Início » Segurança » Como se proteger contra a falha que deixou o Wi-Fi vulnerável

Como se proteger contra a falha que deixou o Wi-Fi vulnerável

PCs e smartphones já estão recebendo atualizações; também é importante configurar o seu roteador de forma mais segura

Por
16/10/2017 às 15h20
Já conhece a nova extensão do Tecnoblog? Baixe Agora

16 de outubro de 2017 é uma data importante para a segurança digital: 13 anos depois de ser lançado, o protocolo WPA2, que protege quase todas as redes modernas de Wi-Fi no mundo, teve sua primeira grande vulnerabilidade divulgada. As falhas permitem interceptar a conexão entre o dispositivo e o roteador, roubando informações sensíveis ou até mesmo injetando conteúdo malicioso. E agora?

É difícil entender a abrangência de uma falha tão grave, então vamos deixar mais claro: o ataque funciona contra todas as redes modernas de Wi-Fi protegidas. As vulnerabilidades estão no protocolo WPA2, não em implementações ou dispositivos específicos. Portanto, embora alguns sistemas operacionais possam ser mais afetados que outros, todos estão no mesmo barco.

Leia mais: Sua rede Wi-Fi protegida está oficialmente desprotegida

Como se proteger?

Embora a falha esteja no protocolo, é possível implementar um mecanismo de segurança adicional sem quebrar nenhuma compatibilidade com as redes existentes (não é necessário um “WPA3”). Por isso, algumas empresas já estão distribuindo correções:

  • A Microsoft já liberou atualizações para o Windows 7 e versões mais recentes. Se não há nenhuma instalação pendente no seu Windows Update, você já está livre do problema.
  • O Google vai liberar um patch de segurança para o Android no dia 6 de novembro. Quem possui um smartphone Pixel estará protegido; caso contrário, será necessário esperar a boa vontade das fabricantes.
  • As principais distribuições Linux estão liberando correções para o pacote wpa-supplicant. Instale-as. O Linux é mais afetado que os outros porque, além de estar vulnerável às brechas no protocolo WPA2, possui uma implementação falha.
  • A Apple corrigiu as vulnerabilidades nas atuais versões beta do iOS, macOS, tvOS e watchOS; elas deverão chegar em breve aos usuários.

Caso seu computador, smartphone ou outro dispositivo conectado esteja atualizado, isso deve evitar a interceptação de dados. No entanto, isso não protege todos os aparelhos conectados à rede: smartphones com Android e certos dispositivos inteligentes, como câmeras de segurança, talvez nunca recebam uma atualização. Então, também é importante instalar uma correção no seu roteador Wi-Fi.

Por enquanto, as correções liberadas se limitam a roteadores de nível corporativo, como os da Ubiquiti. Mas é bom verificar se a fabricante do seu roteador já tem um firmware novo para o seu modelo. Para facilitar, estes são os links para as páginas de suporte das principais marcas:

E se você não recebeu nenhuma atualização nem no seu dispositivo, nem no seu roteador? Nesse caso, há algumas soluções pouco triviais para usuários comuns:

  • Utilizar uma VPN para criptografar todo o tráfego entre o dispositivo e o roteador. No entanto, elas custam alguns dólares por mês. Boa parte das VPNs gratuitas são notavelmente inseguras ou vendem seus dados, e só piorariam a situação;
  • Deixar de se conectar por Wi-Fi e voltar ao cabo Ethernet. ¯\_(ツ)_/¯

O que NÃO protege?

Para um pouco e presta atenção nisso aqui, fazendo favor

Como a falha torna possível resetar uma segunda chave de criptografia que protege os dados de uma conexão Wi-Fi com WPA2, não adianta:

  • Trocar a senha da sua rede Wi-Fi, porque ela não é necessária para o ataque (no entanto, se você utiliza uma combinação fácil, é melhor gastar uns minutos agora para mudá-la);
  • Mudar o protocolo WPA2 para WEP ou WPA, porque o WEP é inseguro desde que eu nasci, e tanto o WPA quanto o WPA2 são afetados (junto com suas siglas PSK, AES, CCMP, GCMP, TKIP, PQP e afins);

Em sites de tecnologia mais especializados, como o TB, é comum que usuários avançados pensem que estão protegidos por adotarem algumas técnicas de segurança. Na verdade, como mostra o Decent Security, as seguintes práticas dão apenas uma falsa sensação de proteção:

O que não protege diretamente, mas é uma boa ideia

Apesar de a falha afetar o protocolo WPA2 como um todo, existem algumas tecnologias que tornam o problema ainda pior. Se você utiliza autenticação por TKIP, por exemplo, as vulnerabilidades permitem não apenas interceptar a conexão, mas também injetar conteúdo malicioso sem que você saiba.

Então, acesse a página de administração do seu roteador (normalmente http://192.168.1.1 ou http://10.1.1.1) e:

  • Desabilite a tecnologia WPS (Wi-Fi Protected Setup), que permite conectar automaticamente um dispositivo apertando um botão traseiro no roteador. Ela é considerada insegura há algum tempo;
  • Esta é especialmente para você que digitou “admin” para entrar na página de configuração: troque essa senha padrão de administração, porque códigos maliciosos em sites podem mudar silenciosamente as configurações do seu roteador;
  • Nas configurações de segurança do Wi-Fi (provavelmente onde você define o nome e a senha da rede), é possível escolher a tecnologia de criptografia, como AES (CCMP), TKIP ou ambas. A opção menos insegura é WPA2-PSK com AES (CCMP) forçado.

E agora?

Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. Eis uma música calma:

Mais sobre: , , ,
  • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

    E pra quem possui roteador com suporte a firmwares customizados, desinstale essas porcarias que vem de fábrica e instale um LEDE ou OpenWRT da vida.

    • Uso e recomendo.

      (Só não recomendei isso no texto porque matar um roteador assim é bem fácil.)

      • Jose X.

        taí uma sugestão de artigo pro TB…embora concorde com aquele usuário chato 🙂 quase ninguém vai entender,e os que entenderem vão ter preguiça de fazer 🙂

        • 🇧🇷 O Patriota 🇧🇷

          Junto ao coro. Ainda uso aqueles d-link que a operadora manda e funciona bem quando quer…

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Matar um roteador nos dias de hoje tá mais pra difícil do que pra fácil. Como falei em um comentário resposta logo abaixo, o risco é grande só se o suporte ao seu dispositivo for completamente prematuro (literalmente um estado ALPHA) ou se o sujeito não tiver uma skill sequer pra fazer isso. Mesmo assim, tem que se esforçar muito pra conseguir transformar um roteador em um “tijolo”.

        Tanto DD-WRT, OpenWRT, Tomato, LEDE entre outras possuem suporte completo à uma vasta gama de roteadores das mais diversas marcas e modelos.

      • Matei o meu por causa que subi um arquivo errado. Tive que comprar um novo… enquanto não volto pra minha cidade onde tenho usb ttl e as outras parafernalhas pra desbrickar o router. :S
        A única coisa boa é que agora tenho novo router com padrão ac 😀 (sim, já tá com firmware alternativo). ¯_(ツ)_/¯

    • Anderson Silva

      Não só pela perspectiva de segurança mas também por adicionarem recursos que o fabricante (POR QUE RAIOS???) não adicionam ou adicionam porcamente aos seus equipamentos e que tais são competentes o suficiente – IPv6, por exemplo, cada vez sendo mais trivial/necessário e tem gente que ainda insiste em desativar 😛

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Se eu estivesse usando a firmware padrão do meu router, até hoje eu estaria sem o suporte ao IPV6.

        Com o LEDE instalado o IPV6 está funcionando redondinho (aqui uso a NET.)

        • Anderson Silva

          Igualmente – uso Vivo Fibra

    • Marcus Araújo

      Recomendo fortemente, principalmente o LEDE porque é basicamente um fork do OpenWrt que está em pleno desenvolvimento enquanto o OpenWrt está parado.

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Aqui eu migrei há alguns meses para o LEDE. Funcionando perfeitamente no meu TL-WR2543ND.

        Depois farei um upgrade, pois o bichinho meio que peida pra aguentar uma conexão de 120Mbps no Wifi.

        • Marcus Araújo

          Eu percebi uma melhora na 17.01.3, que saiu esses dias.

          • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

            Mais precisamente em que sentido?

          • Marcus Araújo

            Em estabilidade de sinal, o meu equipamento já tinha um histórico no OpenWrt de baixo desempenho nas redes de 2,4 GHz, no LEDE desde a primeira versão 17.01 já estava bem melhor, e agora melhorou bastante (mas isso um caso bem específico, obviamente), mas achei que melhorou também na frequência de 5 GHz.

          • Marcus Araújo

            Em estabilidade de sinal, achei que melhorou um pouco.

    • David Diniz

      Que bom que toda população brasileira manja desses paranaue de instalar FW custom, me sinto mais tranquilo agora. Ufa!

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Até porque toda a população brasileira SEQUER sabe o que diabos é WPA2 e está ciente dessa falha no protocolo… *insira um rolleyes aqui*

        Não é querendo ser grosso, mas basta usar um pouco do cérebro para compreender o meu comentário inicial.

    • Trovalds

      Primeiro: o roteador tem que suportar. De cara cai no “roteador da operadora”.
      Segundo: você ACHA que manja dos paranauês, desliga o wi-fi do roteador da operadora e usa o seu. Com sorte ele não suporta nenhum firmware alternativo.
      Terceiro: mesmo que seu roteador suporte, o processo não é exatamente fácil, as chances de transformar o roteador em “peso de papel” são grandes e ainda por cima você pode não conseguir se proteger igualmente da vulnerabilidade.

      Fora tudo isso tem o “usuário leigo”: não faz a mínima ideia disso tudo e se você tentar explicar ele vai olhar pra sua cara e fazer de conta que entendeu. Mas não vai mudar nada.

      • Não sou leigo e já escovo bit no trabalho, não quero passar mais trabalho no meu roteador de casa e pipocar entre iniciativas que param, passar trabalho mantendo essas porcarias, quero vida social, o povo mantém smartphone com Android customizado, roteador customizado, caixinha media center customizada, tudo feito a mão que não usa mais nem pra bater uma broinha…. 😀

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Primeiro: se eu estou me referindo a firmwares customizados, eu estou me referindo a roteadores QUE NÃO SÃO OS FORNECIDOS PELA OPERADORA.

        Se porventura o cara não possui, azar o dele.

        Segundo: se você usar um pouquinho de interpretação, você entenderá que o que eu falei foi apenas uma complementação para as dicas dadas pelo autor do post.

        Terceiro: primeiro que o processo já deixou de ser “extremamente difícil” há anos, fora que o material hoje em dia se encontra mastigável até demais. Transformar um roteador, smartphone ou que seja em um “tijolo” nos tempos de hoje, só se o suporte ao dispositivo for completamente prematuro (um estado digamos ALPHA) ou o usuário de fato não possuir nenhuma skill sequer para fazer isso, mesmo sendo um processo (ao dispositivos suportados) simples. O suporte é bastante amplos à uma vasta gama de dispositivos.

        E voltando a repetir: um usuário leigo (leigo mesmo) nem sequer sabe o que cara**** é WPA2 ou está por dentro da notícia sobre essa vulnerabilidade. E tem mais: sabemos muito bem que uma grande fatia dos sistemas embarcados nos roteadores domésticos são derivados do Linux (GNU/Linux, Busybox/Linux, whatever) e que os mesmos utilizam o tal “wpa_suplicant”.

        Nisso, como citado na matéria, o “wpa_suplicant” também possui uma falha e que precisa de uma atualização. Com uma firmware custom você terá esse patch disponível, mas e para os sistema padrão das fabricantes? Vai ter que ficar esperando por elas e torcer para receber uma atualização (o que será algo bastante restrito.)

        @

        Agora o que eu não entendi foi esse seu tom sarcástico e já meio agressivo de “você ACHA que manja dos parananuês e bla bla bla”, como resposta para um comentário que foi apenas um adicional para as dicas fornecidas pelo autor do post e como se eu tivesse afirmado que isso resolveria o problema por completo.

        Na próxima tu para, , interpreta e só depois tu comenta.

        Passar bem!

        • Trovalds

          Interpretar o que? Que você não gosta de ter um comentário rebatido e sai fazendo um wall of text do tamanho da muralha da china? Só uma dica: nunca subestime um usuário leigo e uma equipe de TI com orçamento limitado.

          #pas

        • Marcus Araújo

          Concordo que um usuário leigo (aliás, até alguns avançados) não atualiza nem uma firmware original dos D-Link da vida, dizer que o OpenWrt/LEDE/DD-Wrt é que é o problema por sua “alta complexidade” não é nem de longe a verdade… É certamente uma alternativa muito mais segura.

          Resumindo o que eu quero dizer: não adianta também a D-Link e cia lançarem atualizações de firmware, o usuário leigo só vai se livrar do problema se adquirir um equipamento novo/lançamento daqui a um tempo, e mesmo assim fará inconscientemente.

    • Juliotenorio

      Nunca tinha procurado por isso, e gosto bastante de ter a opção de customizar. Vou tentar depois essa semana no meu roteador, e como vou comprar um novo em breve irei olhar pra algum que tenha suporte firmwares customizados.

    • Felipe Xavier

      E o que fazer quando não se tem versões para o seu aparelho?

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Senta e chora.

      • Jailson

        Comprar um compatível.

    • doorspaulo

      Uso o Gargoyle aqui, recomendo demais!

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Boa recomendação. Se não me engano, o Gargoyle é bastante recomendado na parte de QOS.

        • doorspaulo

          Exatamente. Aqui, tenho um link de fibra da Copel, que divido entre o meu apartamento e outros dois.

          Depois de configurado, o controle de banda é perfeito, não falta internet pra ninguém, mesmo com uso de torrent, jogos e streaming.

          Só da um pouquinho de trabalho para criar as classes, mas depois, só alegria, pois nem travar não trava.
          A ultima vez que vi, estava com 98 dias de uptime, só zerou porque troquei de lugar e tive que desligar.

          • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

            Eu já tentei usá-lo, mas aquela interface xexelenta me afastou. rsrsrs

          • doorspaulo

            A interface não é das melhores mesmo, mas depois que configura, até esquece que ele existe, pois simplesmente funciona.

            Agora, se não for usar QoS, vai nos outros mesmo.

    • Humberto Machado

      kkk eae mi router 3

    • Sim, recomendo inclusive o LEDE que é uma evolução do OpenWRT, mas literalmente, igual. Segue URL do projeto: http://lede-project.org.

      Eu utilizei por algus anos o OpenWRT depois da indicação de um amigo (Leandro Figueira), e no início deste ano, atualizei os roteadores de casa com o LEDE. Ficou ótimo como sempre, utilizando recursos de DLNA, rede, VPN, e outros serviços tudo nele. Vale muito a pena.

      Sobre a correção ref. à vulnerabilidade krack nos roteadores com o firmware LEDE – https://forum.lede-project.org/t/critical-wifi-vulnerability-found-krack/7450/23.

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Pow, valeu pelo link do patch. Tava procurando mas não o encontrava. 😛

  • Melhor parte do texto foi o último parágrafo: “Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. ” kkkkkk

  • Junior Sousa

    “Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema” https://uploads.disquscdn.com/images/bd54398af30dac0c4a7eb82e26f7300983c691be2676e4e481ead6818aa03920.png

    • Marcus Araújo

      Hahahahah resumo da internet

  • Anakin

    Quem usa roteadores das operadores, podem fazer essas alterações?

    • Não, o meu roteador da Vivo eu não consigo mudar nem o servidor de DNS… Acredito que as próprias operadoras deviam fazer a atualização do firmware dos mesmos (quando disponíveis).

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Nesses roteadores da Vivo você consegue pelo menos colocar o danado em bridge?

        • Dependendo do roteador, não.

          • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

            Caramba, que mer** hein? Ficar preso ao modem/router dessas empresas é tenso.

          • é complicado. Já tentei utilizar um próprio, mas, um dia deu um problema e a Vivo “recomendou” não utilizá-lo mais.

    • Catena’s Beauty Atelier

      No da NET é tudo liberado.

      • Theo Queiroz

        Depende do modelo. Tenho um HUMAX que mal deixa mudar a senha do admin :/

        • Catena’s Beauty Atelier

          Eu uso um Mikrotik, mas o Thompson da NET deixa eu mexer em tudo que ele disponibiliza, que é bastante coisa

  • David Diniz

    Nah vou deixar queto isso.. Quem vai querer interceptar uma conexão Wi fi que está no décimo terceiro andar de um EMTA de operadora?

  • Marcus Araújo

    “O Google vai liberar um patch de segurança para o Android no dia 6 de novembro.”

    É, né…

    • Até lá vamos ver quantos milhões infectados.

      • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Não é vírus pra infectar…

  • “Filtrar o acesso ao Wi-Fi por endereços MAC, permitindo que somente determinados dispositivos se conectem à rede. Também é fácil burlar esse mecanismo (além de ser extremamente chato configurar isso).” É nada, é molín. Só assim eu me livro de um ou outro vizinho mala q pede pra conectar no meu wifi. Depois eles vem e me perguntam se minha internet tá boa e digo q não tá, kkkkkkkkk.

    • Eu escondo o SSID e para todo e qualquer efeito eu só tenho internet no celular via 4G.

      • Kodos Otros

        Mostra seu SSID aí.

  • André Almeida Martins

    gostei da musica.. =D

  • Para Windows, a atualização foi liberada para o Windows 7 também (assim como Server, RT, WP, etc)
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

  • doorspaulo

    Ano passado, fiquei tão fulo da vida com as interferências de wi-fi (morar em prédio é osso), que resolvi cabear a casa INTEIRA, com gigabit ainda. Agora, todo cômodo tem uma tomada RJ45 e, como utilizo desks (HTPC e o Master Race), o wi-fi fica restrito apenas aos smartphones, o que não tem muito o que fazer..

    • Alberto Prado

      Boa decisão. Você pode usar roteadores ou uns AP dual band e deixa habilitado somente os 5 Ghz.
      O 2.4 Ghz tá saturado, mas o 5 ainda tá livre pq os All-in-one da operadores são porqueira de mais pra usa essa faixa.

      • David Diniz

        O EMTA Arris TG1692a discorda da parte que o Wi fi é ruim

      • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Eu mesmo tenho que continuar usando 2.4 GHz pelo seguinte motivo: um dos meus vizinhos ao qual eu compartilho a Internet, usa só os celular mesmo (ele e a esposa). Ambos não suportam 5 GHz.

        Há momentos em que a casa enche e nem todo mundo possui um dispositivo com suporte a 5 GHz, e pra completar, meu roteador é um modelo de 2012 e não possui suporte para operar com as duas frequências ao mesmo tempo. :/

        • Alberto Prado

          Vc pode comprar um Tenda ou algum simples da Xiaomi por R$ 50 ou menos na Gearbest e deixa ele só pra 2.4GHz e deixa o seu só em 5GHz pra vc. De repente compensa por não causar dor de cabeça com a qualidade do sinal.

      • doorspaulo

        Eu pensei em fazer a migração para 5Ghz, mas como ficaram apenas os celulares no wi-fi, desisti.
        Para eles, está “bom o suficiente”.

  • Corvo

    Mais uma notícia da série “Complexo de insegurança”.

    Continuo com meu Windows 7 com atualizações automáticas desativadas, sem antivirus, WP2 velho de guerra que não pretendo atualizar firmware de P* nenhuma e minhas velhas senhas de anos sem mudar.

    #NãoFaçamIssoEmCasa

  • Catena’s Beauty Atelier

    Pelo que eu fiquei sabendo hoje, a Google fornece updates de segurança pelo Play Services. Então, teoricamente, todos os smartphones android receberão atualização corrigindo a falha no WPA2.

    • Catena’s Beauty Atelier

      Obs.: O recurso é o Dynamic Security Provider

    • Eduardo Sá

      Exato. Não é um problema do Kernel para que seja necessário uma atualização completa. Inclusive, a comunidade já liberou o “pano quente” pro Debian.

  • Alberto Carneiro

    A implementação falha do meu Linux acabou de ser corrigida; antes que eu terminasse de ler o artigo.

  • Antonio Eduardo

    Alguém me tira uma duvida.
    Para que o ataque aconteça o hacker precisa estar na mesma rede wifi?
    Se sim, as redes residenciais estão teoricamente seguras?

  • Francisco

    Posso ter passado batido, mas o uso do Radius seria algo interessante onde for possível aplicá-lo?

  • zoiuduu .

    Tem algum tipo de cabo desse aí wireless?

  • Vinicius Gava

    @paulohiga:disqus o link da linksys está errado.

  • Tiago Vidal de Souza

    A distro Ubuntu já recebeu update nos pacotes hostapd e wpasupplicant.

  • Comentário Mil Grau℗

    Meu modem/roteador não tem mais suporte oficial da TP-LINK e o último firmware foi lançado em 2015. Ou seja, to fudido!

  • Thiago Alvarenga

    quanto tá o metro do cabo de rede? preciso de uns 20
    e de um adaptador desses…

    https://uploads.disquscdn.com/images/3b41826257ae4db0a3a0e4715466c18ee6890513bd5ce12950222634dd48a04d.jpg

  • Cesar Augusto

    A última parte do artigo foi a melhor…. “Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema”. E ainda deixou uma dica de música calma… Com certeza resolverei meu problema tranquilamente…

  • falaram que tem virus ate em Cigarro Eletronico

  • Daniel R. Pinheiro

    Filtrar o acesso ao Wi-Fi por endereços MAC, permitindo que somente determinados dispositivos se conectem à rede. Também é fácil burlar esse mecanismo

    É também fácil pra um papangu que mal sabe descompactar um arquivo zipado? Uma grande parte das pessoas que mechem com tecnologia (to incluindo pessoas que passam o dia apenas nos apps do Zuckerberg), não sabem nem o que é MAC. Então sim, é seguro, justamente contra esse tipo de pessoa.

    Se eu tenho duas opções:

    1. Fico seguro contra leigos e inseguro contra experientes;
    2. Fico inseguro contra leigos e inseguro contra experientes.

    A primeira opção me parece mais lógica. Aliás, ela realmente é.

  • Tiago Celestino

    Dúvido que meu modem Thompson que a Net entregou vai ter atualização.

  • J_Eduardo

    O Que fazer quando o roteador de uso em casa é sagecom padrão da GVT, que por sinal virou vivo???