Como se proteger contra a falha que deixou o Wi-Fi vulnerável

PCs e smartphones já estão recebendo atualizações; também é importante configurar o seu roteador de forma mais segura

Paulo Higa
• Atualizado há 1 ano e 7 meses

16 de outubro de 2017 é uma data importante para a segurança digital: 13 anos depois de ser lançado, o protocolo WPA2, que protege quase todas as redes modernas de Wi-Fi no mundo, teve sua primeira grande vulnerabilidade divulgada. As falhas permitem interceptar a conexão entre o dispositivo e o roteador, roubando informações sensíveis ou até mesmo injetando conteúdo malicioso. E agora?

É difícil entender a abrangência de uma falha tão grave, então vamos deixar mais claro: o ataque funciona contra todas as redes modernas de Wi-Fi protegidas. As vulnerabilidades estão no protocolo WPA2, não em implementações ou dispositivos específicos. Portanto, embora alguns sistemas operacionais possam ser mais afetados que outros, todos estão no mesmo barco.

Leia mais: Sua rede Wi-Fi protegida está oficialmente desprotegida

Como se proteger?

Embora a falha esteja no protocolo, é possível implementar um mecanismo de segurança adicional sem quebrar nenhuma compatibilidade com as redes existentes (não é necessário um “WPA3”). Por isso, algumas empresas já estão distribuindo correções:

  • A Microsoft já liberou atualizações para o Windows 7 e versões mais recentes. Se não há nenhuma instalação pendente no seu Windows Update, você já está livre do problema.
  • O Google vai liberar um patch de segurança para o Android no dia 6 de novembro. Quem possui um smartphone Pixel estará protegido; caso contrário, será necessário esperar a boa vontade das fabricantes.
  • As principais distribuições Linux estão liberando correções para o pacote wpa-supplicant. Instale-as. O Linux é mais afetado que os outros porque, além de estar vulnerável às brechas no protocolo WPA2, possui uma implementação falha.
  • A Apple corrigiu as vulnerabilidades nas atuais versões beta do iOS, macOS, tvOS e watchOS; elas deverão chegar em breve aos usuários.

Caso seu computador, smartphone ou outro dispositivo conectado esteja atualizado, isso deve evitar a interceptação de dados. No entanto, isso não protege todos os aparelhos conectados à rede: smartphones com Android e certos dispositivos inteligentes, como câmeras de segurança, talvez nunca recebam uma atualização. Então, também é importante instalar uma correção no seu roteador Wi-Fi.

Por enquanto, as correções liberadas se limitam a roteadores de nível corporativo, como os da Ubiquiti. Mas é bom verificar se a fabricante do seu roteador já tem um firmware novo para o seu modelo. Para facilitar, estes são os links para as páginas de suporte das principais marcas:

E se você não recebeu nenhuma atualização nem no seu dispositivo, nem no seu roteador? Nesse caso, há algumas soluções pouco triviais para usuários comuns:

  • Utilizar uma VPN para criptografar todo o tráfego entre o dispositivo e o roteador. No entanto, elas custam alguns dólares por mês. Boa parte das VPNs gratuitas são notavelmente inseguras ou vendem seus dados, e só piorariam a situação;
  • Deixar de se conectar por Wi-Fi e voltar ao cabo Ethernet. ¯\_(ツ)_/¯

O que NÃO protege?

Para um pouco e presta atenção nisso aqui, fazendo favor

Como a falha torna possível resetar uma segunda chave de criptografia que protege os dados de uma conexão Wi-Fi com WPA2, não adianta:

  • Trocar a senha da sua rede Wi-Fi, porque ela não é necessária para o ataque (no entanto, se você utiliza uma combinação fácil, é melhor gastar uns minutos agora para mudá-la);
  • Mudar o protocolo WPA2 para WEP ou WPA, porque o WEP é inseguro desde que eu nasci, e tanto o WPA quanto o WPA2 são afetados (junto com suas siglas PSK, AES, CCMP, GCMP, TKIP, PQP e afins);

Em sites de tecnologia mais especializados, como o TB, é comum que usuários avançados pensem que estão protegidos por adotarem algumas técnicas de segurança. Na verdade, como mostra o Decent Security, as seguintes práticas dão apenas uma falsa sensação de proteção:

O que não protege diretamente, mas é uma boa ideia

Apesar de a falha afetar o protocolo WPA2 como um todo, existem algumas tecnologias que tornam o problema ainda pior. Se você utiliza autenticação por TKIP, por exemplo, as vulnerabilidades permitem não apenas interceptar a conexão, mas também injetar conteúdo malicioso sem que você saiba.

Então, acesse a página de administração do seu roteador (normalmente https://192.168.1.1 ou https://10.1.1.1) e:

  • Desabilite a tecnologia WPS (Wi-Fi Protected Setup), que permite conectar automaticamente um dispositivo apertando um botão traseiro no roteador. Ela é considerada insegura há algum tempo;
  • Esta é especialmente para você que digitou “admin” para entrar na página de configuração: troque essa senha padrão de administração, porque códigos maliciosos em sites podem mudar silenciosamente as configurações do seu roteador;
  • Nas configurações de segurança do Wi-Fi (provavelmente onde você define o nome e a senha da rede), é possível escolher a tecnologia de criptografia, como AES (CCMP), TKIP ou ambas. A opção menos insegura é WPA2-PSK com AES (CCMP) forçado.

E agora?

Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. Eis uma música calma:

Leia | O que é WEP, WPA, WPA2 e WPA3? Veja as diferenças entre as chaves de segurança

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.