Por Marcelo Tavares de Santana [*]
Se soubéssemos como alguns mercados funcionam, pensaríamos duas vezes em consumir seus produtos; algumas vulnerabilidades sem solução, como Man-in-the-middle [1], poderiam inviabilizar todo o comércio digital como conhecemos hoje. Voltando o olhar para nossas redes computacionais domésticas, em 2017 foi divulgado um tipo de ataque que demoraria pelo menos 15 anos para ser resolvido no mundo simplesmente porque a atualização de roteadores domésticos não acontece com a frequência que deveria por falta de conhecimento da sociedade. Roteadores de rede sem fio são pequenos computadores que vêm com um sistema operacional embarcado, o chamado firmware, que é feito para o equipamento. Como qualquer programa de computador, esse sistema pode vir com falhas de segurança que devem ser corrigidas e atualizadas no equipamento. A grande maioria desses roteadores permitem a atualização de firmware pelo usuário, mas ainda temos a dependência das fabricantes disponibilizarem as correções ao público. Ao pensarmos no processo de descobrir a falha, disponibilizar a correção, avisar os usuários (que geralmente não acontece), verificar o firmware correto e atualizar, percebemos que é um processo de muitos anos para que a vulnerabilidade seja superada globalmente.
O ataque em questão é o KRACK [2] (Key Reinstallation Attacks) e pode ser usado em qualquer dispositivo sem fio Wi-Fi, ou seja, cinco lâmpadas smart podem significar cinco pontos de falha; mas que só vão ser explorados se entre nossos vizinhos tiver alguém tentando o ataque pois é preciso conseguir usar a mesma rede sem fio, portanto, é preciso uma conjuntura de fatores para o ataque acontecer. Investigando o risco de sofrer um ataque KRACK em minha casa, a primeira descoberta foi a incapacidade de avaliação do roteador Wi-Fi que foi imposto pela operadora de acesso à Internet por fibra ótica, pois na interface de gerenciamento do equipamento não tenho a opção de saber a data do firmware, nem de atualizar e nem de descobrir se ele está corrigido para KRACK. Quando tínhamos conexão ADSL foi possível comprar um equipamento de nossa escolha e deixar o da operadora parado, mas com o serviço que temos agora não achamos alternativas de equipamentos. Temos um outro roteador, escolhido por nós e que pode ser atualizado, e nesse sabemos que o firmware é de 2021 e por isso tem alta probabilidade de estar sem a falha para KRACK, mas não encontramos detalhes para confirmar a correção apesar de ser um avanço saber o ano do programa.
Uma solução interessante para esse problema, e outros que possam surgir, é investir numa separação de redes onde os dispositivos pessoais ficam numa rede Wi-Fi com equipamentos que podemos controlar, e outros dispositivos com dados menos sensíveis ficam numa rede Wi-Fi do equipamento da operadora. Se no futuro tivermos refrigeradores smart onde colocamos nossos dados de cartão de crédito para que esses equipamentos façam as compras, considerem como dispositivo com dados sensíveis; já uma TV smart que tenha somente contas de serviços de stream considero ser um equipamento com dados pouco sensíveis, mas isso vai do julgamento de cada um. No aspecto de hardware, o melhor seria uma solução de pequeno computador (como o Raspberry Pi) que pudéssemos instalar um sistema operacional livre de nossa escolha, escolher e conectar as antenas Wi-Fi, instalar os serviços que desejarmos de arquivos remotos ou backup, para termos nossa própria nuvem pessoal dentro de nossas casas. Apesar de termos soluções prontas como o Freedombox [3], cuidar desse tipo de solução ainda não está na prática da nossa sociedade, e acertar uma boa configuração de hardware é ainda bastante difícil, fica mais fácil comprar um que seja específico para redes Wi-Fi. Felizmente, temos alternativas sistemas livres para roteadores de mercado que inclusive ampliam as capacidades desses equipamentos simplesmente porque as empresas não colocam todas as funções em seus firmwares, promovendo uma limitação por software desses equipamentos. Existem a problemática de perda da garantia ao utilizar um firmware alternativo, assim talvez seja melhor esperar o período de garantia se esgotar.
Uma das alternativas de firmware livre para roteadores Wi-Fi mais conhecidas é o DD-WRT, que tem uma lista grande de dispositivos suportados [4]. O desafio aqui é encontrar um modelo de roteador que exista na lista e seja vendido no mercado brasileiro, além da decisão de instalar ou não o DD-WRT sob pena de perder a garantia; pode até ser vantajoso comprar um roteador usado mas não tão antigo, ou um modelo de dois anos atrás, para instalar esse firmware livre. Se encontrar um roteador que tenha portas USB que possam ser usadas para armazenamento remoto ou centralização de impressão, melhor ainda, pois assim é possível ter um espaço técnico onde podemos deixar um HD externo para backup automático para toda família e compartilhamento de impressora mesmo que ela não tenha acesso sem fio; existem até mesmo soluções de compartilhamento de multifuncional via rede, onde todos poderiam digitalizar documentos remotamente de qualquer computador, mas isso ainda está um pouco distante de ser fácil, nesse caso ainda é mais prático comprar uma impressora multifuncional com Wi-Fi.
Com esse cenário em mente, é preciso avaliar o quê temos em nossas casas e o quê desejamos fazer como o orçamento que podemos gastar. Prioridade zero é ter todos os equipamentos atualizados, e se não for possível a única solução é comprar um equipamento mais novo que possa ser atualizado. Não há um exemplo universal que possa ser demonstrado de instalação de firmware, portanto, cada um deverá listar todos os equipamentos de sua casa, e buscar informações nos suportes dos fabricantes E manuais de usuário E fóruns pela Internet; com E maiúsculo mesmo para sempre buscar as três coisas, não só suporte nem só opinião – procure também por vídeos de testes e avaliações de sites especializados em tecnologia.
Já podemos nesse ponto chamar nossas ações de projeto doméstico de rede, que começa a ter profundidade nos detalhes de escolha de equipamentos, sistemas e recursos financeiros. É desejável que nosso nível de conhecimento sobre aquilo que instalamos em nossas casas seja cada vez maior; dá um pouco mais de trabalho, porém aumenta a segurança, e nem é algo que consome muito tempo, pois no caso de sofrer um ataque ter que explicar que teve cartão clonado e dados utilizados por terceiros indevidamente dá muito, muito mais trabalho. Para completar, faça um desenho a mão da planta baixa da casa e marque os equipamentos e, por exemplo, marque equipamentos com informação pessoal com cerquilha (#), para indicar que vai na rede Wi-Fi do roteador mais seguro, e os outros dispositivos com asterisco (*) para ficarem daquele que for considerado menos seguro.
Para se aprimorar no assunto, segue sugestão de ações e estudos sobre o assunto para as próximas semanas:
- Semana 1: liste os equipamentos Wi-Fi que tem em sua casa;
- Semana 2: procure por firmwares para cada equipamento e o ano de lançamento, desejável que seja a partir de 2020;
- Semana 3: faça a atualização dos firmwares quando possível;
- Semana 4: revise sua rede e seu orçamento para possíveis atualizações de hardware.
Bom projeto a todos!
Leia a primeira parte, aqui.
Notas
[*] Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo
[1] https://pt.wikipedia.org/wiki/Ataque_man-in-the-middle
Marcelo,pensando em tudo que você escreveu,como eu poderia aumentar minha rede para um modelo mais comunitário? Explico
Estamos na zona rural, incrivelmente a fibra ótica tá chegando pra todos os lados,usamos um Archer C6, da TPLink,com 4 antenas externas e porta gigabit. A vizinhança anda “tentada” a mudarmos para uma conexão comunitária (todos usando o mesmo guarda chuva). Dá pra aproveitar a infra e os equipamentos para termos mais resiliência e autonomia,no nosso caso? A distância média entre os residentes é de mais ou menos 600 metros