Nas publicações anteriores, cobri a segurança de redes com fios. Embora as redes com fios possam não ser tão “divertidas” como as sem fios, são fundamentais para pensar no endereço quando olhamos para proteger TODA a rede, não apenas a peça ou duas com que as pessoas veem e interagem. Por isso, vamos mudar para falar sobre segurança de redes sem fios.
Apresentamos o 802.11i
Muito antes de a Wi-Fi Alliance criar os termos de marketing do Wi-Fi 5, Wi-Fi 6 e Wi-Fi 6E, introduziram-nos outro termo de marketing, mesmo que a maioria não o percebesse na altura. Este termo de marketing é WPA ou Acesso Protegido Wi-Fi. WPA não é uma norma oficial IEEE; é uma certificação Wi-Fi Alliance. Embora WPA seja a pedra angular da segurança sem fios, não é uma norma ou emenda IEEE, mas depende fortemente da IEEE para funcionar.
A encriptação original usada no Wi-Fi foi a Privacidade Equivalente com Fios (WEP) e, esperamos, todos sabem e compreendem que o WEP foi comprometido no início dos 2000 com ferramentas como aircrack.ng e John the Ripper. A WEP contém algumas falhas fatais que permitem que seja hackeada com força bruta numa questão de segundos, o que levou a que fosse “oficialmente reformada” em 2004. Digo “oficialmente aposentado” porque enquanto os problemas com WEP ainda existem, há redes que podem ser encontradas na natureza que ainda usam WEP graças a dispositivos de clientes que não suportam nenhuma criptografia mais recente.
Em 2003, após o WEP ter sido comprometido, mas antes da IEEE poder introduzir oficialmente a emenda 802.11i, a Wi-Fi Alliance lançou WPA como uma solução stop-gap para redes que precisavam migrar do WEP, mas sem que o 802.11i fosse oficialmente ratificado, sempre foi destinado a ser nada mais do que uma solução stop-gap.
Concedido, foi um intervalo crítico, mas, no entanto, quando o 802.11i foi ratificado em 2004, foi “substituído” pelo Acesso Protegido Wi-Fi 2, ou pelo protocolo WPA2 com base na emenda 802.11i com a qual todos nós estamos familiarizados. Foi quando a WEP foi oficialmente reformada. WPA2 introduziu algumas melhorias que lhe permitiram servir o mundo Wi-Fi admiravelmente durante 14 anos antes de a sua substituição ser introduzida em 2018 pela WPA3.
Em publicações posteriores, vamos aprofundar um pouco mais as porcas e os parafusos de como estes protocolos funcionam e o que é necessário para os tornar funcionais, mas por enquanto, nesta introdução, quero abordar algumas informações básicas para que possamos consultá-las no futuro.
Limitações com gerações anteriores
WEP quebrável porque só utilizou uma chave durante o processo de encriptação e, se essa chave fosse capturada, era um processo simples apenas reutilizar essa mesma chave. Também foi muito limitado no número de bits utilizados na encriptação.
Lembre-se! Menos bits = menos complexidade para quebrar = tempos mais rápidos para quebrar a encriptação.
WPA introduziu um conceito conhecido como Temporal Key Integrity Protocol (TKIP) que impediu os atacantes de simplesmente copiar a chave que viram transmitida pelo ar. Há uma desvantagem da TKIP que não entrou em jogo até que 802.11n foi introduzido em 2007. Vê-se que o TKIP tem uma limitação que limita as velocidades Wi-Fi a 54 Mbps. Antes de 802.11n, 54 Mbps era o mais rápido que podia ir, por isso a limitação TKIP correspondia à limitação de taxa PHY. Sem problemas.
Felizmente para 802.11n, que facilmente excedeu 54 Mbps, WPA2 com encriptação AES-CCMP já estava fora. O AES-CCMP removeu esta limitação de velocidade, bem como melhorou o algoritmo de encriptação geral.
Por que estamos cobrindo criptografia de segurança mais antiga, você pergunta? Demasiadas vezes, no mundo Wi-Fi, pedimos-nos que apoie dispositivos que estão muito além do seu ponto de vista tecnológico, mas de um ponto de vista funcional, continuam a desempenhar o seu trabalho como esperado.
Um exemplo perfeito disto são os leitores de códigos de barras utilizados em ambientes de armazém. Estes dispositivos têm de ser robustos, ter baterias de longa duração e ler códigos de barras e introduzir um número relativamente simples e, em seguida, transmitir essas informações para um servidor. Mesmo que o ser humano possa digitalizar 1 tag por segundo, o requisito de rendimento para este dispositivo nem sequer é medido em Megabits por segundo; mesmo 802.11b é bom de uma perspetiva de velocidade.
Os designers e administradores de rede estão loucos por tentar manter o suporte para estes clientes legados, ao mesmo tempo que apoiam os gestores e os seus tablets e requisitos de aplicação mais recentes. Um dispositivo premia a robustez e a estabilidade, enquanto o outro procura velocidade e flexibilidade. E, mais importante ainda, para esta discussão, uma utiliza segurança muito antiga, enquanto outra está mais provavelmente próxima das capacidades de encriptação mais recentes.
WPA2 testado e testado
WPA2 tem sido o nosso amigo de confiança desde 2004 anos e, na sua maioria, tem-nos servido bem. Claro, houve um soluço aqui e ali (lembre-se KRACK?) mas quando implementado e gerido de forma responsável, foi e continua a ser muito seguro. Isto é especialmente verdade quando comparamos as duas versões de WPA2 – Pessoal e Empresarial – e analisamos WPA2-Enterprise. WPA2-Enterprise, utilizando um tipo EAP robusto (EAP sendo Extensible Authentication Protocol), continua a ser um método muito sólido para proteger redes sem fios. Construída com base nos protocolos 802.1X, WPA2-Enterprise com EAP-TLS é muito segura, mesmo hoje em dia.
Quando analisamos WPA2-Personal utilizando Chaves pré-partilhadas (PSK), começamos a ver alguns problemas que levaram à introdução do WPA3-SAE. WPA2-Personal é o tipo habitual de rede vista em implementações residenciais e em áreas públicas, como cafés, onde publicam a palavra-passe Wi-Fi num sinal numa área pública. Os problemas inerentes à forma como o WAP2-Personal constrói as chaves de encriptação necessitaram de ser movidos para um padrão como WPA3-SAE, que abordaremos em maior detalhe numa publicação posterior.
Se WPA2 é bom, porque é que precisávamos de WPA3?
Tal como acontece com todas as coisas na tecnologia, o progresso ajuda os atacantes de uma rede tanto quanto, se não mais do que, os operadores e utilizadores legítimos da rede. À medida que a velocidade do processador e a capacidade aumentavam para ajudar as pessoas a fazer mais nos seus dispositivos móveis, também tornava mais rápido aos atacantes forçar palavras-passe e credenciais capturadas na natureza. A computação em nuvem e as ligações à Internet omnipresentes tornaram mais rápido e fácil para as organizações alargarem a sua carga de trabalho, tal como para os atacantes.
O que costumava demorar meses a forçar a fissura pode agora ser feito em dias; o que costumava demorar semanas pode agora ser fissurado em horas, se não em minutos. Com a capacidade dos atacantes de recolher chaves de encriptação à vista e depois enviá-las para uma instância de computação em nuvem ou de volta para um servidor de craqueamento central para trabalhar, o custo de craquear uma chave de encriptação é muito mais barato do que costumava ser.
WPA3-SAE (Autenticação simultânea de iguais) introduziu novos métodos de encriptação mais semelhantes às normas 802.1X, tornando muito mais difícil quebrar na natureza ou offline usando um servidor de encriptação de força bruta personalizado para a tarefa em questão.
Em publicações subsequentes, vou abordar mais isto para ajudar as pessoas a compreender quais são as vulnerabilidades exatas, os riscos que pode estar a enfrentar e quaisquer obstáculos que possam estar no seu caminho para atualizar para as normas mais recentes.
Conclusão
Num mundo onde parece que nos sentimos pressionados por ter sempre o “mais recente e o maior”, alguns dos detalhes podem perder-se na confusão. Embora WPA3-Enterprise seja onde devemos estar a apontar, não há problema se nem todos os dispositivos acabarem nessa rede. Embora WPA2-Personal possa não ser o “melhor”, lembre-se de que, com algumas melhores práticas, pode ser suficiente. Embora o WEP possa ser rachado por um atacante competente numa questão de segundos, pode ser suficiente se for tudo o que o dispositivo suportará. Recomendaria FORTEMENTE a atualização para quase tudo para eliminar WEP, mas isso é uma conversa para um dia diferente.
Fique atento às próximas prestações, onde irei entrar em mais detalhes sobre os dois métodos principais de proteger redes sem fios hoje – Pessoal/SAE e Enterprise.
