Início » Antivírus e Segurança » Como se proteger contra a falha que deixou o Wi-Fi vulnerável

Como se proteger contra a falha que deixou o Wi-Fi vulnerável

PCs e smartphones já estão recebendo atualizações; também é importante configurar o seu roteador de forma mais segura

Paulo Higa Por

16 de outubro de 2017 é uma data importante para a segurança digital: 13 anos depois de ser lançado, o protocolo WPA2, que protege quase todas as redes modernas de Wi-Fi no mundo, teve sua primeira grande vulnerabilidade divulgada. As falhas permitem interceptar a conexão entre o dispositivo e o roteador, roubando informações sensíveis ou até mesmo injetando conteúdo malicioso. E agora?

É difícil entender a abrangência de uma falha tão grave, então vamos deixar mais claro: o ataque funciona contra todas as redes modernas de Wi-Fi protegidas. As vulnerabilidades estão no protocolo WPA2, não em implementações ou dispositivos específicos. Portanto, embora alguns sistemas operacionais possam ser mais afetados que outros, todos estão no mesmo barco.

Leia mais: Sua rede Wi-Fi protegida está oficialmente desprotegida

Como se proteger?

Embora a falha esteja no protocolo, é possível implementar um mecanismo de segurança adicional sem quebrar nenhuma compatibilidade com as redes existentes (não é necessário um "WPA3"). Por isso, algumas empresas já estão distribuindo correções:

  • A Microsoft já liberou atualizações para o Windows 7 e versões mais recentes. Se não há nenhuma instalação pendente no seu Windows Update, você já está livre do problema.
  • O Google vai liberar um patch de segurança para o Android no dia 6 de novembro. Quem possui um smartphone Pixel estará protegido; caso contrário, será necessário esperar a boa vontade das fabricantes.
  • As principais distribuições Linux estão liberando correções para o pacote wpa-supplicant. Instale-as. O Linux é mais afetado que os outros porque, além de estar vulnerável às brechas no protocolo WPA2, possui uma implementação falha.
  • A Apple corrigiu as vulnerabilidades nas atuais versões beta do iOS, macOS, tvOS e watchOS; elas deverão chegar em breve aos usuários.

Caso seu computador, smartphone ou outro dispositivo conectado esteja atualizado, isso deve evitar a interceptação de dados. No entanto, isso não protege todos os aparelhos conectados à rede: smartphones com Android e certos dispositivos inteligentes, como câmeras de segurança, talvez nunca recebam uma atualização. Então, também é importante instalar uma correção no seu roteador Wi-Fi.

Por enquanto, as correções liberadas se limitam a roteadores de nível corporativo, como os da Ubiquiti. Mas é bom verificar se a fabricante do seu roteador já tem um firmware novo para o seu modelo. Para facilitar, estes são os links para as páginas de suporte das principais marcas:

E se você não recebeu nenhuma atualização nem no seu dispositivo, nem no seu roteador? Nesse caso, há algumas soluções pouco triviais para usuários comuns:

  • Utilizar uma VPN para criptografar todo o tráfego entre o dispositivo e o roteador. No entanto, elas custam alguns dólares por mês. Boa parte das VPNs gratuitas são notavelmente inseguras ou vendem seus dados, e só piorariam a situação;
  • Deixar de se conectar por Wi-Fi e voltar ao cabo Ethernet. ¯\_(ツ)_/¯

O que NÃO protege?

Para um pouco e presta atenção nisso aqui, fazendo favor

Como a falha torna possível resetar uma segunda chave de criptografia que protege os dados de uma conexão Wi-Fi com WPA2, não adianta:

  • Trocar a senha da sua rede Wi-Fi, porque ela não é necessária para o ataque (no entanto, se você utiliza uma combinação fácil, é melhor gastar uns minutos agora para mudá-la);
  • Mudar o protocolo WPA2 para WEP ou WPA, porque o WEP é inseguro desde que eu nasci, e tanto o WPA quanto o WPA2 são afetados (junto com suas siglas PSK, AES, CCMP, GCMP, TKIP, PQP e afins);

Em sites de tecnologia mais especializados, como o TB, é comum que usuários avançados pensem que estão protegidos por adotarem algumas técnicas de segurança. Na verdade, como mostra o Decent Security, as seguintes práticas dão apenas uma falsa sensação de proteção:

O que não protege diretamente, mas é uma boa ideia

Apesar de a falha afetar o protocolo WPA2 como um todo, existem algumas tecnologias que tornam o problema ainda pior. Se você utiliza autenticação por TKIP, por exemplo, as vulnerabilidades permitem não apenas interceptar a conexão, mas também injetar conteúdo malicioso sem que você saiba.

Então, acesse a página de administração do seu roteador (normalmente http://192.168.1.1 ou http://10.1.1.1) e:

  • Desabilite a tecnologia WPS (Wi-Fi Protected Setup), que permite conectar automaticamente um dispositivo apertando um botão traseiro no roteador. Ela é considerada insegura há algum tempo;
  • Esta é especialmente para você que digitou “admin” para entrar na página de configuração: troque essa senha padrão de administração, porque códigos maliciosos em sites podem mudar silenciosamente as configurações do seu roteador;
  • Nas configurações de segurança do Wi-Fi (provavelmente onde você define o nome e a senha da rede), é possível escolher a tecnologia de criptografia, como AES (CCMP), TKIP ou ambas. A opção menos insegura é WPA2-PSK com AES (CCMP) forçado.

E agora?

Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. Eis uma música calma:

Mais sobre: , , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

J_Eduardo
O Que fazer quando o roteador de uso em casa é sagecom padrão da GVT, que por sinal virou vivo???
Tiago Celestino
Dúvido que meu modem Thompson que a Net entregou vai ter atualização.
Daniel R. Pinheiro
Filtrar o acesso ao Wi-Fi por endereços MAC, permitindo que somente determinados dispositivos se conectem à rede. Também é fácil burlar esse mecanismo

É também fácil pra um papangu que mal sabe descompactar um arquivo zipado? Uma grande parte das pessoas que mechem com tecnologia (to incluindo pessoas que passam o dia apenas nos apps do Zuckerberg), não sabem nem o que é MAC. Então sim, é seguro, justamente contra esse tipo de pessoa.

Se eu tenho duas opções:

1. Fico seguro contra leigos e inseguro contra experientes;
2. Fico inseguro contra leigos e inseguro contra experientes.

A primeira opção me parece mais lógica. Aliás, ela realmente é.
Pietra Sampaio
falaram que tem virus ate em Cigarro Eletronico
Cesar Augusto
A última parte do artigo foi a melhor.... "Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema". E ainda deixou uma dica de música calma... Com certeza resolverei meu problema tranquilamente...
Thiago Alvarenga
quanto tá o metro do cabo de rede? preciso de uns 20 e de um adaptador desses...https://uploads.disquscdn.c...
Diogo Buíque
é complicado. Já tentei utilizar um próprio, mas, um dia deu um problema e a Vivo "recomendou" não utilizá-lo mais.
Márcio Dantas
Sim, recomendo inclusive o LEDE que é uma evolução do OpenWRT, mas literalmente, igual. Segue URL do projeto: http://lede-project.org.Eu utilizei por algus anos o OpenWRT depois da indicação de um amigo (Leandro Figueira), e no início deste ano, atualizei os roteadores de casa com o LEDE. Ficou ótimo como sempre, utilizando recursos de DLNA, rede, VPN, e outros serviços tudo nele. Vale muito a pena.Sobre a correção ref. à vulnerabilidade krack nos roteadores com o firmware LEDE - https://forum.lede-project.....
Alberto Prado
Vc pode comprar um Tenda ou algum simples da Xiaomi por R$ 50 ou menos na Gearbest e deixa ele só pra 2.4GHz e deixa o seu só em 5GHz pra vc. De repente compensa por não causar dor de cabeça com a qualidade do sinal.
Humberto Machado
kkk eae mi router 3
Jailson
Comprar um compatível.
Comentário Mil Grau℗
Meu modem/roteador não tem mais suporte oficial da TP-LINK e o último firmware foi lançado em 2015. Ou seja, to fudido!
doorspaulo
A interface não é das melhores mesmo, mas depois que configura, até esquece que ele existe, pois simplesmente funciona.Agora, se não for usar QoS, vai nos outros mesmo.
Tiago Vidal de Souza
A distro Ubuntu já recebeu update nos pacotes hostapd e wpasupplicant.
Brenno Pereira Machado
Matei o meu por causa que subi um arquivo errado. Tive que comprar um novo... enquanto não volto pra minha cidade onde tenho usb ttl e as outras parafernalhas pra desbrickar o router. :SA única coisa boa é que agora tenho novo router com padrão ac :D (sim, já tá com firmware alternativo). ¯\_(ツ)_/¯
doorspaulo
Eu pensei em fazer a migração para 5Ghz, mas como ficaram apenas os celulares no wi-fi, desisti. Para eles, está "bom o suficiente".
Vinicius Gava
@paulohiga:disqus o link da linksys está errado.
Marcus Araújo
Em estabilidade de sinal, achei que melhorou um pouco.
Marcus Araújo
Em estabilidade de sinal, o meu equipamento já tinha um histórico no OpenWrt de baixo desempenho nas redes de 2,4 GHz, no LEDE desde a primeira versão 17.01 já estava bem melhor, e agora melhorou bastante (mas isso um caso bem específico, obviamente), mas achei que melhorou também na frequência de 5 GHz.
Eduardo Sá
Exato. Não é um problema do Kernel para que seja necessário uma atualização completa. Inclusive, a comunidade já liberou o "pano quente" pro Debian.
doorspaulo
Exatamente. Aqui, tenho um link de fibra da Copel, que divido entre o meu apartamento e outros dois.Depois de configurado, o controle de banda é perfeito, não falta internet pra ninguém, mesmo com uso de torrent, jogos e streaming.Só da um pouquinho de trabalho para criar as classes, mas depois, só alegria, pois nem travar não trava.A ultima vez que vi, estava com 98 dias de uptime, só zerou porque troquei de lugar e tive que desligar.
zoiuduu .
Tem algum tipo de cabo desse aí wireless?
Catena's Beauty Atelier
Eu uso um Mikrotik, mas o Thompson da NET deixa eu mexer em tudo que ele disponibiliza, que é bastante coisa
Theo Queiroz
Depende do modelo. Tenho um HUMAX que mal deixa mudar a senha do admin :/
Antonio Eduardo
Alguém me tira uma duvida.Para que o ataque aconteça o hacker precisa estar na mesma rede wifi?Se sim, as redes residenciais estão teoricamente seguras?
Alberto Carneiro
A implementação falha do meu Linux acabou de ser corrigida; antes que eu terminasse de ler o artigo.
🇧🇷 Imperialista Brasileiro 🇧🇷
Junto ao coro. Ainda uso aqueles d-link que a operadora manda e funciona bem quando quer...
Catena's Beauty Atelier
Obs.: O recurso é o Dynamic Security Provider
Catena's Beauty Atelier
No da NET é tudo liberado.
Catena's Beauty Atelier
Pelo que eu fiquei sabendo hoje, a Google fornece updates de segurança pelo Play Services. Então, teoricamente, todos os smartphones android receberão atualização corrigindo a falha no WPA2.
Corvo
Mais uma notícia da série "Complexo de insegurança".Continuo com meu Windows 7 com atualizações automáticas desativadas, sem antivirus, WPA2 velho de guerra que não pretendo atualizar firmware de P* nenhuma e minhas velhas senhas de anos sem mudar.#NãoFaçamIssoEmCasa
Marcus Araújo
Concordo que um usuário leigo (aliás, até alguns avançados) não atualiza nem uma firmware original dos D-Link da vida, dizer que o OpenWrt/LEDE/DD-Wrt é que é o problema por sua "alta complexidade" não é nem de longe a verdade... É certamente uma alternativa muito mais segura.Resumindo o que eu quero dizer: não adianta também a D-Link e cia lançarem atualizações de firmware, o usuário leigo só vai se livrar do problema se adquirir um equipamento novo/lançamento daqui a um tempo, e mesmo assim fará inconscientemente.
Trovalds
Interpretar o que? Que você não gosta de ter um comentário rebatido e sai fazendo um wall of text do tamanho da muralha da china? Só uma dica: nunca subestime um usuário leigo e uma equipe de TI com orçamento limitado.#pas
Kodos Otros
Mostra seu SSID aí.
Baidu feat MC Brinquedo
Eu escondo o SSID e para todo e qualquer efeito eu só tenho internet no celular via 4G.
Marcus Araújo
Eu percebi uma melhora na 17.01.3, que saiu esses dias.
Alberto Prado
Boa decisão. Você pode usar roteadores ou uns AP dual band e deixa habilitado somente os 5 Ghz.O 2.4 Ghz tá saturado, mas o 5 ainda tá livre pq os All-in-one da operadores são porqueira de mais pra usa essa faixa.
Vitor Mikaelson
Dependendo do roteador, não.
doorspaulo
Uso o Gargoyle aqui, recomendo demais!
doorspaulo
Ano passado, fiquei tão fulo da vida com as interferências de wi-fi (morar em prédio é osso), que resolvi cabear a casa INTEIRA, com gigabit ainda. Agora, todo cômodo tem uma tomada RJ45 e, como utilizo desks (HTPC e o Master Race), o wi-fi fica restrito apenas aos smartphones, o que não tem muito o que fazer..
Felipe Xavier
E o que fazer quando não se tem versões para o seu aparelho?
JulioTenorio
Nunca tinha procurado por isso, e gosto bastante de ter a opção de customizar. Vou tentar depois essa semana no meu roteador, e como vou comprar um novo em breve irei olhar pra algum que tenha suporte firmwares customizados.
Anderson Silva
Igualmente - uso Vivo Fibra
Vitor Mikaelson
Para Windows, a atualização foi liberada para o Windows 7 também (assim como Server, RT, WP, etc) https://portal.msrc.microso...
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Não é vírus pra infectar...
PPKX XD ?????????
Não é vírus pra infectar...
Mario Junior ?????????
Até porque toda a população brasileira SEQUER sabe o que diabos é WPA2 e está ciente dessa falha no protocolo... *insira um rolleyes aqui*

Não é querendo ser grosso, mas basta usar um pouco do cérebro para compreender o meu comentário inicial.
Zanac_Compile
Não sou leigo e já escovo bit no trabalho, não quero passar mais trabalho no meu roteador de casa e pipocar entre iniciativas que param, passar trabalho mantendo essas porcarias, quero vida social, o povo mantém smartphone com Android customizado, roteador customizado, caixinha media center customizada, tudo feito a mão que não usa mais nem pra bater uma broinha.... :D
André Almeida Martins
gostei da musica.. =D
Lucas Santos
Até lá vamos ver quantos milhões infectados.
Cristina Nascimento
"Filtrar o acesso ao Wi-Fi por endereços MAC, permitindo que somente determinados dispositivos se conectem à rede. Também é fácil burlar esse mecanismo (além de ser extremamente chato configurar isso)." É nada, é molín. Só assim eu me livro de um ou outro vizinho mala q pede pra conectar no meu wifi. Depois eles vem e me perguntam se minha internet tá boa e digo q não tá, kkkkkkkkk.
ʞǝʌǝɥs
taí uma sugestão de artigo pro TB...embora concorde com aquele usuário chato :) quase ninguém vai entender,e os que entenderem vão ter preguiça de fazer :)
Jose X.
taí uma sugestão de artigo pro TB...embora concorde com aquele usuário chato :) quase ninguém vai entender,e os que entenderem vão ter preguiça de fazer :)
Trovalds
Primeiro: o roteador tem que suportar. De cara cai no "roteador da operadora".
Segundo: você ACHA que manja dos paranauês, desliga o wi-fi do roteador da operadora e usa o seu. Com sorte ele não suporta nenhum firmware alternativo.
Terceiro: mesmo que seu roteador suporte, o processo não é exatamente fácil, as chances de transformar o roteador em "peso de papel" são grandes e ainda por cima você pode não conseguir se proteger igualmente da vulnerabilidade.

Fora tudo isso tem o "usuário leigo": não faz a mínima ideia disso tudo e se você tentar explicar ele vai olhar pra sua cara e fazer de conta que entendeu. Mas não vai mudar nada.
Marcus Araújo
"O Google vai liberar um patch de segurança para o Android no dia 6 de novembro."

É, né...
David Diniz
Que bom que toda população brasileira manja desses paranaue de instalar FW custom, me sinto mais tranquilo agora. Ufa!
Marcus Araújo
Recomendo fortemente, principalmente o LEDE porque é basicamente um fork do OpenWrt que está em pleno desenvolvimento enquanto o OpenWrt está parado.
Marcus Araújo
Hahahahah resumo da internet
Michael Loeps™
Alguém escondido nas escadas.
https://uploads.disquscdn.com/images/510a46cd06d84220cb442ccb2c726a76a34a65c24142664fdf9a949f6ddd2589.jpg
David Diniz
Nah vou deixar queto isso.. Quem vai querer interceptar uma conexão Wi fi que está no décimo terceiro andar de um EMTA de operadora?
Diogo Buíque
Não, o meu roteador da Vivo eu não consigo mudar nem o servidor de DNS... Acredito que as próprias operadoras deviam fazer a atualização do firmware dos mesmos (quando disponíveis).
Anakin
Quem usa roteadores das operadores, podem fazer essas alterações?
Junior Sousa
"Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema" https://uploads.disquscdn.com/images/bd54398af30dac0c4a7eb82e26f7300983c691be2676e4e481ead6818aa03920.png
Diogo Buíque
Melhor parte do texto foi o último parágrafo: "Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. " kkkkkk
Anderson Silva
Não só pela perspectiva de segurança mas também por adicionarem recursos que o fabricante (POR QUE RAIOS???) não adicionam ou adicionam porcamente aos seus equipamentos e que tais são competentes o suficiente - IPv6, por exemplo, cada vez sendo mais trivial/necessário e tem gente que ainda insiste em desativar :P
Paulo Higa
Uso e recomendo.

(Só não recomendei isso no texto porque matar um roteador assim é bem fácil.)
Mario Junior ?????????
E pra quem possui roteador com suporte a firmwares customizados, desinstale essas porcarias que vem de fábrica e instale um LEDE ou OpenWRT da vida.