janeiro 07, 2008

[Segurança] Gripe WiFi

O portal ars technica publicou recentemente um artigo interessante entitulado "WiFi flu: viral router attack could hit whole cities" onde apresenta o trabalho de alguns pesquisadores da Universidade de Indiana (veja o texto original, em PDF, "WiFi Epidemiology: Can Your Neighbors’ Router Make Yours Sick?") que simularam a possibilidade de um verme atacar access points WiFi e qual seria o impacto desta ameaça.

De acordo com o estudo, um ataque direcionado aos roteadores wireless e que se espalhasse através deles poderia rapidamente e facilmente se propagar por toda uma cidade. Os pesquisadores utilizaram dados reais sobre a cobertura WiFi em 7 cidades americanas e criaram um modelo matemático para simular a infecção causada por um suposto malware que se propagaria de roteador wireless a roteador wireless através de falhas simples (acesso remoto através de exploração de redes protegidas por protocolo WEP e roteadores utilizando senhas de acesso facilmente descobertas - senhas default ou descobertas através de ataque de dicionário).

Os cenários de infecção obtidos para as cidades analisadas (Chicago, Boston, New York, San Fransisco Bay area, Seattle, e Indiana do Norte e do Sul) mostram que uma infecção inicial em um pequeno número de roteadores WiFi pode atingir milhares de dispositivos em uma semana, com a maioria sendo atingida nas primeiras 24 horas. Em uma epidemia hipotética em Chicago, por exemplo, o código malicioso rapidamente se propagaria nas redes WiFi nas primeiras horas, tomando controle de aproximadamente 37% dos routers após 2 semanas.

O artigo, embora teórico, mostra como uma ameaça deste tipo pode causar um grande impacto. Embora ainda não tenhamos tido notícias de algo similar, este tipo de situação já vem sendo previsto por diversos especialistas. A infecção de um roteador wireless ocorre quando um código malicioso, especialmente criado para este fim, utiliza um roteador (ou outro tipo de dispositivo WiFi) previamente infectado para se comunicar com um outro sistema vulnerável, através de sua interface administrativa pelo canal wireless. Este acesso entre os dispositivos pode ser facilitado por alguma falha de configuração (como uso de senhas fracas) ou vulnerabilidades conhecidas. Uma vez que o malware estabelece o acesso administrativo, ele faria o upload de seu código no firmware do roteador (um processo simples, que leva poucos minutos).

Este tipo de ameaça já foi apresentado na Defcon 14, em agosto de 2006, pela equipe do Church Of WiFi (na palestra "New Wireless Fun From the Church Of WiFi"). Na ocasião, eles apresentaram um bug real nos roteadores wireless de um grande fabricante e como, teoricamente, isto poderia ser utilizado por um código malicioso.

As duas melhores formas de se prevenir contra este tipo de ameaça continuam sendo o uso de criptografia nas redes wireless (WEP e WPA, principalmente esta última) e o uso de senhas fortes para controle de acesso (tanto no acesso dos usuários a rede quanto no acesso administrativo aos equipamentos).

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.