Atenção! É fácil hackear redes WiFi gratuitas

Seu voo está atrasado (mais uma vez!) e você precisa enviar um e-mail urgente, mas o sinal da operadora está baixo demais. Tudo bem, você está no aeroporto e há diferentes empresas, incluindo a administradora do local oferecendo acesso WiFi gratuito.  Pareceu ótimo, até que o pessoal de segurança da empresa percebe, alguns dias depois que alguém usou as suas credenciais para acessar a rede da empresa e copiar informações sensíveis. 

Essa é uma situação difícil de acontecer? Não! O uso mais comum para dispositivos móveis no mundo dos negócios é o
acesso ao e-mail corporativo, que contém informações confidenciais e é
frequentemente sujeito a tentativas de invasão.

Em um exemplo perfeito de como redes públicas wireless podem ser perigosas para privacidade e segurança, um hacker de Israel mostrou, durante a conferência de segurança DefCamp, em Bucareste, na Romênia, que poderia ter assumido uma rede WiFi gratuita de toda uma cidade. No caminho para voltar para casa um dia, o diretor de pesquisas da empresa israelense Equus Technologies, Amihai Neiderman, viu um hotspot wireless que não tinha visto antes. O que lhe chamou a atenção é que isso foi em uma área sem prédios. Acontece que o hotspot que ele viu, nomeado como “FREE_TLV”, fazia parte da rede WiFi gratuita disponibilizada pela prefeitura de Tel Aviv, em Israel. Isso fez Neiderman pensar: o quanto essa rede é segura?

Nas semanas seguintes, descobrir uma maneira de comprometer essa rede tornou-se um projeto alternativo durante o seu tempo livre. Primeiro ele se conectou à rede por meio de um dos pontos de acesso espalhados pela cidade e verificou qual era seu novo endereço IP. Esse costuma ser o endereço designado para o roteador por meio do qual todos os clientes WiFi acessam a Internet.

Ele então se desconectou e verificou que o endereço de IP, em busca de portas abertas. Ele descobriu que o aparelho estava servindo uma interface de login baseada na web pela porta 443 (HTTPS). Essa interface mostrava o nome da fabricante – Peplink – mas não trazia outras informações sobre o tipo ou modelo do aparelho. Uma análise da interface web também não revelou nenhuma vulnerabilidade básica, como injeção SQL, credenciais de login padrão ou fracas ou falhas de autenticação.

O especialista então percebeu que era necessário uma análise mais detalhada do firmware do aparelho. Identificar o aparelho e descobrir o firmware exato para baixar a partir do site da fabricante não foi fácil, uma vez que a Peplink cria e vende muitos tipos de aparelhos de redes para diferentes segmentos de mercado. No entanto, Neiderman eventualmente chegou à versão 5 do firmware do roteador Balance 380, da Peplink.

O firmware usava criptografia básica baseada em XOR para dificultar a vida de terceiros que tentassem aplicar engenharia reversa no seu sistema de arquivos, mas isso foi relativamente fácil  superá-lo.  Com tudo “desempacotado” e carregado em um emulador, Neiderman conseguiu a acessar os scripts da CGI (Common Gateway Interface) que formavam a interface web do roteador.

A partir daí, não demorou muito até que o pesquisador encontrasse uma vulnerabilidade de buffer overflow no script CGI que lidava com o processo de logout. A falha podia ser explorada ao enviar um cookie de sessão muito longa para o script e a exploração bem-sucedida resultava na execução arbitrária de código e controle completo sobre o aparelho.

Nedeirman se recusou a dizer se chegou a testar seu exploit nos roteadores da Peplink usados para operar a rede WiFi pública de Tel Aviv. No entanto, quando informou a falha para a Peplink, a empresa confirmou o problema e enviou um patch em uma atualização de firmware. Trocando em miúdos, o firmware dos roteadores da rede de Tel Aviv estavam realmente vulneráveis quando Neiderman descobriu a falha.

Apesar de descobertas de vulnerabilidades não serem incomuns, esse caso se destaca porque mostra que pessoas com algum conhecimento podem potencialmente atacar milhares ou dezenas de milhares de usuários ao comprometer redes WiFi públicas como essas operadas por administrações públicas em todo o mundo.

Ao controlar um roteador, os invasores podem espionar todo o tráfego não criptografado dos usuários que passa por ele e capturar informações sensíveis. Eles também podem realizar ataques ativos, como redirecionar usuários para servidores web maliciosos.

Infelizmente, só existe uma maneira de prevenir totalmente a intervenção através de conexões WiFi gratuitas não seguras: não usá-las. Mas os
funcionários remotos estão constantemente usando redes WiFi públicas em
aeroportos, hotéis, restaurantes, e cafés.. O melhor
plano é exigir conexões através de uma rede virtual privada (VPN) fornecida pelo departamento de TI da empresa.  VPNs usam uma combinação de conexões dedicadas e protocolos de
criptografia para gerar pontos virtuais de conexão e podem permitir o
acesso seguro através de redes WiFi públicas.