KRACK: O WPA2 foi quebrado. E agora?

Pois é, as redes sociais estão em polvorosa, espalhando este rumor de que o esquema de criptografia do WPA2, utilizado nas redes WiFi, foi quebrado. O que isso significa: que a segurança incorporada nas redes WiFi provavelmente é ineficaz, e que não devemos pensar que elas estão 100% seguras.

Que ataque é este contra o WPA2?

O nome que dou atualmente para isso é “KRACK – Key Reinstallation AttaCK (Ataque de Reinstalação de Chaves). Se isso for verdade, significa que outros poderão escutar seu tráfego de rede, que uma conversa privada poderá ser ouvida“, disse Alex Hudson, CTO da Iron Group.

Isso já ocorreu antes com o WiFi: Lembram-se das senhas do WEP? Agora, a coisa é um pouco diferente. De repente isso pode ser um grande negócio. Se é que me entendem.

Na verdade, a segurança do WPA2 já tem “caminhado sobre ovos” há algum tempo. Ataques contra o WPA2-PSK têm tido sucesso, mas em um grau limitado. Já o WPA2-Enterprise mostrou-se mais resistente.

Então, esta será uma segunda-feira agitada para muitos administradores de redes/TI em todo o mundo. A questão é: o que agora?

Mantenha a calma

Lembre-se, o atacante precisa estar próximo de seu equipamento sem fio. Então, você não está exposto a todos na Internet. É uma proteção digamos que fraca, mas mostra o quanto é importante você revisar a sua segurança de sua infraestrutura.

Além disso, é provável que você não tenha muitos protocolos que dependam da segurança do WPA2. Toda vez que você acessa um site em https, seu navegador está negociando em uma camada separada de criptografia. Acessar sites seguros em WiFi ainda é seguro. Mas ainda você não tem muita informação se sua rede requer a criptografia fornecida pelo WPA2.

Então está tudo bem?

Em uma palavra, NÃO. Muitos ataques poderão ocorrer e que darão muita dor de cabeça. Ele poderão atrapalhar as comunicações existentes. Fingir ser outros nós da rede. Isso pode ser realmente muito ruim, novamente, pois serão capazes de fingir ser um site seguro, como seu banco, na sua rede WiFi, oferecendo recursos inseguros. É quase certeza que outros problemas surgirão, especialmente o que estiver relacionado à privacidade com dispositivos que possuem pouca segurança, mas estão conectados à Internet.

Você pode pensar nisso como se o seu firewall estivesse sendo derrotado. A criptografia do WiFi funciona principalmente para evitar que outros dispositivos se comuniquem com sua rede. Se isso não funcionar mais, o dispositivos em sua rede estarão mais vulneráveis, pois os atacantes nas proximidades poderão se comunicar com eles.

Como ficam as empresas?

Mantenha seus superiores sempre informados das possibilidades do ataque ocorrer e do que pretender fazer para melhorar a segurança:

  • O ataque não terá sucesso para pessoas que não estiverem presentes fisicamente nas suas redes;
  • É improvável que qualquer dado seja protegido pela criptografia fornecida pelo WPA2. em especial, o acesso à sites seguros;
  • Pense em aumentar o nível de segurança dos nós de sua rede, se possível, verificar se o antivírus está atualizado, e se os firewalls estão ativados;
  • Se você é um cara paranóico em relação a determinados dados ou sistemas, desligue o WiFi e mude para uma VPN interna, uma conexão cabeada ou dados móveis (para acesso WAN);
  • Informe-os que está a par da situação e que está monitorando os próximos passos.

Em termos do que fazer, em muitos aspectos, deve-se entrar em contato com o fornecedor/fabricante de seu equipamento sem fio. Caso o fabricante seja de alta qualidade (empresas como Ruckus e Cisco, por exemplo), esperamos que o novo firmware esteja disponível em breve para que estes problemas estejam mitigados. Isso poderá resultar em incompatibilidade com dispositivos existentes: como uma empresa, você precisará tomar uma decisão (a menos que você precise de conformidade com o PCI-DSS ou similar, situação em que você provavelmente não tenha muita escolha).

E os usuários domésticos?

É aí que a coisa fica um pouco complicada. Muitos de nós temos roteadores antigos em casa, que não possuem disponível uma atualização de firmware e muitos equipamentos WiFi não podem obter uma atualização de protocolo caso necessário.

Reiterando:

  • Sites https ainda são seguros, mesmo quando acessados via WiFi;
  • Configure seus computadores para o modo “Rede Pública” (Windows), o que aumenta o nível de segurança de seu computador em relação aos modos Rede Privada / Doméstica;
  • Se você for um paranóico com relação ao seu celular, desligue o WiFi e use dados móveis quando necessário;
  • Parece que não é possível um ataque semelhante contra equipamentos do tipo ethernet-over-main, aqueles utilizados para estender a sua rede sem fio através da energia;
  • Mantenha computadores e dispositivos corrigidos e atualizados

E o futuro?

Como foi dito antes, este é um grande problema, mas não é algo inesperado. Uma série de protocolos de criptografia tiveram os seus problemas ao longo dos anos.

Dispositivos IoT (Internet das Coisas) serão os mais atingidos. Dispositivos com o recurso de WiFi embutido para um fim secundário, como televisores e monitores de bebês, são improváveis de terem atualizações adequadas. Como um problema de protocolo, é possível que possamos escolher entre segurança e funcionalidade, e muitos usuários escolherão o último, claro.

É importante que as redes sejam cadas vez mais do tipo “definidas por software” e que faça sentido que os futuros padrões se concentrem nesse tempo de execução e não no próprio protocolo. Não podemos confiar nos fabricantes para manter os dispositivos atualizados (por muitos motivos), mas as tentativas anteriores de padronizar um tempo de execução (como o UEFI) não são promissoras, nem tecnicamente, nem no campo da segurança.

Como consumidores, temos que questionar continuamente as credenciais de segurança dos dispositivos que compramos e exigir a melhor evidência de sua segurança. Esta é uma pergunta difícil, pois no mundo da tecnologia, comprar “segurança” é uma coisa difícil. Mas devemos nos esforçar para melhorar.

Se você não sabe o que é isso, não se preocupe – eles são as “notificações oficiais” de um problema, se você quiser. Se você tem um fornecedor de equipamentos Wi-Fi, você quer perguntar se eles são afetados por qualquer um desses e, em caso afirmativo, quais são as soluções:

 

  • CWE-323

  • CVE-2017-13077

  • CVE-2017-13078

  • CVE-2017-13079

  • CVE-2017-13080

  • CVE-2017-13081

  • CVE-2017-13082

  • CVE-2017-13083

  • CVE-2017-13084

  • CVE-2017-13085

  • CVE-2017-13086

  • CVE-2017-13087

Fonte: O Analista