Como se proteger contra a falha que deixou o Wi-Fi vulnerável

16 de outubro de 2017 é uma data importante para a segurança digital: 13 anos depois de ser lançado, o protocolo WPA2, que protege quase todas as redes modernas de Wi-Fi no mundo, teve sua primeira grande vulnerabilidade divulgada. As falhas permitem interceptar a conexão entre o dispositivo e o roteador, roubando informações sensíveis ou até mesmo injetando conteúdo malicioso. E agora?

É difícil entender a abrangência de uma falha tão grave, então vamos deixar mais claro: o ataque funciona contra todas as redes modernas de Wi-Fi protegidas. As vulnerabilidades estão no protocolo WPA2, não em implementações ou dispositivos específicos. Portanto, embora alguns sistemas operacionais possam ser mais afetados que outros, todos estão no mesmo barco.

Leia mais: Sua rede Wi-Fi protegida está oficialmente desprotegida

Como se proteger?

Embora a falha esteja no protocolo, é possível implementar um mecanismo de segurança adicional sem quebrar nenhuma compatibilidade com as redes existentes (não é necessário um “WPA3”). Por isso, algumas empresas já estão distribuindo correções:

  • A Microsoft já liberou silenciosamente (mais detalhes serão divulgados hoje) uma atualização para as versões suportadas do Windows (8.1 ou superior). Se não há nenhuma instalação pendente no seu Windows Update, você já está livre do problema.
  • O Google vai liberar um patch de segurança para o Android no dia 6 de novembro. Quem possui um smartphone Pixel estará protegido; caso contrário, será necessário esperar a boa vontade das fabricantes.
  • As principais distribuições Linux estão liberando correções para o pacote wpa-supplicant. Instale-as. O Linux é mais afetado que os outros porque, além de estar vulnerável às brechas no protocolo WPA2, possui uma implementação falha.
  • A Apple ainda não se pronunciou.

Caso seu computador, smartphone ou outro dispositivo conectado esteja atualizado, isso deve evitar a interceptação de dados. No entanto, isso não protege todos os aparelhos conectados à rede: smartphones com Android e certos dispositivos inteligentes, como câmeras de segurança, talvez nunca recebam uma atualização. Então, também é importante instalar uma correção no seu roteador Wi-Fi.

Por enquanto, as correções liberadas se limitam a roteadores de nível corporativo, como os da Ubiquiti. Mas é bom verificar se a fabricante do seu roteador já tem um firmware novo para o seu modelo. Para facilitar, estes são os links para as páginas de suporte das principais marcas:

E se você não recebeu nenhuma atualização nem no seu dispositivo, nem no seu roteador? Nesse caso, há algumas soluções pouco triviais para usuários comuns:

  • Utilizar uma VPN para criptografar todo o tráfego entre o dispositivo e o roteador. No entanto, elas custam alguns dólares por mês. Boa parte das VPNs gratuitas são notavelmente inseguras ou vendem seus dados, e só piorariam a situação;
  • Deixar de se conectar por Wi-Fi e voltar ao cabo Ethernet. ¯\_(ツ)_/¯

O que NÃO protege?

Para um pouco e presta atenção nisso aqui, fazendo favor

Como a falha torna possível resetar uma segunda chave de criptografia que protege os dados de uma conexão Wi-Fi com WPA2, não adianta:

  • Trocar a senha da sua rede Wi-Fi, porque ela não é necessária para o ataque (no entanto, se você utiliza uma combinação fácil, é melhor gastar uns minutos agora para mudá-la);
  • Mudar o protocolo WPA2 para WEP ou WPA, porque o WEP é inseguro desde que eu nasci, e tanto o WPA quanto o WPA2 são afetados (junto com suas siglas PSK, AES, CCMP, GCMP, TKIP, PQP e afins);

Em sites de tecnologia mais especializados, como o TB, é comum que usuários avançados pensem que estão protegidos por adotarem algumas técnicas de segurança. Na verdade, como mostra o Decent Security, as seguintes práticas dão apenas uma falsa sensação de proteção:

O que não protege diretamente, mas é uma boa ideia

Apesar de a falha afetar o protocolo WPA2 como um todo, existem algumas tecnologias que tornam o problema ainda pior. Se você utiliza autenticação por TKIP, por exemplo, as vulnerabilidades permitem não apenas interceptar a conexão, mas também injetar conteúdo malicioso sem que você saiba.

Então, acesse a página de administração do seu roteador (normalmente http://192.168.1.1 ou http://10.1.1.1) e:

  • Desabilite a tecnologia WPS (Wi-Fi Protected Setup), que permite conectar automaticamente um dispositivo apertando um botão traseiro no roteador. Ela é considerada insegura há algum tempo;
  • Esta é especialmente para você que digitou “admin” para entrar na página de configuração: troque essa senha padrão de administração, porque códigos maliciosos em sites podem mudar silenciosamente as configurações do seu roteador;
  • Nas configurações de segurança do Wi-Fi (provavelmente onde você define o nome e a senha da rede), é possível escolher a tecnologia de criptografia, como AES (CCMP), TKIP ou ambas. A opção menos insegura é WPA2-PSK com AES (CCMP) forçado.

E agora?

Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. Eis uma música calma:

Como se proteger contra a falha que deixou o Wi-Fi vulnerável

via Tecnoblog

Deixe uma resposta