13 de setembro de 2015

Wi-fi público. Rede livre para ataques

Você está em um restaurante, olha o celular e várias redes wireless abertas despontam no visor. Qual é o seu primeiro impulso? Aproveitar a facilidade e navegar livremente na internet. Certo? Quando faz isso, você se preocupa em saber a segurança daquela rede, se os certificados digitais são válidos e em ler os termos de uso? 

Se a resposta for não, você corre o sério risco de entrar para estatística de pessoas que já sofreram algum tipo de golpe pela internet. O que no Brasil pode ocorrer a cada 15 segundos. 

Uma pesquisa realizada pela Morphus Labs mostrou que, em Fortaleza, muitos usuários não se preocupam com a segurança da rede wi-fi que acessam. A empresa também aponta que boa parte das redes públicas estão bem suscetíveis a ataques, já que não dispõem de barreiras físicas e tecnológicas para garantir a segurança da navegação.

O teste foi realizado no final do ano passado em oito locais de grande circulação de pessoas, como shoppings, restaurantes e cinemas. Com um roteador falso, o diretor da Morphus, Renato Marinho, simulou a disponibilidade de uma conexão pública e desconhecida. O objetivo era saber quantas pessoas iriam acessá-la mesmo que o sistema apresentasse um certificado digital inválido e cláusulas abusivas nos termos de uso. No teste foram usadas questões bem explícitas como, por exemplo, de que os dados do cartão de crédito do usuário seriam capturados naquele acesso.

Ele passou três horas em cada local, mas não precisou de mais do que alguns segundos para perceber que muitas pessoas tentam usar aquele tipo de rede e o fazem sem se preocupar com a segurança daquela navegação. “As pessoas não se importam muito com a rede que estão acessando, só querem a facilidade de acessar a internet, mas não leem termos de uso ou se preocupam com o tipo de operação que fazem. O resultado disso é que os dados poderiam ser capturados com facilidade”.

Dos 437 usuários que tentaram acessar a rede, 39% deram prosseguimento mesmo com um alerta indicando que o certificado digital era inválido. Destes que seguiram, 82% ignoraram também o termo de uso abusivo. Aliás, poucos dedicaram tempo à leitura. A média foi de 23 segundos, mas teve gente que levou até três segundos antes de apertar a tecla avançar.

A pesquisa mostrou também que as chances deste acesso ocorrer aumentavam significativamente se a suposta rede, ao invés de uma identificação genérica, tivesse um nome mais contextualizado ao ambiente como, por exemplo, “shopping livre” ou “cinema”. No final da operação, aparecia para o usuário uma tela de erro, a internet não era oferecida e nenhum dado era capturado, mas os indicadores da pesquisa “Susceptibilidade dos Usuários aos Riscos de Redes Wireless Públicas” foram bem elucidativos.

Renato Marinho relata que mesmo deixando o aparelho propositalmente à vista de todos, em nenhum dos lugares alguém perguntou o que ele estava fazendo ali ou se aquela rede era mesmo a oficial do local. E apesar de atualmente já existirem protocolos de segurança que interceptam a entrada de roteadores falsos, em nenhum momento, o trabalho foi interrompido.

Os riscos das redes wi-fi

1. Por se comunicarem por meio de sinais de rádio, não há a necessidade de acesso físico a um ambiente restrito, como ocorre com as redes cabeadas. Devido a isto, os dados transmitidos por clientes legítimos podem ser interceptados por qualquer pessoa próxima
2. De simples instalação, muitas pessoas instalam redes wi-fi casa , sem qualquer cuidado com configurações mínimas de segurança
3. Em uma rede w-fi pública (como as disponibilizadas em aeroportos e hotéis) os dados que não estiverem criptografados podem ser indevidamente coletados e lido por atacantes
4. Uma redeWi-Fi aberta pode ser propositalmente disponibilizada por atacantes para atrair usuários, a fim de interceptar o tráfego (e coletar dados pessoais) ou desviar a navegação para sites falsos

Dicas para se proteger

1. Habilite a interface de rede Wi-Fi do seu computador ou dispositivo móvel somente quando for usá-la
2. Desabilite o modo ad-hoc - que dispensam um ponto de acesso comum aos computadores conectados, de modo que todos os dispositivos funcionam como se fossem um roteador
3. Use, quando possível, redes que oferecem autenticação e criptografia entre o cliente e o Access Point (AP), concentrador de acesso. Evite conectar-se a redes públicas, sem criptografia
4. Considere o uso de criptografia
5. Evite acessar serviços que não utilizem conexão segura (“https”)
6. Evite usar WEP, pois ele apresenta vulnerabilidades que permitem que o mecanismo seja facilmente quebrado; use WPA2 sempre que disponível. Caso seu dispositivo não tenha este recurso, utilize no mínimo WPA

Com informações O Povo Online