Atitudes para proteger-se da falha KRACK

De acordo com Gabriel Dias, líder de projetos IoT da Semantix, ataque tem como alvo a terceira etapa do processo de autenticação de um usuário em uma rede wi-fi protegida. Durante o procedimento (conhecido como handshaking), a senha da rede pode ser enviada diversas vezes. Ao manipular o reenvio, um hacker é capaz de quebrar a criptografia e se conectar

Por: Redação, ⌚ 18/12/2017 às 15h53 - Atualizado em 18/12/2017 às 15h53

A falha KRACK – nome derivado da expressão em inglês Key Reinstallation Attack, que pode ser traduzida como ataque de reinstalação de chaves – foi descoberta pelo pesquisador belga Mathy Vanhoef. Esse problema permite que qualquer pessoa que esteja no alcance do roteador Wi-Fi consiga se conectar, mesmo sem possuir a senha de acesso.

 

As consequências estão diretamente relacionadas à segurança dos dados pessoais ou enviados pelos computadores através da rede. Após se conectar, um hacker pode, por exemplo, se apropriar de tudo que é trafegado por meio daquele roteador, como informações bancárias, senhas e arquivos. Em um ambiente corporativo o risco é maior, já que é possível acessar planilhas de gastos, estratégias de negócios e análises de mercado, podendo comprometer os resultados e colocar em cheque o futuro dos negócios.

 

O ataque da KRACK tem como alvo a terceira etapa do processo de autenticação de um usuário em uma rede protegida. Durante o procedimento (conhecido como handshaking), a senha da rede pode ser enviada diversas vezes. Ao manipular o reenvio, um hacker é capaz de quebrar a criptografia e se conectar.

 

A principal linha de ataque da KRACK envolve a criação de uma rede alternativa que utiliza o mesmo nome da original, induzindo que os usuários conectem seus dispositivos nela e trafeguem informações que são interceptadas.

 

Mantenha-se atualizado

 

O primeiro passo é atualizar o firmware dos roteadores, ou seja, o programa que já vem instalado nestes dispositivos. Além disso, é importante manter os softwares e sistemas operacionais dos computadores em dia. A maioria dos grandes fornecedores já lançou correções de segurança que auxiliam na proteção da rede Wi-Fi.

 

Evite riscos desnecessários

 

Como alguns fornecedores ainda não lançaram atualizações para corrigir a falha, uma forma de mitigá-la é confiar os dados e as informações pessoais apenas a websites que utilizam o protocolo SSL, que complementa o HTTP transformando-o em HTTPS, o que garante a segurança e a criptografia externa de tudo que é trafegado entre a rede e o site.

 

Verifique os dispositivos IoT

 

Os dispositivos IoT geralmente utilizam protocolos alternativos para realizar a conexão, como o Sigfox e o Lora, que felizmente não foram afetados pela vulnerabilidade descoberta.

 

Por outro lado, muitas soluções de IoT utilizam o Wi-Fi para transmitir seus dados por meio de um Gateway para a Internet. Desse modo, a solução pode estar comprometida e é necessário aplicar um patch de correção. Nesses casos, é imprescindível o uso de um software de manutenção e gerenciamento dos dispositivos.

 

Proteja-se

 

Ataques cibernéticos podem prejudicar companhias, seja devido ao roubo de informações críticas ou até por conta da exposição de dados de clientes da corporação – como ocorrido recentemente com a Equifax, empresa norte-americana fornecedora de crédito e com a Uber.

 

No entanto, proteger os dados de uma empresa não é uma tarefa trivial e exige conhecimento atualizado e específico, o que na grande maioria dos casos, está fora da linha de negócio da organização.

 

Por esse motivo, a cibersegurança precisa ser vista como prioridade nos investimentos de qualquer empresa moderna, uma vez que os dados corporativos são ativos valiosos e podem custar a vida de um negócio se caírem em mãos erradas. Haja visto que grandes empresas digitais já tiveram sua credibilidade abalada e sofreram perdas econômicas com o vazamento de informações de seus usuários.

 

Sendo assim, é crucial utilizar o sistema certo para evitar que uma violação de segurança aconteça. Ao investir em uma solução de cibersegurança, as companhias mantêm sua proteção atualizada contra as mais recentes lacunas descobertas.

 

* Gabriel Dias é líder de projetos IoT da Semantix

 



Newsletter

Graça Sermoud
Marcos Semola
Ronaldo Hayashi
Joaquim Garcia

/ VEJA TAMBÉM



/ COMENTÁRIOS