Início » Antivírus e Segurança » Como se proteger contra a falha que deixou o Wi-Fi vulnerável

Como se proteger contra a falha que deixou o Wi-Fi vulnerável

PCs e smartphones já estão recebendo atualizações; também é importante configurar o seu roteador de forma mais segura

Paulo Higa Por

16 de outubro de 2017 é uma data importante para a segurança digital: 13 anos depois de ser lançado, o protocolo WPA2, que protege quase todas as redes modernas de Wi-Fi no mundo, teve sua primeira grande vulnerabilidade divulgada. As falhas permitem interceptar a conexão entre o dispositivo e o roteador, roubando informações sensíveis ou até mesmo injetando conteúdo malicioso. E agora?

É difícil entender a abrangência de uma falha tão grave, então vamos deixar mais claro: o ataque funciona contra todas as redes modernas de Wi-Fi protegidas. As vulnerabilidades estão no protocolo WPA2, não em implementações ou dispositivos específicos. Portanto, embora alguns sistemas operacionais possam ser mais afetados que outros, todos estão no mesmo barco.

Leia mais: Sua rede Wi-Fi protegida está oficialmente desprotegida

Como se proteger?

Embora a falha esteja no protocolo, é possível implementar um mecanismo de segurança adicional sem quebrar nenhuma compatibilidade com as redes existentes (não é necessário um “WPA3”). Por isso, algumas empresas já estão distribuindo correções:

  • A Microsoft já liberou atualizações para o Windows 7 e versões mais recentes. Se não há nenhuma instalação pendente no seu Windows Update, você já está livre do problema.
  • O Google vai liberar um patch de segurança para o Android no dia 6 de novembro. Quem possui um smartphone Pixel estará protegido; caso contrário, será necessário esperar a boa vontade das fabricantes.
  • As principais distribuições Linux estão liberando correções para o pacote wpa-supplicant. Instale-as. O Linux é mais afetado que os outros porque, além de estar vulnerável às brechas no protocolo WPA2, possui uma implementação falha.
  • A Apple corrigiu as vulnerabilidades nas atuais versões beta do iOS, macOS, tvOS e watchOS; elas deverão chegar em breve aos usuários.

Caso seu computador, smartphone ou outro dispositivo conectado esteja atualizado, isso deve evitar a interceptação de dados. No entanto, isso não protege todos os aparelhos conectados à rede: smartphones com Android e certos dispositivos inteligentes, como câmeras de segurança, talvez nunca recebam uma atualização. Então, também é importante instalar uma correção no seu roteador Wi-Fi.

Por enquanto, as correções liberadas se limitam a roteadores de nível corporativo, como os da Ubiquiti. Mas é bom verificar se a fabricante do seu roteador já tem um firmware novo para o seu modelo. Para facilitar, estes são os links para as páginas de suporte das principais marcas:

E se você não recebeu nenhuma atualização nem no seu dispositivo, nem no seu roteador? Nesse caso, há algumas soluções pouco triviais para usuários comuns:

  • Utilizar uma VPN para criptografar todo o tráfego entre o dispositivo e o roteador. No entanto, elas custam alguns dólares por mês. Boa parte das VPNs gratuitas são notavelmente inseguras ou vendem seus dados, e só piorariam a situação;
  • Deixar de se conectar por Wi-Fi e voltar ao cabo Ethernet. ¯\_(ツ)_/¯

O que NÃO protege?

Para um pouco e presta atenção nisso aqui, fazendo favor

Como a falha torna possível resetar uma segunda chave de criptografia que protege os dados de uma conexão Wi-Fi com WPA2, não adianta:

  • Trocar a senha da sua rede Wi-Fi, porque ela não é necessária para o ataque (no entanto, se você utiliza uma combinação fácil, é melhor gastar uns minutos agora para mudá-la);
  • Mudar o protocolo WPA2 para WEP ou WPA, porque o WEP é inseguro desde que eu nasci, e tanto o WPA quanto o WPA2 são afetados (junto com suas siglas PSK, AES, CCMP, GCMP, TKIP, PQP e afins);

Em sites de tecnologia mais especializados, como o TB, é comum que usuários avançados pensem que estão protegidos por adotarem algumas técnicas de segurança. Na verdade, como mostra o Decent Security, as seguintes práticas dão apenas uma falsa sensação de proteção:

O que não protege diretamente, mas é uma boa ideia

Apesar de a falha afetar o protocolo WPA2 como um todo, existem algumas tecnologias que tornam o problema ainda pior. Se você utiliza autenticação por TKIP, por exemplo, as vulnerabilidades permitem não apenas interceptar a conexão, mas também injetar conteúdo malicioso sem que você saiba.

Então, acesse a página de administração do seu roteador (normalmente http://192.168.1.1 ou http://10.1.1.1) e:

  • Desabilite a tecnologia WPS (Wi-Fi Protected Setup), que permite conectar automaticamente um dispositivo apertando um botão traseiro no roteador. Ela é considerada insegura há algum tempo;
  • Esta é especialmente para você que digitou “admin” para entrar na página de configuração: troque essa senha padrão de administração, porque códigos maliciosos em sites podem mudar silenciosamente as configurações do seu roteador;
  • Nas configurações de segurança do Wi-Fi (provavelmente onde você define o nome e a senha da rede), é possível escolher a tecnologia de criptografia, como AES (CCMP), TKIP ou ambas. A opção menos insegura é WPA2-PSK com AES (CCMP) forçado.

E agora?

Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema. Eis uma música calma:

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

J_Eduardo
O Que fazer quando o roteador de uso em casa é sagecom padrão da GVT, que por sinal virou vivo???
Tiago Celestino
Dúvido que meu modem Thompson que a Net entregou vai ter atualização.
Daniel R. Pinheiro
Filtrar o acesso ao Wi-Fi por endereços MAC, permitindo que somente determinados dispositivos se conectem à rede. Também é fácil burlar esse mecanismo
É também fácil pra um papangu que mal sabe descompactar um arquivo zipado? Uma grande parte das pessoas que mechem com tecnologia (to incluindo pessoas que passam o dia apenas nos apps do Zuckerberg), não sabem nem o que é MAC. Então sim, é seguro, justamente contra esse tipo de pessoa. Se eu tenho duas opções: 1. Fico seguro contra leigos e inseguro contra experientes; 2. Fico inseguro contra leigos e inseguro contra experientes. A primeira opção me parece mais lógica. Aliás, ela realmente é.
Pietra Sampaio
falaram que tem virus ate em Cigarro Eletronico
Cesar Augusto

A última parte do artigo foi a melhor.... "Siga as instruções e relaxe, porque ficar mais nervoso não vai resolver o seu problema". E ainda deixou uma dica de música calma... Com certeza resolverei meu problema tranquilamente...

Thiago Alvarenga

quanto tá o metro do cabo de rede? preciso de uns 20
e de um adaptador desses...

https://uploads.disquscdn.c...

Diogo Buíque

é complicado. Já tentei utilizar um próprio, mas, um dia deu um problema e a Vivo "recomendou" não utilizá-lo mais.

Márcio Dantas

Sim, recomendo inclusive o LEDE que é uma evolução do OpenWRT, mas literalmente, igual. Segue URL do projeto: http://lede-project.org.

Eu utilizei por algus anos o OpenWRT depois da indicação de um amigo (Leandro Figueira), e no início deste ano, atualizei os roteadores de casa com o LEDE. Ficou ótimo como sempre, utilizando recursos de DLNA, rede, VPN, e outros serviços tudo nele. Vale muito a pena.

Sobre a correção ref. à vulnerabilidade krack nos roteadores com o firmware LEDE - https://forum.lede-project.....

Alberto Prado

Vc pode comprar um Tenda ou algum simples da Xiaomi por R$ 50 ou menos na Gearbest e deixa ele só pra 2.4GHz e deixa o seu só em 5GHz pra vc. De repente compensa por não causar dor de cabeça com a qualidade do sinal.

Humberto Machado

kkk eae mi router 3

Jailson

Comprar um compatível.

Comentário Mil Grau℗

Meu modem/roteador não tem mais suporte oficial da TP-LINK e o último firmware foi lançado em 2015. Ou seja, to fudido!

doorspaulo

A interface não é das melhores mesmo, mas depois que configura, até esquece que ele existe, pois simplesmente funciona.

Agora, se não for usar QoS, vai nos outros mesmo.

Tiago Vidal de Souza

A distro Ubuntu já recebeu update nos pacotes hostapd e wpasupplicant.

Brenno Pereira Machado

Matei o meu por causa que subi um arquivo errado. Tive que comprar um novo... enquanto não volto pra minha cidade onde tenho usb ttl e as outras parafernalhas pra desbrickar o router. :S
A única coisa boa é que agora tenho novo router com padrão ac :D (sim, já tá com firmware alternativo). ¯\_(ツ)_/¯

Exibir mais comentários