Entenda o bug descoberto em todos os aparelhos que usam Wifi! (KRACK)

Entenda o bug descoberto em todos os aparelhos que usam Wifi! (KRACK)

Overview

No universo atual, conectado e sem fios, uma nova falha de segurança surgiu, colocando em risco desde o seu smartphone até aquela sua smart-lâmpada do quarto. Neste post, mergulharemos no mundo do protocolo WPA2, desvendaremos a falha de segurança KRACK e, mais importante, como você pode se blindar contra possíveis ataques. Se você acha que estar seguro online é essencial, prepare-se para atualizar seus dispositivos e ajustar algumas configurações. Vamos lá?

Sim, todos aparelhos que usam Wifi. Do seu smartphone até a smart-lampada super moderna que você comprou…e sim, este bug também afeta vocês, fãs da Apple. Recentemente, uma mega falha de segurança foi detectada na forma de comunicação entre o roteador e os aparelhos conectados. A falha em potencial sempre existiu no protocolo WPA2, mas só foi descoberta agora. Neste post explico o que é e o que você pode fazer para se proteger.

Primeiro de tudo: O que está acontecendo?

“Este ataque funciona com qualquer aparelho moderno que esteja conectado a um rede Wifi protegida.”
– Mathy Vanhoef

O pesquisador de segurança Mathy Vanhoef divulgou publicamente esta vulnerabilidade no protocolo de encriptação do WPA2 e praticamente todos os aparelhos que estão conectados no Wifi hoje utilizam o WPA2 para encriptar os dados transmitidos nas redes sem fio. Sendo assim, existem grandes chances de você estar vulnerável a este bug, que recebeu o nome de KRACK. (não confunda com crack, que é aquele programa que algumas pessoas usam em softwares piratas. [feio isso, hein?])

Antes que você entre em desespero e queime tudo que tem Wifi, um esclarecimento: Através desta falha, um invasor pode interceptar os dados que estão sendo transmitidos do seu aparelho para o roteador (e vice versa). Se este trafico está encriptado corretamente, através de um protocolo HTTPS, o invasor não vai conseguir visualizar o que está sendo transmitido.

Outro ponto importante de mencionar é que o invasor não vai conseguir roubar a senha da sua rede Wireless, ele consegue “apenas” interceptar os dados transmitidos e tem acesso a tudo que não está encriptado. Em alguns aparelhos, o invasor pode utilizar ataques como injeção de pacotes e fazer algumas coisas bem perversas. Esta vulnerabilidade é algo bem parecido com estar em uma rede Wifi pública (tipo de aeroporto ou shopping).

O invasor precisa estar no alcance da sua rede Wifi para tentar usar este exploit (vulnerabilidade). Eles não podem fazer como nos filmes de Hollywood, onde uma pessoa invade o computador da outra estando KMs de distancia. Na verdade, até pode… o invasor poderia assumir controle de algum computador zumbi que esteja no alcance da sua rede e a partir deste ponto, utilizar esta falha para roubar seus dados… mas isso vai tornar o processo muito mais complicado e provavelmente você não é um alvo tão tentador assim.

Para os nerds de plantão, segue o abstract da pesquisa feita sobre o KRACK:

All protected Wi-Fi networks use the 4-way handshake to generate a fresh session key. So far, this 14-year-old handshake has remained free from attacks, and is even proven secure. However, we show that the 4-way handshake is vulnerable to a key reinstallation attack. Here, the adversary tricks a victim into reinstalling an already-in-use key. This is achieved by manipulating and replaying handshake messages. When reinstalling the key, associated parameters such as the incremental transmit packet number (nonce) and receive packet number (replay counter) are reset to their initial value. Our key reinstallation attack also breaks the PeerKey, group key, and Fast BSS Transition (FT) handshake. The impact depends on the handshake being attacked, and the data-confidentiality protocol in use. Simplified, against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPATKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.

De acordo com a pesquisa, a causa raiz deste problema está no padrão utilizado pelo Wifi e não em uma implementação ou produto específico. Mesmo a melhor das implementações do WPA2, este tipo de ataque pode ocorrer. Logo nos estágios iniciais dos testes, percebeu-se que aparelhos Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys e outros estão suscetíveis ha alguma forma deste ataque. Para obter mais informações sobre um produto específico, consulte a base de dados do CERT/CC ou o seu revendedor.

Uma notícia excepcionalmente ruim para o time robozinho verde, a pesquisa indicou que este ataque é “excepcionalmente devastador” no Android 6.0.1 ou superior. A partir da versão Marshmallow, o padrão wpa_supplicant é utilizado e isso faz com que seja consideravelmente mais fácil dados enviados por dispositivos Linux e Android. No momento, aproximadamente 41% dos aparelhos Android estão vulneráveis a esta “falha agravada”.

Infelizmente, sistemas operacionais como o macOS e o OpenBSD também estão significamente mais vulneráveis que os outros. Pouco tempo após a liberação deste estudo, o OpenBSD foi atualizado, corrigindo este erro.

Guaxinim, você falou, falou, falou e eu não entendi nada. O que isso tudo quer dizer?

Ok, segue versão TL;DR: Um invasor que esteja ao alcance de uma pessoa logada em uma rede wifi pode usar esta falha para roubar informações que estavam (presumidamente) encriptadas com a utilização do WPA2.

E o que você pode fazer para se proteger?

Atualize tudo wireless que você tiver

A boa notícia é que (provavelmente) todos os seus aparelhos podem ser atualizados para corrigirem esta falha. Aparelhos atualizados e não atualizados conseguem coexistir na mesma rede, ou seja, se o seu tablet for atualizado e receber esta correção, mas o seu notebook não receber, ambos conseguem continuar convivendo normalmente na sua rede sem fio. O problema é que você ainda estará vulnerável.

O ponto chave desta ação é: Todos os seus aparelhos Wifi (incluindo os roteadores) devem ser atualizados. Caso contrário, você continuará suscetível ao KRACK. Vale lembrar que não estou falando de atualizar aplicativos, mas das atualizações do sistema operacional ou atualizações de segurança. Sei que, as vezes, alguns fornecedores pisam na bola na hora de liberar atualizações, mas não temos muito outra saída.

Confira seu Roteador

Dando sequencia ao item acima, verifique se o seu roteador possui atualizações de firmware. Caso ele tenha sido fornecido pelo seu provedor de internet, verifique com eles quando vai sair a atualização específica deles com esta correção.

Se eles não tiverem uma resposta imediata, você tem duas opções: Pressionar ou Mudar de provedor de internet.
Infelizmente, quem mora no Brasil já sabe…

Nada acontece, feijoada.

Nada acontece, feijoada.

Nada acontece, feijoada.

Para você não ficar na mão, você pode desligar o Wifi do roteador fornecido pelo seu provedor e ligar nele outro roteador que já tenha esta falha corrigida.

Utilizar conexões cabeadas ou o pacote de dados

Ok, admito: Esta é uma solução cretina e que não resolve de verdade o problema. Todavia, utilizando seu pacote de dados ou conexão por cabo, você não estará vulnerável a esta falha. Você pode, por exemplo, realizar operações financeiras apenas utilizando um destes tipos de conexão.

Instale a extensão HTTPS Everywhere

Como já mencionamos neste post, se os seus dados estiverem encriptados, mesmo que esta falha exista, você estará “seguro” (lembre-se que não é só essa falha que existe solta por aí). Para ajudar com este problema, a EEF criou uma extensão para o Chrome, Firefox e Opera que tentar forçar as conexões via HTTPS, quando estiverem disponíveis. Ela não exige nenhum conhecimento especial, então pode ser utilizado por qualquer um. Aqui está o link para pegar este plugin.

Vale lembrar que se o site não implementar o protocolo https direito ou se ele nao possuir esta opção, a extensão não vai conseguir te ajudar. Ela apenas escolhe, por padrão, o protocolo HTTPS, ajudando você a manter seus dados sempre encriptados.

Utilizar apenas VPN não resolve

Teoricamente resolve, mas relatos recentes mostraram que você não pode confiar neste pessoal. A PureVPN recentemente liberou os logs (que ela jura que não existem) para ajudar a prender um sujeito.

Quando você utiliza um serviço VPN, o seu provedor de internet não sabe o que você está fazendo, mas o dono do VPN sabe. Cuidado.

De preferencia para comunicações encriptadas

Existe uma ótima opção de email grátis que realiza a encriptação das mensagens, é gratis e faz todo o processo de segurança ser invisivel para o usuario. Ele se chama ProtonMail.

Com este bug, o que acontece com a Internet das Coisas (IoT)?

Excelente pergunta. Geralmente, os produtos classificados como IoT tem péssimos sistemas de segurança. Verifique se vale a pena correr o risco de utiliza-los sem a atualização de segurança. Se não valer a pena, desligue-os até que o fabricante libere uma atualização.

Para ajudar você a decidir, vou dar dois exemplos:

1: Você comprou aquelas lampadas smart que você controla através do celular. Elas mudam de cor, brilho, intensidade e tudo controlado através da rede wifi. Se um invasor conseguir pegar estes dados, não tem muito que ele possa fazer… Talvez ficar ligando e desligando sua lampada. Não faz muito estrago, certo?

2: Você utiliza cameras wireless para monitorar sua casa ou a babá que toma conta do seu filho. Se os dados desta camera nao for encriptado, o invasor pode interceptar e brincar de BBB, assistindo tudo que acontece na sua casa. Já é um pouco pior do que com a lampada, certo?

Você terá que avaliar quais smart-aparelhos podem ser utilizados sem as atualizações de segurança.

Image without description

Image without description

Aplique as atualizações de segurança de tudo que você tem que se conecta a uma rede Wifi. Vai dar tudo certo.

Espero ter ajudado você a se informar sobre este novo problema.