Segurança sem fios com frases-passe

Utilizar uma frase de segurança para obter acesso a uma rede sem fios e, em seguida, construir as chaves de encriptação para proteger essa ligação, é aproximadamente tão antigo como 802,11. Originalmente introduzida como Protocolo de equivalência com fios, ou WEP, a versão mais recente é WPA3-SAE, ou Autenticação simultânea de iguais. Embora muitos dos processos e tecnologias de fundo tenham mudado, o método e a facilidade de utilização para o utilizador final não mudaram muito; isto torna-o facilmente o método mais utilizado de todas as técnicas em utilização para garantir uma ligação Wi-Fi.

A frase de acesso

Usar uma frase de acesso, ou palavra-passe, para aceder a algo é quase tão antigo como os próprios humanos. Diga a palavra secreta ou sequência de palavras à pessoa certa e o acesso é concedido. Portanto, é muito fácil para as pessoas entenderem e usarem a versão de senha de segurança quando esses tipos de redes são descobertos na natureza.

Barra lateral muito rápida aqui... A frase-passe que está a ser discutida aqui não é a mesma que qualquer outra coisa que seja introduzida num portal cativo. Portais cativos não são uma ferramenta de segurança. Nunca foram e nunca serão. O que está a ser discutido aqui são frases de acesso que são usadas para encriptar a ligação entre o cliente e o AP, não uma barreira para aceder à Internet.

A encriptação original utilizada no Wi-Fi foi WEP. Esperamos que todos saibam e compreendam que a WEP foi comprometida no início dos 2000 com ferramentas como aircrack.ng e John the Ripper. A WEP contém algumas falhas fatais que permitem que seja alvo de ataques de força bruta numa questão de segundos, o que a levou a ser “oficialmente reformada” em 2004. Digo “oficialmente aposentado” porque, enquanto ainda existem os problemas com WEP, existem redes que podem ser encontradas em uso hoje que ainda utilizam WEP graças a dispositivos de clientes que não suportam nenhuma criptografia mais recente.

Em 2003, depois de o WEP ter sido comprometido, mas antes de o IEEE ter sido capaz de introduzir oficialmente a emenda 802.11i, a Wi-Fi Alliance lançou WPA como uma solução stop-gap para redes que precisavam migrar do WEP antes do 802.11i ser ratificado e WPA2 lançado. Concedido, foi um ponto crítico, mas, no entanto, quando o 802.11i foi ratificado em 2004, foi “substituído” pelo Acesso Protegido Wi-Fi 2, ou pelo protocolo WPA2 com o qual todos nós estamos agora familiarizados.

WPA2-Personal

O WEP foi facilmente craqueado porque só utilizou uma chave durante o processo de encriptação e, se essa chave fosse capturada, era um processo simples apenas reutilizar essa mesma chave. WEP também foi muito limitado no número de bits usados na criptografia. Como regra geral, menos bits = menos complexidade para quebrar = tempos mais rápidos para quebrar a encriptação.

Felizmente, com o 802.11i, temos a encriptação WPA2 com AES-CCMP. O AES-CCMP melhorou o algoritmo de criptografia geral, incluindo o número de bits usados na criptografia. Mais bits = mais complexidade para quebrar = tempos mais longos para quebrar a encriptação.

Mas, como em tudo, há um equilíbrio no Wi-Fi. Não recebemos nada gratuitamente. Os dispositivos mais antigos valorizam a robustez e a estabilidade, enquanto os dispositivos mais recentes procuram velocidade e flexibilidade. Preso no meio está o desejo de garantir que mantemos as nossas ligações e dados seguros, mesmo que alguns dos dispositivos mais críticos na nossa rede nem sempre suportem a maior e mais recente segurança.

Tentar operar esses dispositivos antigos e novos no mesmo SSID pode loucos para qualquer administrador, portanto, tudo o que eles podem fazer para alcançar o ato de equilíbrio de manter o funcionamento antigo e o novo provavelmente acontecerá, incluindo ter diferentes SSIDs no mesmo rádio para suportar os diferentes recursos de segurança.

Agora, WPA2 tem sido o nosso amigo de confiança desde 2004 anos e, na sua maioria, tem-nos servido bem. Claro, houve um soluço aqui e ali (lembre-se KRACK?) mas quando implementado e gerido de forma responsável, era e continua a ser muito seguro. No entanto, quando os investigadores examinaram WPA2-PSK em detalhe, descobriram alguns problemas com a forma como constrói as chaves de encriptação.

Além disso, foi por volta desta altura que as pessoas perceberam que WPA2 estava ausente há 14 anos e provavelmente estava na altura de uma atualização. Esta atualização ocorreu em 2018 sob a forma de WPA3.

Apresentação do WPA3-SAE

Tal como acontece com todas as coisas da tecnologia, as inovações ajudam tanto os atacantes de uma rede, se não mais do que os operadores de rede e utilizadores legítimos. À medida que a velocidade do processador e a capacidade aumentavam para ajudar as pessoas a fazer mais nos seus dispositivos móveis, também tornava mais rápido aos atacantes forçar palavras-passe e credenciais capturadas na natureza. A computação em nuvem e as ligações omnipresentes à Internet tornaram mais rápido e fácil para as organizações distribuir a sua carga de trabalho, o mesmo que para os atacantes.

O que costumava demorar meses a atacar com força bruta pode agora ser feito em dias; o que costumava demorar semanas pode agora ser rachado em horas, se não em minutos. Com a capacidade dos atacantes de recolher chaves de encriptação de todo o lado e depois enviá-las para uma instância de computação em nuvem ou de volta para um servidor de craqueamento central para trabalhar, o custo de cravar uma chave de encriptação é muito mais barato do que costumava ser.

WPA3-SAE (Autenticação simultânea de iguais) introduziu novos métodos de encriptação semelhantes aos utilizados no 802.1X, tornando muito mais difícil quebrar na natureza ou offline utilizando um servidor de encriptação de força bruta personalizado para a tarefa em questão. A única coisa que não mudou é que WPA3-SAE ainda usa uma palavra-passe fornecida pelos operadores de rede ao utilizador final, tal como WPA2-Personal, WPA e até WEP. Embora a encriptação de back-end seja totalmente diferente, para os utilizadores finais o processo ainda é o mesmo, apenas mais seguro devido a alguns processos realmente técnicos que não abordaremos aqui.

Ainda não queremos partilhar esta palavra-passe com todos os que conhecemos na rua, mas por enquanto, WPA3-SAE usa algo conhecido como Criptografia de Curva Elíptica para gerar as chaves de encriptação sem precisar de enviar qualquer parte das chaves pelo ar que os atacantes podem capturar e depois fazer engenharia inversa. E, por enquanto, isto é algo que é impossível para os atacantes quebrarem. No entanto, tal como nas gerações anteriores, nem todos os dispositivos atuais suportam WPA3, pelo que ainda temos o nosso ato de equilíbrio de antes.

Conclusão

Num mundo onde parece que nos sentimos pressionados por ter sempre o “mais recente e o maior”, alguns dos detalhes podem perder-se na confusão. Embora WPA2/3-Enterprise seja onde devemos estar a apontar, não há problema se nem todos os dispositivos acabarem nessa rede. Com WPA3-SAE, temos um método de segurança/encriptação baseado em palavra-passe que é comparável à versão Enterprise, assumindo que as pessoas não estão a partilhar essas informações nas redes sociais, quer acidentalmente quer de propósito.

Embora WPA2-Personal possa não ser o “melhor”, lembre-se de que, com algumas boas práticas implementadas (como a utilização de RUCKUS DPSK), a solução combinada ainda é realmente segura. Embora o WEP possa ser craqueado por um atacante competente em questão de segundos, torna-se obrigatório que todos os dispositivos críticos na rede suportem, embora eu recomende FORTEMENTE atualizar para quase tudo para sair do WEP. Mas isso é uma conversa para um dia diferente.

Embora a segurança possa, por vezes, ser avassaladora para pensar e compreender, pode ter a certeza de que as Redes RUCKUS estão a trabalhar arduamente para permitir que a sua organização percorra a linha entre manter os dispositivos necessários na rede, evitando que dispositivos indesejados se juntem e permitindo que os administradores monitorizem e façam a gestão da rede ao mesmo tempo. Para obter mais informações sobre como o RUCKUS pode ajudar, consulte outros blogues de segurança, as capacidades de segmentação de rede do RUCKUS, as capacidades de integração e autenticação seguras e o Gateway WAN do RUCKUS (RWG).