O KRACK E A VULNERABILIDADE DAS REDES WI-FI

Analistas de segurança alertam que uma série de vulnerabilidades descobertas no padrão Wi-Fi (rede sem fio), denominada KRACK, deixa expostos milhões de usuários no mundo todo.

wifi-hacker2
Figura 1. Vulnerabilidade em redes Wi-Fi deixam milhões de usuários expostos.

A falha está presente nas criptografias WPA e WPA2, bastante utilizadas em roteadores Wi-Fi para disponibilizar acesso à Internet sem fio em nossas casas, no trabalho, shoppings, aeroportos etc. Em resumo: as conexões de acesso à Internet sem fio, que pensávamos estar protegidas, na verdade podem estar perigosamente expostas, conforme revela a Equipe de Preparação para Emergência de Computadores dos Estados Unidos (US-CERT):

“O impacto da exploração dessas vulnerabilidades inclui decodificação, repetição de pacotes, sequestro de conexão TCP, injeção de conteúdo HTTP entre outros.”

A vulnerabilidade exige que um dispositivo esteja no alcance de um invasor mal-intencionado.


Microsoft sai na frente

Em uma declaração ao The Verge, a Microsoft afirmou que qualquer pessoa que aplique as atualizações do Windows manualmente ou que mantenha o Windows pronto para aplicar as atualizações automáticas deve estar protegida:

“Nós lançamos uma atualização de segurança para resolver esse problema no dia 10 de outubro, dentro do ciclo mensal de atualizações regulares do Patch Tuesday da empresa. Os clientes que aplicaram a atualização ou que mantém ativada a opção para atualizações automáticas estão protegidos.”

windows10_seguridad_13
Figura 2. Microsoft já disponibilizou atualização de segurança.

As demais plataformas

O problema é maior para usuários da plataforma Linux e Android (cerca de 41% dos dispositivos que usam esta plataforma estão perigosamente vulneráveis), pois esses dispositivos – em especial os que usam o Android 6 ou posterior – contém uma vulnerabilidade que torna trivial a interceptação e manipulação de tráfego de rede Wi-Fi, segundo os especialistas de segurança. Contatada, a Google admite a falha em seu sistema e espera encontrar e disponibilizar uma correção nas próximas semanas.

888605_1280x720
Figura 3. Dispositivos que usam o sistema Android, da Google, são os mais afetados.

Como a vulnerabilidade permite que alguns ataques funcionem contra todas as redes Wi-Fi que usam criptografias WPA ou WPA2, mostrando que a fraqueza está no padrão Wi-Fi, dispositivos da Apple (iPhones, iPads e MacOS) também podem estar sujeitos. A Apple ainda não se manifestou a respeito.

As recomendações

Se você é usuário Windows 10 (PC ou celular), basta manter o sistema configurado para atualizações automáticas e pronto!  Se ainda utiliza versões antigas do Windows, trate de migrar para o Windows 10, que é a versão mais atual e a mais segura do Windows.

Se você é usuário de dispositivos iOS e Android, evite o uso de redes Wi-Fi, dando preferência a usar a conexão 4G ou 3G de seu pacote de dados, até que seus sistemas sejam corrigidos.

Em ambos os casos, procure atualizar o firmware de seus dispositivos de rede, como roteadores, por exemplo.

A Wi-Fi Alliance, organização que certifica padrões de dispositivos de conexão sem fio, já foi alertada e prepara uma série de ações para corrigir tais vulnerabilidades juntos aos fabricantes de dispositivos.

Com informações de Windows Central, WindowsTeam e TecMundo.
Anúncios

Snowden ataca novamente: e desta vez o alvo é a Google

O sucesso do aplicativo de mensagens – que na verdade não é só de mensagens – WhatsApp acendeu o sinal de alerta na Google, que acaba de apresentar um concorrente aos produtos do Facebook (WhatsApp e Facebook Messenger) e também Telegram, demonstrando que a gigante também vacila e às vezes tem que correr atrás de outros produtos de sucesso – isso quando não consegue comprá-los. Pois bem, esse novo produto chama-se Allo, anunciado durante o evento Google I/O 2016.

Aplicativo de mensagens
Figura 1. Mensageiros digitais estão entre os aplicativos para smartphones mais utilizados na atualidade.

Usando sua velha tática de marketing, a Google apresenta um produto com “grandes diferenciais” no aspecto de inteligência artificial, com a justificativa de que o aplicativo “aprenderá mais com o uso e o passar do tempo”, e na análise de dados, para “conhecer melhor” seus usuários e oferecer sempre bons produtos e serviços. A Google gosta tanto de “inventar” pra se mostrar diferente, que até mesmo criou a expressão Expressions no aplicativo, uma espécie de solução própria para os conhecidos Emoticons e Stickers.

E o que o Snowden – o homem que revelou o escândalo global de espionagem e monitoramento mantido pela NSA (Agência de Segurança Nacional dos EUA) – tem a ver com isso?

É que o Snowden se autotransformou numa espécie de “protetor” e “defensor” dos frágeis usuários da Internet – quais serão os seus reais interesses, hein? – contra a invasão de suas privacidades, chegando ao ponto de publicar na sua conta oficial no Twitter a recomendação para que as pessoas não utilizem o novo aplicativo da Google, conforme imagem a seguir.

Post do Snowden no Twitter
Figura 2. Mensagem do Edward Snowden na sua conta do Twitter alertando contra o uso do novo aplicativo de mensagens digitais da Google devido a falta de segurança.

Como assim?!?!?

O principal motivo da recomendação do Snowden para não se usar o aplicativo é a ausência de criptografia ponta a ponta por padrão no serviço de mensagens da Google, tornando-o altamente perigoso e inseguro, devendo ser evitado. Pelo menos por enquanto.

Mas não é só o Snowden que defende que os usuários não utilizem o novo produto da Google. Especialistas em segurança alertam para o fato de as conversas e imagens trocadas pelo aplicativo serem “cuidadosamente” analisadas nos servidores da Google, com o objetivo de cada vez mais “aprender” sobre os hábitos dos usuários e, com isso, ofertar melhores produtos e serviços. Serão só estas as razões?

Na verdade, não é que o novo produto da Google não possua criptografia. Ele a possui tal qual o produto do Facebook, que utiliza o sistema Signal, da Open Whispers Systems, para proteger as conversas.

A questão alertada por Snowden e especialistas é que o aplicativo do Facebook usa criptografia de ponta a ponta em todas as comunicações, enquanto que no produto da Google o usuário deverá abrir uma janela de bate papo em modo específico, toda vez que desejar que a conversa seja criptografada. Ou seja, não é padrão no aplicativo, tornando-se mais trabalhoso para o usuário implementar no dia a dia, o que não deverá ser utilizado por muitos dos usuários, principalmente aqueles menos avisados.

A Google, como sempre, justifica o uso de dados sobre seus usuários – com a restrição da segurança e privacidade dos mesmos – com a necessidade de seus robôs lerem e interpretarem as mensagens trocadas entre os usuários para desempenhar suas funções “inteligentes”, uma vez que – com a criptografia – não seria possível realizar tal análise de conteúdo, fazendo com que o aplicativo não se tornasse interessante por não favorecer  qualquer retorno financeiro à Google, considerada a empresa mais valiosa do mundo pelo 6º ano, segundo a Forbes.

 

Na minha opinião…

Não devemos nos deixar enganar. Nem a Google e nem o Facebook são “anjinhos” que só pensam no bem estar de seus usuários. Ambas são gigantes empresariais da área de tecnologia nascidas na era da Internet, oferecendo produtos e soluções “gratuitas” aos seus usuários por um lado, mas que necessitam do retorno financeiro a partir desses produtos por outro lado. E de onde essas gigantes arrecadam esses recursos? Ora, da “venda” dos perfis de seus usuários aos seus clientes comerciais, do outro lado da nuvem. É por isso que, cada vez mais, elas precisam “conhecer melhor” seus usuários e seus hábitos. E fazem isso com maestria através de seus mais diversos algoritmos de inteligência artificial aplicado às suas soluções, sendo os aplicativos mensageiros a bola da vez.

Cabem aos usuários conhecimento, informação a respeito dos produtos e serviços utilizados e prudência quando da exposição de suas informações pessoais na grande nuvem que é a Internet.

Nem a Google, nem o Facebook – e demais empresas de tecnologia, como a Microsoft, a Apple, AOL, Yahoo, etc. – são bichos papões e nem devem ser encaradas como verdadeiros diabos do mundo digital, afinal de contas tudo é negócio: oferecem produtos gratuitos – que agradam os usuários – mas que deverão gerar recursos financeiros. Se você não paga pelo serviço de forma direta e consciente, vai pagar de forma indireta – e para muitos, também de forma inconsciente – não se iluda!

O importante não é radicalizar e parar de usar essas soluções por receio de violação de privacidade, mas sim usa-las com propósito e prudência, sabendo das vantagens e consequências, pois como qualquer negócio em que nos metemos, temos que analisar relação custo x benefício. Esta é a regra básica para viver de maneira consciente no mundo virtual.

Como parte do boicote da Google, seus produtos oficiais não são ofertados para a plataforma Windows Phone da Microsoft, o que pode frustrar alguns usuários de smartphones com o sistema Windows que desejarem utilizar o novo aplicativo.  Pra mim, no entanto, não faz qualquer diferença, uma vez que não sou usuário dos produtos de software da Google, não afetando em nada a minha vida pessoal e nem profissional.