Foi uma semana conturbada para quem trabalha na área de TI. Na manhã de segunda-feira (16), o especialista em segurança Mathy Vanhoef divulgou uma falha de segurança grave no WPA2, principal protocolo que cuida da autenticação de usuários que se conectam a uma rede Wi-Fi.

Antes, é importante ver como funcionam esses padrões de autenticação em pontos de acesso. O WPA e o WPA2 foram uma resposta da Wi-Fi Alliance às diversas falhas de segurança encontradas no protocolo de autenticação anterior, WEP. Este padrão antigo usava uma chave de criptografia de 64 bits ou 128 bits que era colocada manualmente em pontos de acesso Wi-Fi e não mudava com o tempo, tornando a rede bem suscetível a ataques.

No WPA2 a situação é diferente, uma vez que ele embarca o protocolo CCMP, baseado padrão de criptografia AES, que protege a privacidade dos dados, assim como sua integridade e autenticação, criando chaves dinâmicas e que mudam com tempo. Basicamente, o ponto de acesso (AP) fica mais protegido e difícil de ser invadido… até agora.

Basicamente, o ponto de acesso (AP) fica mais protegido e difícil de ser invadido… até agora.

Invadindo o WPA2

logo

O calcanhar de aquiles do WPA2 é justamente nesse ponto. Neste texto, vou dar um panorama geral de como a falha pode ser explorada, sabendo que nem todo mundo tem formação na área de TI para entender detalhes mais profundos. Se você é da área e ainda não viu o artigo acadêmico publicado por Vanhoef, recomendo fortemente: os detalhes técnicos ajudam a entender melhor o assunto. Acesse-o aqui.

Vanhoef, quem descobriu a falha de segurança, a nomeou de KRACK, sigla para Key Reinstallation Attacks (ou Ataques de Reinstalação de Chaves, no bom português). A falha pode ser explorada clonando uma rede Wi-Fi e manipulando o WPA2 para instalar uma nova chave criptográfica, que deveria ser empregada apenas uma vez, mas será reutilizada nas diferentes tentativas de conexão pelo dispositivo à rede clonada.

Dessa forma, o protocolo de criptografia é quebrado e a rede clonada consegue interceptar o tráfego entre o dispositivo do usuário e o ponto de acesso Wi-Fi, sem proteção alguma. A interceptação da conexão é algo extremamente grave: um hacker pode ver tudo o que você está fazendo e roubar logins, senhas e acessos bancários.

Mesmo que o site que você esteja acessando no Wi-Fi use HTTPS, o ataque força o servidor a exibir uma versão não segura em HTTP, o que dá acesso às senhas em texto puro. Nada impede, também, que um malware seja distribuído na rede para infectar o seu computador.

No vídeo abaixo, Vanhoef demonstra o ataque em um Android. Segundo ele, os sistemas Android 6.0 (ou superior) e Linux são os mais vulneráveis porque eles instalam uma chave de criptografia do zero, com mesmos números arbitrários que foram usados no passado, tornando a segurança mais previsível. Logo, é mais fácil de interceptar o tráfego.

De todo modo, o problema está no WPA2 em si; o próprio Vanhoef concluiu que todas as redes Wi-Fi protegidas estão vulneráveis. Até as redes empresariais são afetadas em diversos tipos de proteção, como AES-CCMP, WPA-TKIP e GCMP. No caso destas duas últimas, inclusive, o impacto é ainda maior porque permite que o invasor injete pacotes maliciosos.

O que está sendo feito?

Sim, a falha de segurança divulgada é alarmante, mas você não precisa entrar em pânico. Vanhoef esclarece que não será necessário um novo padrão, como um WPA3. No entanto, tanto o dispositivo quanto o roteador precisam ser atualizados para adicionar uma camada adicional de segurança e impedir que as chaves criptográficas sejam reutilizadas.

O Tecnoblog mostrou que diversos sistemas operacionais e fabricantes de roteadores já estão começando a atualizar seus aparelhos. Dentre elas, a Microsoft, distribuições Linux (atualize o pacote wpa-supplicant), Google e Apple já prometeram atualizações.

Os roteadores da Ubiquiti já tiveram correções liberadas até o momento em que escrevia este texto. Fique atento às páginas de suporte do seu roteador, que podem divulgar atualizações novas a qualquer momento: D-Link, Intelbras, Linksys, Netgear e TP-Link.

Sente-se e relaxe

Fora aguardar as atualizações, não há muito mais o que fazer. Lembre-se apenas de atualizar o seu roteador manualmente, uma vez que muitos modelos não têm atualizações automáticas. Também fique atento às atualizações de software do seu celular ou computador.

Se ajudar, você pode ler mais detalhes sobre o KRACK nesta página, em que Vanhoef publicou um FAQ bem explicativo. Na página, ele esclarece que mudar a senha do Wi-Fi, esconder o SSID ou filtrar endereços MAC não ajudam muito contra o ataque. Usar uma VPN paga para proteger sua conexão pode remediar o problema, no entanto.

Uma dica primordial que foi trazida à tona pela Wired é: não use Wi-Fi público. Você não sabe como aquela rede está funcionando sob debaixo dos panos, e como mais de uma pessoa está conectada à ela, é um prato cheio para um hacker invadi-la e interceptar centenas de usuários diferentes.

No geral, o pessimismo é grande para equipamentos mais desatualizados, principalmente na era da Internet das Coisas (IoT). Muitos objetos conectados, inclusive câmeras de segurança, nunca vão ser atualizados por seus donos e estarão suscetíveis a ataques por anos.

De certa forma, o que Vanhoef fez foi um teste que poderia ter sido descoberto por qualquer um. Uma falha de segurança só pode ser trazida à tona com diversos testes específicos conduzidos por empresas especializadas. Aqui na One Day Testing, levamos a segurança muito a sério e achamos que você também deveria.

Quer saber mais sobre como falhas de segurança podem afetar o seu negócio? Vamos conversar. Entre em contato comigo pelo e-mail bruno.abreu@sofist.com.br ou ligue (19) 3291-5321. Será um prazer ajudar!

  • Romanti-Ezer G. Santos

    Não usar Wifi público é muito complicado, porque as vezes é muito útil, principalmente para usuários que não usam dados móveis. Ótimo artigo.