É realmente possível para a maioria dos entusiastas invadir as redes Wi-Fi das pessoas?

156

Os usuários mais entusiasmados (mesmo que não sejam profissionais) usam técnicas bem conhecidas para romper a segurança do roteador doméstico médio?

Algumas opções básicas de segurança são:

  • senha de rede strong com vários métodos de criptografia
  • senha de acesso do roteador personalizado
  • WPS
  • sem difusão de SSID
  • filtragem de endereço MAC

Algum deles está comprometido e o que fazer para tornar a rede doméstica mais segura?

    
por kvhadzhiev 24.03.2014 / 23:56

9 respostas

146

Sem discutir a semântica, sim a afirmação é verdadeira.

Existem vários padrões para criptografia WIFI, incluindo WEP, WPA e WPA2. O WEP é comprometido, portanto, se você estiver usando-o, mesmo com uma senha strong, ele pode ser facilmente quebrado. Acredito que o WPA é muito mais difícil de ser quebrado (mas você pode ter problemas de segurança relacionados ao WPS que o ignoram) e, a partir de outubro de 2017, o WPA2 também oferece segurança questionável. Além disso, até mesmo senhas razoavelmente difíceis podem ser forçadas por força bruta - Moxie Marlinspike - um hacker bem conhecido oferece um serviço para fazer isso por US $ 17 usando cloud computing - embora não seja garantido.

Uma senha strong do roteador não fará nada para impedir que alguém do lado do WIFI transmita dados pelo roteador, o que é irrelevante.

Uma rede oculta é um mito - enquanto existem caixas para fazer com que uma rede não apareça em uma lista de sites, os clientes sinalizam o roteador WIFI, assim sua presença é trivialmente detectada.

A filtragem de MAC é uma piada, pois muitos (a maioria / todos?) dispositivos WIFI podem ser programados / reprogramados para clonar um endereço MAC existente e ignorar a filtragem de MAC.

Segurança de rede é um assunto grande, e não algo passível de uma pergunta de superusuário, mas o básico é que a segurança é construída em camadas para que, mesmo que alguns sejam comprometidos, nem todos sejam - também, qualquer sistema pode ser penetrado tempo, recursos e conhecimento, então a segurança não é realmente uma questão de "pode ser hackeada", mas "quanto tempo vai demorar" para hackear. WPA e uma senha segura protegem contra "Joe Average".

Se você quiser melhorar a proteção da sua rede Wi-Fi, poderá visualizá-la apenas como uma camada de transporte e criptografar e filtrar tudo que estiver passando por essa camada. Isso é um exagero para a grande maioria das pessoas, mas uma maneira de fazer isso seria configurar o roteador para permitir apenas o acesso a um determinado servidor VPN sob seu controle e exigir que cada cliente autentique por meio da conexão WIFI na VPN. Assim, mesmo que o WIFI seja comprometido, existem outras camadas [mais difíceis] para serem derrotadas. Um subconjunto desse comportamento não é incomum em grandes ambientes corporativos.

Uma alternativa mais simples para garantir melhor uma rede doméstica é eliminar totalmente o WIFI e exigir apenas soluções cabeadas. Se você tem coisas como celulares ou tablets, isso pode não ser prático. Neste caso, você pode mitigar os riscos (certamente não eliminá-los), reduzindo a intensidade do sinal do seu roteador. Você também pode proteger sua casa para que a freqüência vaze menos - eu não fiz isso, mas um boato strong (pesquisado) diz que mesmo a malha de alumínio (como a tela mosquiteira) do lado de fora da sua casa, com bom aterramento pode fazer um enorme diferença para a quantidade de sinal que vai escapar. [Mas, claro, a cobertura do celular bye-bye]

Na frente de proteção, outra alternativa pode ser pegar seu roteador (se ele for capaz de fazer isso, a maioria não é, mas eu imagino roteadores rodando openwrt e possivelmente tomate / dd-wrt) para registrar todos os pacotes percorrendo sua rede e mantendo-se atento a isso - Inferno, mesmo apenas o monitoramento de anomalias com total de bytes entrando e saindo de várias interfaces pode lhe dar um bom grau de proteção.

No final do dia, talvez a pergunta a ser feita é "O que preciso fazer para não valer a pena um hacker ocasional invadir minha rede" ou "Qual é o custo real de ter minha rede comprometida"? e indo de lá. Não há resposta rápida e fácil.

Atualização - out. 2017

A maioria dos clientes que usam o WPA2 - a menos que corrigidos - podem ter seu tráfego exposto em texto sem formatação usando "Ataques de Reinstalação de Chave - KRACK" - que é uma fraqueza no padrão WPA2. Notavelmente, isso não dá acesso à rede, ou ao PSK, apenas ao tráfego do dispositivo de destino.

    
por 25.03.2014 / 00:23
52

Como outros disseram, esconder o SSID é trivial para quebrar. Na verdade, sua rede aparecerá por padrão na lista de redes do Windows 8, mesmo que não esteja transmitindo seu SSID. A rede ainda transmite sua presença através de quadros de sinalização de qualquer maneira; simplesmente não inclui o SSID no quadro beacon se essa opção estiver marcada. O SSID é trivial para obter do tráfego de rede existente.

A filtragem MAC também não é muito útil. Pode abreviar o script kiddie que baixou um crack WEP, mas definitivamente não vai impedir ninguém de saber o que está fazendo, já que eles podem simplesmente falsificar um endereço MAC legítimo.

No que diz respeito ao WEP, está completamente quebrado. A força da sua senha não importa muito aqui. Se você estiver usando o WEP, qualquer pessoa poderá fazer o download de software que invadirá sua rede rapidamente, mesmo que você tenha uma senha strong.

O WPA é significativamente mais seguro que o WEP, mas ainda é considerado quebrado. Se o seu hardware suporta WPA, mas não WPA2, é melhor do que nada, mas um usuário determinado pode provavelmente quebrá-lo com as ferramentas certas.

WPS (configuração protegida sem fio) é a ruína da segurança de rede. Desativar independentemente da tecnologia de criptografia de rede que você está usando.

O WPA2 - em particular a versão dele que usa o AES - é bastante seguro. Se você tiver uma senha decente, seu amigo não entrará em sua rede protegida por WPA2 sem obter a senha. Agora, se a NSA está tentando entrar em sua rede, isso é outro assunto. Então você deve simplesmente desligar seu wireless inteiramente. E provavelmente a sua conexão com a internet e todos os seus computadores também. Com tempo e recursos suficientes, o WPA2 (e qualquer outra coisa) pode ser hackeado, mas provavelmente será necessário muito mais tempo e muito mais recursos do que o seu amadoreiro médio terá à sua disposição.

Como David disse, a verdadeira questão não é "Isso pode ser cortado?" mas, em vez disso, "Quanto tempo vai demorar alguém com um conjunto particular de recursos para hackeá-lo?" Obviamente, a resposta a essa questão varia muito em relação ao que é esse conjunto particular de capacidades. Ele também está absolutamente certo de que a segurança deve ser feita em camadas. As coisas de que você gosta não devem passar pela sua rede sem serem criptografadas primeiro. Então, se alguém invadir sua rede sem fio, eles não devem ser capazes de entrar em algo significativo além de talvez usar sua conexão com a internet. Qualquer comunicação que precise ser segura ainda deve usar um algoritmo de criptografia strong (como o AES), possivelmente configurado via TLS ou algum esquema de PKI. Certifique-se de que seu e-mail e qualquer outro tráfego da Web confidencial esteja criptografado e que você não esteja executando nenhum serviço (como compartilhamento de arquivo ou impressora) em seus computadores sem o sistema de autenticação adequado.

Atualização 17 de outubro de 2017 - Essa resposta reflete a situação anterior à recente descoberta de uma grande nova vulnerabilidade que afeta o WPA e o WPA2. A Reinstalação de chave AttaCK (KRACK) tira proveito de uma vulnerabilidade no protocolo de handshaking para Wi-Fi. Sem entrar nos detalhes da criptografia desordenada (sobre os quais você pode ler no site vinculado), todas as redes Wi-Fi devem ser consideradas interrompidas até que sejam corrigidas, independentemente de qual algoritmo de criptografia específico estejam usando.

Perguntas relacionadas ao InfoSec.SE sobre o KRACK:
Consequências do ataque do WPA2 KRACK
< a href="https://security.stackexchange.com/q/171502/46674"> Como posso me proteger do KRACK quando não posso pagar por uma VPN?

    
por 25.03.2014 / 03:22
14

Já que outras respostas neste tópico são boas, eu acho que, para aqueles que estão solicitando uma resposta concreta (bem ... isso é SuperUser, não é?), a questão poderia ser facilmente traduzida como: "What devo saber para tornar minha rede WiFi segura? ".
Sem negar (nem confirmar) nenhuma das outras respostas, esta é minha resposta curta:

As palavras do criptologista Bruce Schenier podem valer conselhos para muitos usuários se lembrarem:

The only real solution is to unplug the power cord.

Isso geralmente pode ser aplicado a redes sem fio : precisamos constantemente que funcione?
Muitos roteadores têm um botão WiFi para ativar / desativar sem fio, como o D-Link DSL-2640B .
Caso contrário, você sempre poderá automatizar a habilitação / desativação da Web de dispositivos sem fio usando ferramentas como iMacros (disponível como uma extensão para o Firefox ou como um programa independente) no Windows e muitos outros no Linux.

E aqui estão dois truques para a senha WPA (por favor, esqueça o WEP ) (uma senha boa senha WPA tornará os ataques muito difíceis) ( não mantenha a senha padrão ):

  1. Use palavras inexistentes e / ou estrangeiras : SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (pois nenhum dicionário simples pode ser usado para encontrá-las).
  2. Crie sua própria sentença fácil de lembrar (para você, pelo menos) e defina sua senha, digitando o primeiro caractere de cada palavra. Os resultados serão uma senha difícil de decifrar (mínimo de 8 caracteres) e fácil de lembrar que inclui letras maiúsculas e minúsculas > números e alguns outros caracteres não alfabéticos :
    "Você tem dois filhos e três gatos, e você os ama." - > "Yh2sa3c, aylt."

E, pelo bem de Deus: desative o WPS agora mesmo! É totalmente defeituoso .

    
por 25.03.2014 / 03:51
7

Nenhuma das coisas que você mencionou (além da senha da rede) realmente afeta o hacking de uma rede Wi-Fi. De certa forma, um filtro de endereço MAC e um SSID oculto realmente não ajudam em termos de segurança.

O que realmente importa é o tipo de criptografia usado na rede. Criptografias de rede mais antigas, como WEP, eram triviais de serem quebradas porque, com tráfego suficiente, você poderia decodificá-las, e você poderia forçá-las a gerar o tráfego que você precisava.

Os mais novos, como o WPA2, são muito mais seguros, no entanto. Agora, nada é 'seguro' contra todos os adversários, mas isso geralmente é suficiente para o Wi-Fi em casa.

É um tema grande, e isso só toca na ponta do iceberg, mas espero que ajude.

    
por 25.03.2014 / 00:05
6

WEP e WPA1 / 2 (com WPS ativado) podem ser hackeados trivialmente; o primeiro usando IVs capturados e o último com uma bruteforce WPS PIN (apenas 11.000 combinações possíveis, a partir de um pino de 3 partes; 4 dígitos [10.000 possíveis] + 3 dígitos [1.000 possíveis] + soma de verificação de 1 dígito [computada do restante]) .

WPA1 / 2 são mais difíceis com uma senha strong, mas o uso de cracking de GPU e uma técnica de força bruta podem derrubar alguns dos mais fracos.

Eu pessoalmente decifrei WEP e WPS na minha rede de trabalho (com permissão, eu estava demonstrando as vulnerabilidades para meus empregadores), mas ainda não consegui decifrar o WPA com sucesso.

    
por 26.03.2014 / 02:03
5

Esta é uma ótima pergunta, e as diretrizes para ter uma conexão sem fio muito segura devem ser bem conhecidas. Configure seu roteador / gateway / AP para que:

  • segurança sem fio é somente WPA2
  • A criptografia
  • é somente AES
  • use uma chave pré-compartilhada que contenha várias palavras (por exemplo, IloveSuperUser)
  • desativar WPS
  • desativa a administração remota

É isso! Para todos os efeitos práticos, agora você tem uma conexão sem fio totalmente segura.

    
por 26.03.2014 / 22:26
3

Ao longo do fórum Cisco Learning Network , um iniciador de discussão perguntou:

Can WPA/TKIP be cracked? Either someone in my guesthouse used up 80 gigs of data or someone close by cracked the password and used it. I suspect someone in the guest house because i find it hard to believe WPA/TKIP can be cracked and even if it can be cracked it would not be easy to do. How difficult if at all is it to crack WPA/TKIP? I want to change the password for them anyway, can i use - and _ and? characters?

Um colega obviamente muito inteligente chamado "Zach" fez esta postagem que o iniciante, aqui (e outros, aqui, também, se estiverem interessados), deve ler.

Em particular, leia de cerca de dois terços do seu post, onde ele começa com as palavras "As soluções:".

Estou usando a configuração " WPA-PSK (TKIP) / WPA2-PSK (AES) " do meu gateway. De acordo com esta postagem de Zach ...

Change the name of your router to something unique. Your ESSID is used by your wlan supplicant as a cryptographic salt over the PMK. Changing this will eliminate pre-computation attacks.

... há muito tempo uso meu ESSID exclusivo. Além disso, de acordo com o seu ...

Make a unique password incorpating unique characters, numbers, capitals. multiple words, and lowercase letters. This is more important than length. Increasing the length of the password will only increase the passwords strength but it doesn't need to be obscenely long. Strength lies in variance of potential. This will eliminate dictionary attacks and make brute-force impossible without a super-computer.

... o meu tem 25 caracteres, que consistem em letras, números, letras maiúsculas e minúsculas e caracteres especiais. Nenhuma parte disso significa alguma coisa.

Eu faço várias outras coisas que Zach faz e não enumera lá; mas além do acima, e disse outras coisas, e pelo menos o espírito do que ele escreveu aqui ...

Enable detailed logging and if possible forward that to your email.

... Há muito tempo escrevi um código de script que é iniciado automaticamente com o Windows e executado na bandeja do sistema; qual código periodicamente, ao longo do dia, atualiza e analisa a página da web em meu gateway, que lista todos os dispositivos conectados; e então me diz como um alto-falante pop-up-com-triplo-bip-através da-placa-mãe (não os alto-falantes de áudio regulares, apenas no caso eles são silenciados ou algo assim) no computador do meu laptop de substituição de desktop tela, e também via texto para o meu telefone (que está em uma bolsa no meu cinto, ou pelo menos a menos de cinco metros de mim, 24/7/365), se alguma coisa nova tiver aparecido.

Para quem não tem essa habilidade, existem vários aplicativos do tipo "quem está no meu WI-FI", alguns deles gratuitos. Um bom e simples é [este badboy] [3]. Basta iniciá-lo automaticamente com o Windows, deixá-lo na bandeja do sistema e dizer "beep no novo dispositivo" e você terá algo parecido com o que o meu script faz (exceto que ele não enviará SMS para você). No entanto, usando [uma ferramenta de script simples] [5] você pode fazer com que um SMS ou e-mail seja enviado para o seu telefone quando um novo dispositivo na LAN fizer o aplicativo apitar.

Espero que ajude.

    
por 29.03.2014 / 21:53
2

Outra consideração para qualquer análise de segurança é os ativos que precisam de proteção e o valor desses ativos para o proprietário e um possível invasor. Eu diria que o seu login bancário, número de cartão de crédito e outras credenciais de login são provavelmente as informações mais valiosas em uma rede doméstica e a maior parte disso deve ser coberta pela criptografia TLS / SSL através de uma conexão https. Então, parece que se você usar uma chave WPA2 em seu roteador Wi-Fi, e certifique-se que seu navegador usa https sempre que possível (usando uma ferramenta como https de eff em todos os lugares), você é bastante seguro. (Um invasor em potencial teria que se dar ao trabalho de decifrar sua chave WPA2 para talvez obter uma senha que não ultrapasse https ou as páginas http que você está navegando.)

    
por 28.03.2014 / 18:22
2

Duvidoso .

Eu não concordo com a resposta de davidgo. Embora seja bem pesquisado e concordo com a maioria de suas informações, acho que é um pouco pessimista.

Existem vulnerabilidades no WPA2 já cobertas nas outras respostas. No entanto, nenhum destes é inevitável.

Em particular, deve-se notar que o ataque de força bruta mencionado por davidgo é um ataque a uma falha no MS-CHAPv2. Veja a referência do autor citado [ link ]. Se o Ms-CHAP não for usado, essa fraqueza não poderá ser explorada. (excluído com base no comentário do autor - referência incorreta)

Com a senha correta, SSID e evitando comprometimento de tecnologia, não vejo razão para que uma rede protegida por WPA2 usando o AES256 não seja segura no momento. Ataques de força bruta em tais redes não são viáveis, e até Moxy Marlinspike sugere isso.

No entanto, onde eu concordo com a resposta davidgo é que a maioria dos usuários não faz esses esforços. Eu sei que a minha própria rede doméstica pode ser explorada e, embora eu saiba como consertar isso, não vale a pena o meu tempo e esforço.

    
por 29.03.2014 / 22:54