6 ameaças que todo sistema Wi-Fi deveria ser capaz de evitar
Desde que o primeiro protocolo 802.11 foi lançado em 1997, o Wi-Fi se tornou um enorme mercado mundial avaliado em US$ 6 bilhões e projetado para atingir US$ 15,6 bilhões até 2022, com uma taxa de crescimento anual composta de 21,2%. Mas, apesar desse crescimento e do papel central que o Wi-Fi passou a desempenhar nos negócios e na vida em geral, a grande maioria dos access points Wi-Fi, roteadores e hotspots são superfícies de ataque altamente expostas.
Praticamente, todas as empresas de segurança se concentram em ataques de aplicativos de camada sete (como malware e ransomware de dia zero), mas pouca atenção foi dada à camada de ataque de Wi-Fi. Há seis categorias de ameaças conhecidas na segurança Wi-Fi e elas não foram abordadas nos setores de rede e segurança por muito tempo.
Será preciso educação e conscientização para corrigir esse problema de segurança global. Um recurso para ajudar a aumentar a conscientização sobre o que constitui uma boa segurança de Wi-Fi é o Trusted Wireless Environment Framework. Ele explica como construir uma rede Wi-Fi completa que seja rápida, fácil de gerenciar e, o mais importante, segura. Para ser um verdadeiro ambiente sem fio confiável, um sistema Wi-Fi deve fornecer detecção e prevenção automáticas a partir dessas seis categorias conhecidas de ameaças Wi-Fi:
1. Access point clandestino - É um AP que foi fisicamente conectado a uma rede sem autorização explícita de um administrador. É uma violação instantânea do PCI-DSS. Os rogue APs estão conectados à rede autorizada, permitindo que os invasores ignorem a segurança do perímetro. Isso pode ser feito com um AP físico ou com um software criado em um computador e conectado a uma rede autorizada. Por exemplo, em uma loja de varejo movimentada que tem clientes entrando e saindo o dia todo, é impossível ficar de olho em todos que estão lá. É possível que alguém entre no armário de fios e conecte o access point mais barato que conseguir. Agora, eles podem obter acesso à rede segura privada da empresa e sequestrar sistemas de ponto de venda para revelar números de cartão de crédito ou acessar controles do ambiente, como fechaduras de portas, alarmes e câmeras. Os sistemas Wi-Fi precisam detectar se um sinal no ar está sendo transmitido de um access point fisicamente conectado à rede autorizada. Em caso afirmativo, ele precisa ser capaz de impedir que o rogue AP obtenha acesso à LAN. Também deve impedir que os clientes de Wi-Fi se associem a ele.
2. Access point Evil twin - Evil twin APs imitam APs legítimos, falsificando SSID e, geralmente, endereços MAC também. Em seguida, os atacantes podem interceptar o tráfego como man-in-the-middle (MitM). Como, exatamente, isso funciona? Quando uma vítima é conectada, o invasor pode roubar credenciais, injetar códigos maliciosos nos navegadores, redirecionar a vítima para um site de malware e muito mais. Se um funcionário do escritório na hora do almoço decidir conectar-se ao Wi-Fi guest para fazer compras no comércio eletrônico, um hacker próximo pode usar um evil twin AP transmitindo o mesmo SSID guest da empresa para enganar o funcionário. Quando pagam pelos produtos de compras on-line, enviam os detalhes do cartão de crédito diretamente ao atacante. Um sistema de segurança Wi-Fi não deve interferir com clientes não administrados pela rede autorizada, mas, ao mesmo tempo, deve detectar quando evil twin APs estão tentando obter clientes autorizados conectados e evitar essa associação.
3. Access point Vizinhos - Essa ameaça ocorre quando um cliente autorizado e gerenciado pela empresa se conecta a um convidado ou access point externo, ignorando a segurança de perímetro da empresa e contornando as restrições de segurança definidas pelo firewall. Não existe truque de hacker super secreto para isto. Qualquer funcionário pode estar (e provavelmente está) fazendo isso agora. Ao optar por conectar seus dispositivos à rede de convidados, à rede da lanchonete no andar de baixo ou no acesso pessoal do seu celular (hot spot), os funcionários estão contornando a segurança da rede. As soluções Wi-Fi devem ser capazes de classificar automaticamente os dispositivos clientes gerenciados pela empresa como clientes autorizados e impedi-los de se conectarem a qualquer outro SSID além daqueles definidos pelos administradores de TI.
4. Cliente Clandestino (Rogue Client) - Qualquer cliente anteriormente conectado a um rogue AP ou outro AP malicioso dentro do alcance de uma rede privada é considerado um cliente rogue. Um cliente que se conectou a um rogue AP poder ter sido vitimado por uma infinidade de ataques man-in-the-middle (MitM), que incluem o carregamento de ransomworms, malware ou backdoors no cliente. Quando um cliente rogue se conecta a outra rede, pode espalhar esse malware. Por exemplo, uma pessoa que passa pelo mesmo café no caminho para o trabalho todos os dias. Como ela já se conectou ao Wi-Fi do café, o telefone se conecta automaticamente sempre que entra na loja. Um dia, alguém cria um Evil twin AP engana o telefone dessa pessoa e o infecta com ransomware para que ele leve de volta ao escritório. Os sistemas de segurança Wi-Fi precisam reclassificar automaticamente um cliente autorizado como um cliente rogue no momento em que é detectado, e impedir que este cliente se associe novamente a SSIDs privados autorizados até que a TI confirme que o dispositivo está livre de malware.
5.Redes Ad-hoc - Essa ameaça é essencialmente uma conexão Wi-Fi peer-to-peer entre clientes que permitem que dois ou mais dispositivos se comuniquem diretamente entre si, contornando as políticas de segurança de rede e tornando o tráfego invisível. Qualquer funcionário pode configurar rapidamente uma rede ad-hoc entre os dispositivos de seus colegas, se quiser. Por exemplo, como uma reunião está prestes a começar, um executivo está esperando por um arquivo que foi prometido há horas. Ele levaria muito tempo para usar o serviço de compartilhamento de arquivos de rede segura aprovado pela TI, portanto, um funcionário decide configurar uma rede ad-hoc para enviá-lo diretamente de laptop para laptop. As soluções de Wi-Fi devem ser capazes de detectar automaticamente quando clientes autorizados, gerenciados pela TI corporativa, participam de redes ad-hoc e impedir essa conexão, mesmo se criptografadas.
6. Access point mal configurado - Pode ser muito fácil para os administradores de rede cometerem acidentalmente erros de configuração, como abrir um SSID privado sem criptografia, expondo informações confidenciais para interceptação. Isso pode acontecer sempre que um access point não estiver configurado corretamente (por exemplo, deixando as configurações padrão inalteradas). Imagine isso - um AP é enviado da empresa para um novo escritório e uma recepcionista se oferece para conectá-lo. Ela segue as instruções, mas comete um erro e instala o AP para transmitir um SSID aberto e vazar dados privados como uma peneira. Ela não pode ser culpada porque não é um profissional de TI, mas a empresa ainda tem um AP mal configurado que pode ser um sério risco para a organização.
Os sistemas de gerenciamento de Wi-Fi precisam incluir políticas de configuração nas quais os administradores de TI podem especificar detalhes como requisitos mínimos de criptografia em SSIDs difundidos por APs gerenciados e assim por diante. Um AP na rede autorizada que não aderir a essa política deve ser impedido de ter qualquer cliente conectado até que a TI resolva o erro de configuração.
Educação contínua para a indústria Wi-Fi
Os ataques de Wi-Fi são permitidos pelos access points Wi-Fi que não possuem tecnologia de segurança para proteger contra as 6 categorias de ataques de Wi-Fi. Para corrigir esse problema, será necessário influenciar as pessoas que compram esses dispositivos para exigir essa segurança nos dispositivos a serem adquiridos.
Os proprietários de empresas, usuários domésticos e profissionais de redes e de segurança devem perguntar aos fornecedores e provedores de serviços que os venderam seus APs se eles atendem a esses padrões emergentes de segurança que permitem ambientes sem fio confiáveis. Essa pergunta simples garantirá que mais empresas tenham seus produtos Wi-Fi testados para segurança por empresas independentes e imparciais e, com o tempo, aumentem os recursos de segurança das redes Wi-Fi de todos.
*Ryan Orsi é Director Product Management da WatchGuard Technologies
Sobre a WatchGuard
A WatchGuard, localizada em Seattle, desenvolveu mais de um milhão de appliances multifuncionais integrados de gerenciamento de ameaças em todo o mundo, para pequenas, médias e grandes empresas. Reconhecendo uma necessidade não atendida para uma solução de segurança que trate do cenário de ameaças em rápida evolução, a WatchGuard projetou o sistema operacional Fireware® com alto throughput, altamente escalável e flexível para formar o backbone de seus produtos. Essa plataforma possibilita desempenho muito alto a um custo muito menor do que as concorrentes, em ambientes onde vários mecanismos de segurança estão habilitados.
A WatchGuard se diferencia dos concorrentes por meio de:
• Escalabilidade com avanços de hardware: o uso pela WatchGuard de hardwares que são padrão no setor garante que o desempenho de seu produto aumente com os avanços de processadores da Intel e Freescale.
• Melhor tecnologia: a arquitetura modular da WatchGuard é baseada no sistema operacional do Fireware, que executa versões completas dos principais mecanismos de varredura terceirizados do mercado. Ela oferece a melhor segurança em qualquer faixa de preços, com máxima flexibilidade para atender o cenário de ameaças em transformação.
• Gerência líder do segmento: o console de gerenciamento baseado em políticas da WatchGuard oferece uma única interface para configurar e controlar rapidamente todos os mecanismos de segurança, com flexibilidade para gerenciar a segurança de rede a partir de qualquer lugar (como de sedes para filiais), sem ter que instalar software de gerenciamento.
• Visibilidade premiada: a premiada ferramenta de visibilidade Dimension™ da WatchGuard transforma toneladas de dados de segurança nas principais tendências e eventos críticos para identificar de maneira rápida e efetiva os problemas de produtividade e as ameaças em potencial. Funcionando a partir de qualquer nuvem pública ou privada, o Dimension não necessita de instalação e pode ser executado em qualquer navegador.
Além da sede em Seattle, a WatchGuard tem escritórios em toda a América do Norte, na América Latina, na Europa e na Ásia-Pacífico. Toda a linha de appliances de segurança de rede da WatchGuard é respaldada por mais de 10.000 parceiros revendedores dedicados — mais de 2.300 com certificação avançada — em 120 países. Visite https://www.watchguard.com.br.
Fonte: MFC Comunicação
Nenhum comentário
Postar um comentário