Início » Antivírus e Segurança » Como se proteger contra a falha que deixou o Wi-Fi vulnerável

Como se proteger contra a falha que deixou o Wi-Fi vulnerável

PCs e smartphones já estão recebendo atualizações; também é importante configurar o seu roteador de forma mais segura

Paulo Higa Por

16 de outubro de 2017 é uma data importante para a segurança digital: 13 anos depois de ser lançado, o protocolo WPA2, que protege quase todas as redes modernas de Wi-Fi no mundo, teve sua primeira grande vulnerabilidade divulgada. As falhas permitem interceptar a conexão entre o dispositivo e o roteador, roubando informações sensíveis ou até mesmo injetando conteúdo malicioso. E agora?

É difícil entender a abrangência de uma falha tão grave, então vamos deixar mais claro: o ataque funciona contra todas as redes modernas de Wi-Fi protegidas. As vulnerabilidades estão no protocolo WPA2, não em implementações ou dispositivos específicos. Portanto, embora alguns sistemas operacionais possam ser mais afetados que outros, todos estão no mesmo barco.

Leia mais: Sua rede Wi-Fi protegida está oficialmente desprotegida

Como se proteger?

Embora a falha esteja no protocolo, é possível implementar um mecanismo de segurança adicional sem quebrar nenhuma compatibilidade com as redes existentes (não é necessário um "WPA3"). Por isso, algumas empresas já estão distribuindo correções:

  • A Microsoft já liberou atualizações para o Windows 7 e versões mais recentes. Se não há nenhuma instalação pendente no seu Windows Update, você já está livre do problema.
  • O Google vai liberar um patch de segurança para o Android no dia 6 de novembro. Quem possui um smartphone Pixel estará protegido; caso contrário, será necessário esperar a boa vontade das fabricantes.
  • As principais distribuições Linux estão liberando correções para o pacote wpa-supplicant. Instale-as. O Linux é mais afetado que os outros porque, além de estar vulnerável às brechas no protocolo WPA2, possui uma implementação falha.
  • A Apple corrigiu as vulnerabilidades nas atuais versões beta do iOS, macOS, tvOS e watchOS; elas deverão chegar em breve aos usuários.

Caso seu computador, smartphone ou outro dispositivo conectado esteja atualizado, isso deve evitar a interceptação de dados. No entanto, isso não protege todos os aparelhos conectados à rede: smartphones com Android e certos dispositivos inteligentes, como câmeras de segurança, talvez nunca recebam uma atualização. Então, também é importante instalar uma correção no seu roteador Wi-Fi.

Por enquanto, as correções liberadas se limitam a roteadores de nível corporativo, como os da Ubiquiti. Mas é bom verificar se a fabricante do seu roteador já tem um firmware novo para o seu modelo. Para facilitar, estes são os links para as páginas de suporte das principais marcas:

E se você não recebeu nenhuma atualização nem no seu dispositivo, nem no seu roteador? Nesse caso, há algumas soluções pouco triviais para usuários comuns:

  • Utilizar uma VPN para criptografar todo o tráfego entre o dispositivo e o roteador. No entanto, elas custam alguns dólares por mês. Boa parte das VPNs gratuitas são notavelmente inseguras ou vendem seus dados, e só piorariam a situação;
  • Deixar de se conectar por Wi-Fi e voltar ao cabo Ethernet. ¯\_(ツ)_/¯

O que NÃO protege?

Para um pouco e presta atenção nisso aqui, fazendo favor

Como a falha torna possível resetar uma segunda chave de criptografia que protege os dados de uma conexão Wi-Fi com WPA2, não adianta:

  • Trocar a senha da sua rede Wi-Fi, porque ela não é necessária para o ataque (no entanto, se você utiliza uma combinação fácil, é melhor gastar uns minutos agora para mudá-la);
  • Mudar o protocolo WPA2 para WEP ou WPA, porque o WEP é inseguro desde que eu nasci, e tanto o WPA quanto o WPA2 são afetados (junto com suas siglas PSK, AES, CCMP, GCMP, TKIP, PQP e afins);

Em sites de tecnologia mais especializados, como o TB, é comum que usuários avançados pensem que estão protegidos por adotarem algumas técnicas de segurança. Na verdade, como mostra o Decent Security, as seguintes práticas dão apenas uma falsa sensação de proteção:

O que não protege diretamente, mas é uma boa ideia

Apesar de a falha afetar o protocolo WPA2 como um todo, existem algumas tecnologias que tornam o problema ainda pior. Se você utiliza autenticação por TKIP, por exemplo, as vulnerabilidades permitem não apenas interceptar a conexão, mas também injetar conteúdo malicioso sem que você saiba.

Então, acesse a página de administração do seu roteador (normalmente http://192.168.1.1 ou http://10.1.1.1) e:

  • Desabilite a tecnologia WPS (Wi-Fi Protected Setup), que permite conectar automaticamente um dispositivo apertando um botão traseiro no roteador. Ela é considerada insegura há algum tempo;
  • Esta é especialmente para você que digitou “admin” para entrar na página de configuração: troque essa senha padrão de administração, porque códigos maliciosos em sites podem mudar silenciosamente as configurações do seu roteador;
  • Nas configurações de segurança do Wi-Fi (provavelmente onde você define o nome e a senha da rede), é possível escolher a tecnologia de criptografia, como AES (CCMP), TKIP ou ambas. A opção menos insegura é WPA2-PSK com AES (CCMP) forçado.

E agora?

Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. Eis uma música calma:

Mais sobre: , , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

J_Eduardo
O Que fazer quando o roteador de uso em casa é sagecom padrão da GVT, que por sinal virou vivo???
Tiago Celestino
Dúvido que meu modem Thompson que a Net entregou vai ter atualização.
Daniel R. Pinheiro
Filtrar o acesso ao Wi-Fi por endereços MAC, permitindo que somente determinados dispositivos se conectem à rede. Também é fácil burlar esse mecanismo
É também fácil pra um papangu que mal sabe descompactar um arquivo zipado? Uma grande parte das pessoas que mechem com tecnologia (to incluindo pessoas que passam o dia apenas nos apps do Zuckerberg), não sabem nem o que é MAC. Então sim, é seguro, justamente contra esse tipo de pessoa. Se eu tenho duas opções: 1. Fico seguro contra leigos e inseguro contra experientes; 2. Fico inseguro contra leigos e inseguro contra experientes. A primeira opção me parece mais lógica. Aliás, ela realmente é.
Pietra Sampaio
falaram que tem virus ate em Cigarro Eletronico
PPKX XD ?????????
Não é vírus pra infectar...
Mario Junior ?????????
Até porque toda a população brasileira SEQUER sabe o que diabos é WPA2 e está ciente dessa falha no protocolo... *insira um rolleyes aqui* Não é querendo ser grosso, mas basta usar um pouco do cérebro para compreender o meu comentário inicial.
Zanac_Compile
Não sou leigo e já escovo bit no trabalho, não quero passar mais trabalho no meu roteador de casa e pipocar entre iniciativas que param, passar trabalho mantendo essas porcarias, quero vida social, o povo mantém smartphone com Android customizado, roteador customizado, caixinha media center customizada, tudo feito a mão que não usa mais nem pra bater uma broinha.... :D
André Almeida Martins
gostei da musica.. =D
Lucas Santos
Até lá vamos ver quantos milhões infectados.
Cristina Nascimento
"Filtrar o acesso ao Wi-Fi por endereços MAC, permitindo que somente determinados dispositivos se conectem à rede. Também é fácil burlar esse mecanismo (além de ser extremamente chato configurar isso)." É nada, é molín. Só assim eu me livro de um ou outro vizinho mala q pede pra conectar no meu wifi. Depois eles vem e me perguntam se minha internet tá boa e digo q não tá, kkkkkkkkk.
Jose X.
taí uma sugestão de artigo pro TB...embora concorde com aquele usuário chato :) quase ninguém vai entender,e os que entenderem vão ter preguiça de fazer :)
Trovalds
Primeiro: o roteador tem que suportar. De cara cai no "roteador da operadora". Segundo: você ACHA que manja dos paranauês, desliga o wi-fi do roteador da operadora e usa o seu. Com sorte ele não suporta nenhum firmware alternativo. Terceiro: mesmo que seu roteador suporte, o processo não é exatamente fácil, as chances de transformar o roteador em "peso de papel" são grandes e ainda por cima você pode não conseguir se proteger igualmente da vulnerabilidade. Fora tudo isso tem o "usuário leigo": não faz a mínima ideia disso tudo e se você tentar explicar ele vai olhar pra sua cara e fazer de conta que entendeu. Mas não vai mudar nada.
Marcus Araújo
"O Google vai liberar um patch de segurança para o Android no dia 6 de novembro." É, né...
David Diniz
Que bom que toda população brasileira manja desses paranaue de instalar FW custom, me sinto mais tranquilo agora. Ufa!
Marcus Araújo
Recomendo fortemente, principalmente o LEDE porque é basicamente um fork do OpenWrt que está em pleno desenvolvimento enquanto o OpenWrt está parado.
Marcus Araújo
Hahahahah resumo da internet
Michael Loeps™
Alguém escondido nas escadas. https://uploads.disquscdn.com/images/510a46cd06d84220cb442ccb2c726a76a34a65c24142664fdf9a949f6ddd2589.jpg
David Diniz
Nah vou deixar queto isso.. Quem vai querer interceptar uma conexão Wi fi que está no décimo terceiro andar de um EMTA de operadora?
Diogo Buíque
Não, o meu roteador da Vivo eu não consigo mudar nem o servidor de DNS... Acredito que as próprias operadoras deviam fazer a atualização do firmware dos mesmos (quando disponíveis).
Anakin
Quem usa roteadores das operadores, podem fazer essas alterações?
Junior Sousa
"Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema" https://uploads.disquscdn.com/images/bd54398af30dac0c4a7eb82e26f7300983c691be2676e4e481ead6818aa03920.png
Diogo Buíque
Melhor parte do texto foi o último parágrafo: "Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. " kkkkkk
Anderson Silva
Não só pela perspectiva de segurança mas também por adicionarem recursos que o fabricante (POR QUE RAIOS???) não adicionam ou adicionam porcamente aos seus equipamentos e que tais são competentes o suficiente - IPv6, por exemplo, cada vez sendo mais trivial/necessário e tem gente que ainda insiste em desativar :P
Paulo Higa
Uso e recomendo. (Só não recomendei isso no texto porque matar um roteador assim é bem fácil.)
Mario Junior ?????????
E pra quem possui roteador com suporte a firmwares customizados, desinstale essas porcarias que vem de fábrica e instale um LEDE ou OpenWRT da vida.