Dicas para proteger sua rede no auge do KRACK

KRACK

A vulnerabilidade KRACK recente almeja o link entre seu dispositivo eo ponto de acesso Wi-Fi, que provavelmente é um roteador em sua casa, seu escritório ou seu café favorito. Essas dicas podem ajudar a melhorar a segurança de sua conexão.

vulnerabilidade dos ataques KRACK tem agora mais de 48 horas e foi discutida em detalhes em vários sites relacionados à tecnologia , por isso não repito os detalhes técnicos do ataque aqui. Para resumir:

  • Uma falha no protocolo de handshake sem fio WPA2 permite que os atacantes cheirem ou manipulem o tráfego entre seu dispositivo e o ponto de acesso wi-fi.
  • É particularmente ruim para dispositivos Linux e Android, devido a formulação ambígua no padrão WPA2 ou a mal-entendidos durante sua implementação. Efetivamente, até que o SO subjacente seja corrigido, a vulnerabilidade permite que os atacantes forçam todo o tráfego sem fio a acontecer sem qualquer criptografia.
  • Esta vulnerabilidade pode ser corrigida no cliente, então o céu não caiu e o padrão de criptografia sem fio WPA2 não está obsoleto no mesmo sentido em que o padrão WEP é (não “conserta” esse problema mudando para o WEP).
  • As distribuições de Linux mais populares já estão sendo enviadas atualizações que corrigem essa vulnerabilidade no cliente, então aplique as suas atualizações de forma adequada.
  • O Android será correções de remessa para esta vulnerabilidade muito em breve. Se o seu dispositivo estiver recebendo correções de segurança do Android, você receberá uma correção antes. Se o seu dispositivo já não receber essas atualizações, essa vulnerabilidade específica é apenas uma outra razão pela qual você deve parar de usar dispositivos Android antigos e não suportados.

Dito isto, da minha perspectiva, o Wi-Fi é apenas um outro link na cadeia de infra-estrutura não confiável e, em geral, devemos evitar tratá-lo como um canal de comunicação confiável.

Wi-Fi como infra-estrutura não confiável

Se você está lendo este artigo de seu laptop ou seu dispositivo móvel, então sua cadeia de comunicação provavelmente se parece com algo assim:

Blank Network Diagram - Basics.png

O ataque KRACK visa o link entre o seu dispositivo eo ponto de acesso Wi-Fi, que provavelmente é um roteador em sua casa, seu escritório, sua biblioteca de bairro ou seu café favorito.

Diagrama de rede em branco - Onde Kracks acontece (1) .png

Na realidade, esse diagrama deve ser semelhante a este:

Diagrama de rede em branco - Em todo o lado (1) .png

Wi-Fi é apenas o primeiro link em uma longa cadeia de comunicação que acontece por canais que não devemos confiar. Se eu adivinhe, o roteador de Wi-Fi que você está usando provavelmente não recebeu uma atualização de segurança desde o dia em que foi montado. Pior ainda, provavelmente veio com credenciais administrativas padrão ou fácil de adivinhar, que nunca foram alteradas. A menos que você configure e configure esse roteador e você se lembre da última vez que você atualizou o firmware, você deve assumir que agora ele é controlado por outra pessoa e não pode ser confiável.

Passando o roteador Wi-Fi, entramos na zona de desconfiança geral da infra-estrutura em geral – dependendo dos níveis gerais de paranóia. Aqui temos fornecedores de internet e provedores, muitos dos quais foram capturados monitorando, alterando, analisando e vendendo nosso tráfego pessoal na tentativa de ganhar dinheiro extra com nossos hábitos de navegação. Muitas vezes, seus próprios planos de parcelamento de segurança deixam muito a desejar e acabam expondo nosso tráfego a olhos maliciosos.

Na Internet em geral, temos que nos preocupar com potentes atores de nível estadual com capacidade de manipular protocolos de rede principais para realizar programas de vigilância em massa ou executar filtragem de tráfego a nível do estado.

Protocolo HTTPS

Felizmente, temos uma solução para o problema da comunicação segura sobre o meio não confiável, e usamos todos os dias – o protocolo HTTPS criptografa nosso tráfego na Internet ponto a ponto e garante que podemos confiar em que os sites com os quais nos comunicamos são quem eles dizem que são.

As iniciativas da Fundação Linux, como o Let’s Encrypt, tornam mais fácil para os proprietários de sites em todo o mundo oferecer criptografia de ponta a ponta que ajuda a garantir que qualquer equipamento comprometido entre nossos dispositivos pessoais e os sites que estamos tentando acessar não importa.

Diagrama de rede em branco - HTTPS (1) .png

Bem … quase não importa.

DNS continua a ser um problema

Mesmo que possamos usar o HTTPS com segurança para criar um canal de comunicação confiável, ainda existe a chance de um invasor com acesso ao nosso roteador Wi-Fi ou a alguém que possa alterar nosso tráfego Wi-Fi – como é o caso do KRACK – pode nos engana em se comunicar com o site errado. Eles podem fazê-lo aproveitando o fato de que ainda confiamos muito no DNS – um protocolo não criptografado, facilmente falsificado da década de 1980 .

Diagrama de rede em branco - LOL DNS.png

DNS é um sistema que traduz nomes de domínio amigáveis ​​para humanos como “linux.com” em endereços IP que os computadores podem usar para se comunicar uns com os outros. Para traduzir um nome de domínio para um endereço IP, o computador consultaria o software resolver – geralmente executado no roteador Wi-Fi ou no próprio sistema. O resolvedor então consultaria uma rede distribuída de servidores de nomes “raiz” para descobrir qual sistema na Internet tem o que é chamado de informações “autoritativas” sobre o endereço IP que corresponde ao nome de domínio “linux.com”.

O problema é que toda essa comunicação ocorre por meio de protocolos não-autenticados, facilmente falsificados e de texto claro, e as respostas podem ser facilmente alteradas por atacantes para que a consulta devolva dados incorretos. Se alguém conseguir esconder uma consulta DNS e retornar o endereço IP errado, eles podem manipular onde o nosso sistema acaba enviando a solicitação HTTP.

Felizmente, o HTTPS tem muita proteção integrada para garantir que não seja fácil para alguém fingir ser outro site. O certificado TLS no servidor mal-intencionado deve corresponder ao nome DNS que você solicita e ser emitido por uma Autoridade de Certificação respeitável reconhecida pelo seu navegador. Se esse não for o caso, o navegador mostrará um grande aviso de que o host com o qual você está tentando se comunicar não é quem eles dizem que são. Se você vir esse aviso, seja extremamente cauteloso antes de optar por substituí-lo, pois você pode estar afastando seus segredos para as pessoas que os usarão contra você.

Se os atacantes tiverem o controle total do roteador, eles podem impedir sua conexão de usar o HTTPS em primeiro lugar, interceptando a resposta do servidor que instrui seu navegador a configurar uma conexão segura (isto é chamado de ” ataque de tira SSL ” ). Para ajudar a protegê-lo desse ataque, os sites podem adicionar um cabeçalho de resposta especial dizendo ao seu navegador que use sempre HTTPS quando se comunicar com eles no futuro, mas isso só funciona após sua primeira visita. Para alguns sites muito populares, os navegadores agora incluem uma lista codificada de domínios que sempre devem ser acessados ​​através do HTTPS mesmo na primeira visita.

A solução para a falsificação de DNS existe e é chamada DNSSEC , mas tem adotado uma adoção muito lenta devido a obstáculos importantes – reais e percebidos. Até que DNSSEC seja usado universalmente, devemos assumir que as informações de DNS que recebemos não podem ser totalmente confiáveis.

Use VPN para resolver o problema de segurança da última milha

Então, se você não pode confiar no Wi-Fi – e / ou o roteador sem fio no porão que provavelmente é mais velho do que a maioria dos seus animais de estimação – o que pode ser feito para garantir a integridade da comunicação “última milha”, a única Isso acontece entre o seu dispositivo e a Internet em geral?

Uma solução aceitável é usar um provedor VPN respeitável que estabeleça um link de comunicação seguro entre o seu sistema e sua infraestrutura. A esperança aqui é que eles prestam mais atenção à segurança do que o seu fornecedor de roteadores e seu provedor de Internet imediato, de modo que eles estão em melhor posição para garantir que seu tráfego esteja protegido contra o cheiro ou a falsificação de festas maliciosas. O uso da VPN em todas as suas estações de trabalho e dispositivos móveis garante que vulnerabilidades como ataques KRACK ou roteadores inseguros não afetem a integridade de sua comunicação com o mundo exterior.

Diagrama de rede em branco - VPN.png

A importante ressalva aqui é que, ao escolher um provedor VPN, você deve estar razoavelmente seguro de sua confiabilidade; Caso contrário, você está simplesmente negociando um conjunto de atores maliciosos para outro. Fique longe de qualquer coisa que ofereça “VPN grátis”, pois provavelmente estão ganhando dinheiro espionando você e vendendo seu tráfego para empresas de marketing. Este site é um bom recurso que permite que você compare vários provedores de VPN para ver como eles se empilham uns contra os outros.

Nem todos os seus dispositivos precisam ter uma VPN instalada neles, mas as que você usa diariamente para acessar os sites com suas informações pessoais privadas – e especialmente qualquer coisa com acesso ao seu dinheiro e sua identidade (governo, sites bancários, redes sociais, etc.) devem ser protegidos. A VPN não é uma panaceia contra todas as vulnerabilidades do nível de rede, mas definitivamente ajudará a protegê-lo quando estiver preso usando Wi-Fi inseguro no aeroporto, ou a próxima vez que uma vulnerabilidade tipo KRACK for descoberta.

Saiba mais em “O Guia Essencial de SysAdmin para a Segurança da Estação de Trabalho Linux” da Fundação Linux. Baixe o ebook gratuito e a lista de verificação agora!

Fontehttps://www.linux.com/blog/2017/10/tips-secure-your-network-wake-krack