permite que um hacker burle a segurança da senha, forçando a exibição de um site falso ao usuário e dessa forma, é possível ver qualquer dado desejado, inclusive senhas.

O vídeo abaixo demonstra como o ataque funciona, utilizando o site de encontros Match.com como exemplo:


Mathy Vanhoef — KRACK Attacks: Bypassing WPA2 against Android and Linux

A falha é extremamente grave porque não só tornou inseguras todas as redes WPA e WPA2, como protocolos GCMP/WiGig e WPA-TKIP permitem até mesmo a inserção de códigos maliciosos nos dispositivos-alvo. O KRACK virtualmente aniquilou toda a pretensa segurança das redes Wi-Fi e mesmo a sua particular, que você usa para conectar seus smartphones está livre de um ataque.

O que fazer?

Sendo bastante sincero, a melhor alternativa para minimizar as chances de ser hackeado é evitar utilizar o Wi-Fi quando possível. Se você possui dispositivos que possuem a opção de conexão via Ethernet (set-top boxes, consoles de videogame, Smart TVs e etc.), use-as. Quanto aos demais, trocar a senha padrão do roteador (o famigerado admin:admin) e desabilitar a tecnologia WPS (a de conexão Wi-Fi por um botão, que é sabidamente bem insegura graças ao armazenamento da chave localmente) já ajuda bastante, porém também não evita o ataque (só dificulta). Utilizar a criptografia WPA2-PSK com AES (CCMP) forçado também é uma boa, visto que ela é a menos insegura mas não invulnerável.

Manter seus sistemas operacionais atualizados também é importante: a Microsoft já liberou correções para o Windows 7, Windows 8, Windows Phone e Windows 10 desktop e Mobile; a Apple introduziu correções nas versões beta do iOS, macOS, tvOS e watchOS que deverão ser liberadas nos próximos dias nas atualizações finais e o Google vai liberar um patch no dia 06/11, que obviamente chegará primeiro aos dispositivos Pixel; os demais que esperem uma posição dos fabricantes. Distribuições Linux baseadas em Debian podem utilizar o patch de correção disponível, enquanto o OpenBSD já está protegido desde julho (o bug não é novo, só foi divulgado publicamente ontem mas as empresas já haviam sido informadas).

E quanto aos roteadores? Empresas como Cisco, D-Link, TP-Link, Ubiquity e outras estão ou verificando quais modelos são afetados ou liberando os patches de atualização. Convém verificar nas páginas de suporte de seus dispositivos se há uma atualização disponível e manter seu aparelho atualizado e protegido. Há também a opção de instalar firmwares customizados como LEDE, DD-WRT ou OpenWRT, caso seu aparelho tenha suporte (leia-se não tenha sido fornecido por operadoras). No entanto é preciso tomar muito cuidado e estar ciente de que qualquer erro no processo pode levar a uma morte prematura do equipamento.

De qualquer forma, coisas como mudar a senha do roteador, mudar o protocolo de conexão ou mesmo fazer filtragem de conexões a endereços MAC, bem como esconder o SSID não são técnicas seguras; ataques anteriores já demonstraram que mesmo os dois últimos métodos são falhos e os dois primeiros… bem, não passam de um placebo. Utilizar uma VPN até seria uma boa, se elas já não tivessem sua própria cota de insegurança.

Enfim: a melhor maneira de lidar com essa situação é não se estressar, visto que não há uma bala de prata. Pode até ser que o KRACK force o desenvolvimento de um novo protocolo Wi-Fi mas sendo realista, ainda deverá demorar um bocado para que ele seja introduzido e até lá, teremos que nos virar com os remendos que as empresas liberarem.

Fontes: KRACK e ZDNet.

Relacionados: , , , , , , ,

Autor: Ronaldo Gogoni

Profissional de TI auto-didata, blogueiro que acha que é jornalista e careca por opção. Autor do Meio Bit e Portal Deviante, podcaster/membro fundador/Mestre Ancião do SciCast e host/podcaster do Sala da Justiça.

Compartilhar

Aproveite nossos cupons de desconto:

Cupom de desconto Asus, Cupom de desconto Frio Peças, Cupom de desconto Mundo da Carabina, Cupom de desconto JBL, Cupom de desconto Costa Cruzeiros, Cupom de desconto Loja do Mecânico, Cupom de desconto Staples