Wi-Fi Alliance anuncia o WPA3, o que muda no novo padrão?

As redes Wi-Fi públicas se tornarão mais seguras com o uso desse novo padrão. Anúncio é feito poucos meses após divulgada a vulnerabilidade no WPA2 com KRACK

Meu nome é Allex Oliveira e esse artigo é sobre uma notícia extremamente importante para as áreas de redes wireless e segurança da informação. Foi anunciado pela Wi-Fi Alliance o novo padrão de segurança que passará a integrar os equipamentos certificados pela empresa: o padrão de segurança para redes Wi-Fi WPA3.

Antes de mais nada vamos concordar em uma coisa. Há alguns meses, todo o mundo de segurança da informação ficou chocado com a divulgação de uma falha de implementação no protocolo de segurança WPA2 publicada por dois pesquisadores belgas, que consistia em realizar um ataque de interceptação da conexão (MiTM – Man in the middle), visualizar e alterar todo o tráfego entre dois dispositivos. O ataque foi batizado de KRACK e você pode ler um artigo completo que eu escrevi sobre como funciona esse ataque, nesse link:

https://goo.gl/oocV9r

Alguns meses após essa divulgação, foi feito um anúncio durante a CES pelo vice-presidente de marketing da Wi-Fi Alliance, Kevin Robinson, de que em 2018 chegará o padrão de segurança WPA3 para as redes Wi-Fi.

Então nos perguntamos: O que mudará e quais serão as melhorias com o WPA3?

Se você está buscando:

01 – Entender quais serão as 4 principais melhorias com o WPA3
02 – Quais fraquezas do WPA2 serão corrigidas
03 – Quando os equipamentos estarão disponíveis no mercado
04 – Se você precisa trocar seu equipamento WPA2 por um WPA3

É sobre isso que se tratará esse artigo.

Padrões e segurança Wi-Fi

Para que você entenda melhor a diferença entre redes Wi-Fi, Wireless e 802.11, eu preparei esse post explicando tudinho para que você nunca mais erre na utilização desses termos:

https://goo.gl/7tq1iR

Como as redes Wi-Fi emitem ondas de rádio em 360° na horizontal através das antenas omnidirecionais dos roteadores e access points, foi necessário criar padrões de segurança para que os dados trafegados entre os dispositivos não pudessem ser interceptados por qualquer pessoa que estivesse no alcance dessas ondas.

A primeira proposta oferecida pelo padrão IEEE 802.11 para segurança foi o protocolo WEP em 1999.

Então após pesquisadores mostrarem as vulnerabilidades e como a segurança poderia ser quebrada, o IEEE precisou apresentar melhorias no protocolo e começou a escrever as implementações necessárias, no novo projeto 802.11i. Como o mercado estava pedindo urgentemente por uma solução, a Wi-Fi Alliance começou a certificar os dispositivos Wi-Fi utilizando o rascunho das implementações da versão D3.0 do 802.11i. O protocolo se chamava (WPA-)TKIP e o programa de certificação da Wi-Fi Alliance foi nomeado como WPA, Wi-Fi Protected Access.

Algumas melhorias foram realizadas no WPA em relação ao WEP, dentre elas a utilização de chaves temporárias (TKIP – Temporal Key Integrity Protocol), mas por motivos de compatibilidade de hardware e tempo para desenvolvimento, o (WPA-)TKIP se tratava apenas de uma melhoria do protocolo WEP.

Visto que o WPA era uma versão melhorada do WEP, foi necessário recriar um protocolo do zero, para que utilizasse padrões de segurança e criptografia mais confiáveis, substituindo o RC4 pelo AES. Após várias versões de rascunho, o novo protocolo foi finalizado na versão D9.0 do 802.11i e foi então batizado de (AES-)CCMP, tendo seu nome de certificação da Wi-Fi Alliance como WPA2 e lançado em 2004.

Desde então o protocolo WPA2 foi considerado seguro e matematicamente não pode ser quebrado.

De fato, o WPA2 ainda não pode ser quebrado e o que os pesquisadores belgas encontraram foi uma maneira de explorar uma falha na implementação realizada por alguns fabricantes, que permitia alterar os padrões criptográficos, dessa forma podendo ver e alterar o conteúdo dos dados trafegados em redes protegidas por WPA2.

E o que o WPA3 propõe?

Apesar do WPA e WPA2 terem sido um caso onde foi necessário a implementação de um protocolo para corrigir as falhas de um protocolo anterior, o WPA3 não deve ser visto dessa maneira.

A vulnerabilidade explorada pelo KRACK afeta os equipamentos clientes Wi-Fi. Os access points ou roteadores wireless somente são afetados quando fazem o papel de cliente, expandindo a rede através da conexão em outro dispositivo Wi-Fi.

Para corrigir a falha em equipamentos vulneráveis ao KRACK, basta realizar a atualização de firmware fornecida pelo fabricante.

Com isso em mente, percebe-se que não seria necessário um WPA3 conforme foi necessário um WPA e WPA2 para o WEP, pois o WPA2 continua inquebrável e uma atualização de firmware resolve o problema explorado pelo KRACK.

Dessa forma, não podemos ver o WPA3 como um novo protocolo ou serviço, mas como a arquitetura de um guarda-chuva, abrigando e melhorando todas as capacidades que já existem no WPA2.

4 melhorias propostas pelo padrão WPA3

O WPA3 pode ser considerado a tecnologia para redes Wi-Fi do futuro e está vindo para melhorar a usabilidade e segurança, principalmente com o novo cenário gerado pelos dispositivos IoT, que na época da criação do protocolo WPA2, não existiam em tão alta escala.

1) Proteção contra força bruta

A primeira característica é a proteção conta ataques de força bruta on-line, bloqueando depois de n tentativas, o atacante que está tentando adivinhar a senha e erra muitas vezes. Essa é uma característica básica de vários softwares e faz todo sentido ser implementada em uma rede Wi-Fi para evitar esse tipo de ataque.

Para evitar ataques de força bruta off-line, que são hoje um dos principais tipos de ataque quando se quer adivinhar a PSK de uma rede, será exigido nativamente senhas fortes, com vários números, caracteres maiúsculos, minúsculos e especiais.

Nesse tipo de ataque é realizada captura do 4-way handshake entre o cliente e access point e salvo em um arquivo. Com esse arquivo pode ser realizado um ataque de dicionário off line, existindo até mesmo serviços específicos oferecidos para esse fim. Mas com senhas complexas ficará muito mais difícil tal adivinhação.

2) Configurar dispositivos Wi-Fi através de dispositivos próximos

Essa funcionalidade foi desenhada pensando nos dispositivos IoT que não possuem display ou possuem de forma limitada.

Por exemplo, um usuário poderia utilizar seu smartphone ou tablet para configurar a Wi-Fi em um dispositivo que não tem nenhuma tela, como uma campainha ou uma lâmpada inteligente, bastando apenas conectar no dispositivo com seu smartphone e realizar tais configurações.

3) Criptografia individual dos dados mesmo em redes abertas

A maneira como a WPA2 criptografa os dados é utilizando a mesma chave para todas as conexões. Dessa forma, caso a chave da rede seja comprometida, todos os dados trafegados entre todos os dispositivos serão passíveis de serem capturados, desde que algumas premissas sejam observadas.

O que o WPA3 propõe é a “individualized data encryption”, onde os dados de cada dispositivo serão criptografados de forma individual, mesmo que a rede não utilize nenhum tipo de senha.

Hoje em uma rede aberta, os dados trafegam “visivelmente” pelo ar, podendo ser capturados e extraídas as informações daquela conexão.

Nesse artigo que escrevi para meu TCC para MBA em Segurança da Informação eu explico e mostro detalhadamente como realizar a interceptação de dados em redes Wi-Fi abertas ou com criptografia WPA2. Aproveite e dê uma lida para aprofundar mais sobre o assunto.

https://goo.gl/duWDXH – Interceptação passiva de dados em redes Wi-Fi abertas ou com WPA2

4) Conjunto de segurança de 192 bits

Será aumentada a segurança criptográfica através do padrão de 192 bits, alinhado com o Conjunto de Algoritmos de Segurança Comercial (CNSA) do Comitê de Sistemas de Segurança Nacional, que protegerá ainda mais as redes Wi-Fi com requisitos de segurança mais altos, como redes do governo, defesa e industrial.

Quando os equipamentos estarão no mercado?

De acordo com Robinson, os equipamentos não chegarão no mercado de uma noite para outra, mas você pode esperar para ver o WPA3 chegar no início de 2018. A Wi-Fi Alliance cria os padrões e cria as certificações, para que os fabricantes possam certificar seus equipamentos.

Isso deverá fazer com que a mudança seja bem lenta e gradual, mas deverá melhorar a segurança assim que forem sendo implantados dispositivos com esse novo padrão.

Preciso trocar meu equipamento com WPA2?

Que o novo padrão de segurança WPA3 oferece muito mais segurança não há como negar. Entretanto, “os padrões por trás do WPA3 já existem há um tempo“, disse Mathy Vanhoef, autor do ataque KRACK no WPA2. “Mas agora os dispositivos serão obrigatórios a suportá-los, caso contrário eles não receberão a certificação “certificado com WPA3”.

Então a troca dos dispositivos deverá ser analisada com muito cuidado, pois dependerá de ambiente para ambiente e qual é o propósito de utilização da rede, qual a necessidades de mais segurança, se já existem outros equipamentos que oferecem proteção semelhante.

Como melhorar e configurar minha rede Wi-Fi da maneira correta?

Eu ajudo as empresas a implementarem a melhor proteção em seu ambiente, através de consultorias e treinamentos, pela Nextec IT Solutions, empresa que sou sócio fundador.

Para ajudar você a utilizar as melhores configurações para as suas redes Wi-Fi, seja em sua empresa ou em sua residência, eu criei o eBook “10 passos para proteger sua rede Wi-Fi

O eBook é disponibilizado no e-mail após o formulário. Caso tenha alguma dificuldade em recebê-lo, entre em contato nos comentários ou através das minhas redes sociais.

Ah, só mais uma coisa

Deixe um comentário sobre o que achou do artigo e compartilhe esse post no Linkedin e Facebook, pois dessa forma você me ajuda divulgando meu trabalho e ajuda outras pessoas com essas informações que considero muito importantes, principalmente no mundo Wi-Fi em que vivemos. Obrigado!

Grande abraço.

Allex Oliveira
Co-founder Nextec IT Solutions
Certificado UEWA – Ubiquiti Enterprise Wireless Admin
 

P.S. Me siga nas redes sociais e acompanhe meu conteúdo:
Linkedin: https://goo.gl/jWnVMo
Facebook: https://goo.gl/9MHnWU
Youtube: https://goo.gl/hFDdwX
Instagram: https://goo.gl/v7S53n

Referências desse artigo:
Nota da Wi-Fi Alliance
CNet
Paper KRACK Atacks