Mercado avaliado em US$ 6 bilhões, deverá crescer a uma taxa anual de 21,2%. Mas o que isso significa para as empresas?
Desde que o primeiro protocolo 802.11 foi lançado em 1997, o Wi-Fi se tornou um enorme mercado mundial avaliado em US$ 6 bilhões e projetado para atingir US$ 15,6 bilhões até 2022, com uma taxa de crescimento anual composta de 21,2%. Mas, apesar desse crescimento e do papel central que o Wi-Fi passou a desempenhar nos negócios e na vida em geral, a grande maioria dos access points Wi-Fi, roteadores e hotspots é composto por superfícies de ataque altamente expostas.
Praticamente, todas as empresas de segurança se concentram em ataques de aplicativos de camada sete (como malware e ransomware de dia zero), mas pouca atenção foi dada à camada de ataque de Wi-Fi. Há seis categorias de ameaças conhecidas na segurança Wi-Fi e elas não foram abordadas nos setores de rede e segurança por muito tempo.
Será preciso educação e conscientização para corrigir esse problema de segurança global. Um recurso para ajudar a aumentar a conscientização sobre o que constitui uma boa segurança de Wi-Fi é o Trusted Wireless Environment Framework. Ele explica como construir uma rede Wi-Fi completa que seja rápida, fácil de gerenciar e, o mais importante, segura. Para ser um verdadeiro ambiente sem fio confiável, um sistema Wi-Fi deve fornecer detecção e prevenção automáticas a partir dessas seis categorias conhecidas de ameaças Wi-Fi:
É um AP que foi fisicamente conectado a uma rede sem autorização explícita de um administrador. É uma violação instantânea do PCI-DSS. Os rogue APs estão conectados à rede autorizada, permitindo que os invasores ignorem a segurança do perímetro. Isso pode ser feito com um AP físico ou com um software criado em um computador e conectado a uma rede autorizada.
Por exemplo, em uma loja de varejo movimentada que tem clientes entrando e saindo o dia todo, é impossível ficar de olho em todos que estão lá. É possível que alguém entre no armário de fios e conecte o access point mais barato que conseguir. Agora, eles podem obter acesso à rede segura privada da empresa e sequestrar sistemas de ponto de venda para revelar números de cartão de crédito ou acessar controles do ambiente, como fechaduras de portas, alarmes e câmeras.
Os sistemas Wi-Fi precisam detectar se um sinal no ar está sendo transmitido de um access point fisicamente conectado à rede autorizada. Em caso afirmativo, ele precisa ser capaz de impedir que o rogue AP obtenha acesso à LAN. Também deve impedir que os clientes de Wi-Fi se associem a ele.
Evil twin APs imitam APs legítimos, falsificando SSID e, geralmente, endereços MAC também. Em seguida, os atacantes podem interceptar o tráfego como man-in-the-middle (MitM). Como, exatamente, isso funciona? Quando uma vítima é conectada, o invasor pode roubar credenciais, injetar códigos maliciosos nos navegadores, redirecionar a vítima para um site de malware e muito mais.
Se um funcionário do escritório na hora do almoço decidir conectar-se ao Wi-Fi guest para fazer compras no comércio eletrônico, um hacker próximo pode usar um evil twin AP transmitindo o mesmo SSID guest da empresa para enganar o funcionário. Quando pagam pelos produtos de compras on-line, enviam os detalhes do cartão de crédito diretamente ao atacante. Um sistema de segurança Wi-Fi não deve interferir com clientes não administrados pela rede autorizada, mas, ao mesmo tempo, deve detectar quando evil twin APs estão tentando obter clientes autorizados conectados e evitar essa associação.
Essa ameaça ocorre quando um cliente autorizado e gerenciado pela empresa se conecta a um convidado ou access point externo, ignorando a segurança de perímetro da empresa e contornando as restrições de segurança definidas pelo firewall. Não existe truque de hacker super secreto para isto. Qualquer funcionário pode estar (e provavelmente está) fazendo isso agora.
Ao optar por conectar seus dispositivos à rede de convidados, à rede da lanchonete no andar de baixo ou no acesso pessoal do seu celular (hot spot), os funcionários estão contornando a segurança da rede. As soluções Wi-Fi devem ser capazes de classificar automaticamente os dispositivos clientes gerenciados pela empresa como clientes autorizados e impedi-los de se conectarem a qualquer outro SSID além daqueles definidos pelos administradores de TI.
Qualquer cliente anteriormente conectado a um rogue AP ou outro AP malicioso dentro do alcance de uma rede privada é considerado um cliente rogue. Um cliente que se conectou a um rogue AP poder ter sido vitimado por uma infinidade de ataques man-in-the-middle (MitM), que incluem o carregamento de ransomworms, malware ou backdoors no cliente.
Quando um cliente rogue se conecta a outra rede, pode espalhar esse malware. Por exemplo, uma pessoa que passa pelo mesmo café no caminho para o trabalho todos os dias. Como ela já se conectou ao Wi-Fi do café, o telefone se conecta automaticamente sempre que entra na loja. Um dia, alguém cria um Evil twin AP engana o telefone dessa pessoa e o infecta com ransomware para que ele leve de volta ao escritório.
Os sistemas de segurança Wi-Fi precisam reclassificar automaticamente um cliente autorizado como um cliente rogue no momento em que é detectado, e impedir que este cliente se associe novamente a SSIDs privados autorizados até que a TI confirme que o dispositivo está livre de malware.
Essa ameaça é essencialmente uma conexão Wi-Fi peer-to-peer entre clientes que permitem que dois ou mais dispositivos se comuniquem diretamente entre si, contornando as políticas de segurança de rede e tornando o tráfego invisível. Qualquer funcionário pode configurar rapidamente uma rede ad-hoc entre os dispositivos de seus colegas, se quiser.
Por exemplo, como uma reunião está prestes a começar, um executivo está esperando por um arquivo que foi prometido há horas. Ele levaria muito tempo para usar o serviço de compartilhamento de arquivos de rede segura aprovado pela TI, portanto, um funcionário decide configurar uma rede ad-hoc para enviá-lo diretamente de laptop para laptop. As soluções de Wi-Fi devem ser capazes de detectar automaticamente quando clientes autorizados, gerenciados pela TI corporativa, participam de redes ad-hoc e impedir essa conexão, mesmo se criptografadas.
Pode ser muito fácil para os administradores de rede cometerem acidentalmente erros de configuração, como abrir um SSID privado sem criptografia, expondo informações confidenciais para interceptação. Isso pode acontecer sempre que um access point não estiver configurado corretamente (por exemplo, deixando as configurações padrão inalteradas). Imagine isso – um AP é enviado da empresa para um novo escritório e uma recepcionista se oferece para conectá-lo. Ela segue as instruções, mas comete um erro e instala o AP para transmitir um SSID aberto e vazar dados privados como uma peneira. Ela não pode ser culpada porque não é um profissional de TI, mas a empresa ainda tem um AP mal configurado que pode ser um sério risco para a organização.
Os sistemas de gerenciamento de Wi-Fi precisam incluir políticas de configuração nas quais os administradores de TI podem especificar detalhes como requisitos mínimos de criptografia em SSIDs difundidos por APs gerenciados e assim por diante. Um AP na rede autorizada que não aderir a essa política deve ser impedido de ter qualquer cliente conectado até que a TI resolva o erro de configuração.
