Questão É realmente possível para a maioria dos entusiastas invadir as redes Wi-Fi das pessoas?


Os usuários mais entusiasmados (mesmo que não sejam profissionais) podem usar técnicas bem conhecidas para romper a segurança do roteador doméstico comum?

Algumas opções básicas de segurança são:

  • senha de rede forte com vários métodos de criptografia
  • senha de acesso do roteador personalizado
  • WPS
  • sem transmissão SSID
  • Filtragem de endereço MAC

Alguns desses comprometimentos e o que fazer para tornar a rede doméstica mais segura?


156


origem


Com as ferramentas certas e tempo suficiente, tudo é possível. - joeqwerty
Filtragem MAC é absolutamente inútil - Ramhound
@Mondrianaire Para acesso à internet, minha rede de faculdade exigia que se inscrevessem e, posteriormente, identificassem você pelo endereço MAC. Era trivial para falsificar o endereço de um dos meus vizinhos do dormitório. Se eu tivesse feito algo ruim usando essa conexão, teria sido identificado como ela fazendo isso. Eu diria que a filtragem de endereços MAC é uma daquelas coisas que é muito fácil criar uma falsa sensação de segurança. - Izkata
Bem, eu estou dizendo que a filtragem MAC não é um recurso de segurança - Ramhound
@ Mondrianaire - Introduz um buraco. Se alguém estiver mascarando seu endereço MAC como um endereço que pertence a você, é um indício a menos de que alguém que não deveria estar lá estava em sua rede. Se você não está filtrando endereços MAC, eles provavelmente não se incomodarão em fazer isso. - Compro01


Respostas:


Sem discutir a semântica, sim a afirmação é verdadeira.

Existem vários padrões para criptografia WIFI, incluindo WEP, WPA e WPA2. O WEP é comprometido, portanto, se você estiver usando-o, mesmo com uma senha forte, ele pode ser facilmente quebrado. Acredito que o WPA é muito mais difícil de ser quebrado (mas você pode ter problemas de segurança relacionados ao WPS que o ignoram) e, a partir de outubro de 2017, o WPA2 também oferece segurança questionável. Além disso, até mesmo senhas razoavelmente difíceis podem ser forçadas por força bruta - Moxie Marlinspike - um hacker bem conhecido oferece um serviço para fazer isso por US $ 17 usando cloud computing - embora não seja garantido.

Uma senha forte do roteador não fará nada para impedir que alguém do lado do WIFI transmita dados pelo roteador, o que é irrelevante.

Uma rede oculta é um mito - enquanto existem caixas para fazer com que uma rede não apareça em uma lista de sites, os clientes sinalizam o roteador WIFI, portanto sua presença é trivialmente detectada.

A filtragem de MAC é uma piada, pois muitos (todos / todos?) Dispositivos WIFI podem ser programados / reprogramados para clonar um endereço MAC existente e ignorar a filtragem de MAC.

Segurança de rede é um assunto grande, e não algo passível de pergunta de Superusuário, mas o básico é que a segurança é construída em camadas para que mesmo que alguns sejam comprometidos nem todos sejam - também, qualquer sistema pode ser penetrado com tempo e recursos suficientes e conhecimento, então a segurança não é realmente uma questão de "pode ​​ser hackeada", mas "quanto tempo vai demorar" para hackear. WPA e uma senha segura protegem contra "Joe Average".

Se você quiser melhorar a proteção da sua rede Wi-Fi, você pode visualizá-la apenas como uma camada de transporte e criptografar e filtrar tudo que estiver passando por essa camada. Isso é um exagero para a grande maioria das pessoas, mas uma maneira de fazer isso seria configurar o roteador para permitir apenas o acesso a um determinado servidor VPN sob seu controle e exigir que cada cliente autentique por meio da conexão WIFI na VPN. Assim, mesmo que o WIFI seja comprometido, existem outras camadas [mais difíceis] para serem derrotadas. Um subconjunto desse comportamento não é incomum em grandes ambientes corporativos.

Uma alternativa mais simples para garantir melhor uma rede doméstica é eliminar completamente o WIFI e exigir apenas soluções cabeadas. Se você tem coisas como celulares ou tablets, isso pode não ser prático. Neste caso, você pode mitigar os riscos (certamente não eliminá-los), reduzindo a intensidade do sinal do seu roteador. Você também pode proteger sua casa para que a freqüência vaze menos - eu não fiz isso, mas um boato forte (pesquisado) diz que mesmo a malha de alumínio (como a tela mosquiteira) do lado de fora da sua casa, com bom aterramento pode fazer um enorme diferença para a quantidade de sinal que vai escapar. [Mas, claro, cobertura de celular bye-bye]

Na frente de proteção, outra alternativa pode ser pegar seu roteador (se ele é capaz de fazer isso, a maioria não é, mas eu imagino roteadores rodando openwrt e possivelmente tomate / dd-wrt) para registrar todos os pacotes que atravessam sua rede e ficar de olho nisso - Inferno, mesmo apenas o monitoramento de anomalias com total de bytes entrando e saindo de várias interfaces pode lhe dar um bom grau de proteção.

No final do dia, talvez a pergunta a ser feita é "O que preciso fazer para não valer a pena um hacker ocasional invadir minha rede" ou "Qual é o custo real de ter minha rede comprometida"? de lá. Não há resposta rápida e fácil.

Atualização - out 2017

A maioria dos clientes que usam o WPA2 - a menos que corrigidos - podem ter seu tráfego exposto em texto simples usando "Ataques Chave de Reinstalação - KRACK"  - o que é uma fraqueza no padrão WPA2. Notavelmente, isso não dá acesso à rede, ou ao PSK, apenas ao tráfego do dispositivo de destino.


146



Sim, qualquer um pode alterar seu endereço MAC para um whitelisted, mas isso não causa a) problemas imediatamente perceptíveis para o dono original do endereço MAC, eb) isso não é uma segurança bastante obscura pela obscuridade? Quando um computador transmite seu MAC claramente em uma rede doméstica? - bright-star
A hora mais comum de um computador expõe é o endereço MAC quando usa uma conexão de rede - não é realmente raro. Quanto ao obscuro - não é obscuro em relação ao contexto da questão que é o que um entusiasta poderia fazer, que presumivelmente inclui a busca na web de forma eficaz. - Ram
@landroni - Não, não é fácil, no entanto, se a senha for composta de palavras comuns, ela ainda está bem dentro do reino das rachaduras. O craqueamento não precisa ser feito pela máquina tentando se conectar - em vez disso, ele pode coletar as informações necessárias e enviá-las para a nuvem para quebrar com muito mais energia, recursos e até mesmo tabelas de arco-íris. Uma senha aleatória de 20 caracteres será bem à prova de balas. Dê uma olhada em cloudcracker.com - davidgo
@clabacchio porque agora você tem incomodado seus usuários? - Cruncher
@clabacchio desligar a rede inteiramente também tornaria mais "seguro". Os usuários ficariam felizes com isso? - o0'.


Como outros disseram, esconder SSID é trivial para quebrar. Na verdade, sua rede aparecerá por padrão na lista de redes do Windows 8, mesmo que não esteja transmitindo seu SSID. A rede ainda transmite sua presença através de quadros de sinalização de qualquer maneira; simplesmente não inclui o SSID no quadro beacon se essa opção estiver marcada. O SSID é trivial para obter do tráfego de rede existente.

A filtragem MAC também não é muito útil. Pode abreviar o script kiddie que baixou um crack WEP, mas definitivamente não vai impedir ninguém de saber o que está fazendo, já que eles podem simplesmente falsificar um endereço MAC legítimo.

No que diz respeito ao WEP, está completamente quebrado. A força da sua senha não importa muito aqui. Se você estiver usando o WEP, qualquer pessoa poderá fazer o download de software que invadirá sua rede rapidamente, mesmo que você tenha uma senha forte.

O WPA é significativamente mais seguro que o WEP, mas ainda é considerado quebrado. Se o seu hardware suporta WPA, mas não WPA2, é melhor do que nada, mas um usuário determinado provavelmente pode quebrá-lo com as ferramentas certas.

WPS (configuração protegida sem fio) é a ruína da segurança de rede. Desativar independentemente da tecnologia de criptografia de rede que você está usando.

O WPA2 - em particular a versão dele que usa o AES - é bastante seguro. Se você tiver uma senha decente, seu amigo não entrará em sua rede protegida por WPA2 sem obter a senha. Agora, se a NSA está tentando entrar em sua rede, isso é outro assunto. Então você deve simplesmente desligar seu wireless inteiramente. E provavelmente a sua conexão com a internet e todos os seus computadores também. Com tempo e recursos suficientes, o WPA2 (e qualquer outra coisa) pode ser hackeado, mas provavelmente vai exigir muito mais tempo e muito mais recursos do que o seu amador médio terá à sua disposição.

Como David disse, a verdadeira questão não é "Isso pode ser cortado?" mas, em vez disso, "Quanto tempo vai demorar alguém com um conjunto particular de recursos para hackeá-lo?" Obviamente, a resposta a essa questão varia muito em relação ao que é esse conjunto particular de capacidades. Ele também está absolutamente certo de que a segurança deve ser feita em camadas. As coisas de que você gosta não devem passar pela sua rede sem serem criptografadas primeiro. Então, se alguém invadir sua rede sem fio, eles não devem ser capazes de entrar em algo significativo além de talvez usar sua conexão com a internet. Qualquer comunicação que precise ser segura ainda deve usar um algoritmo de criptografia forte (como o AES), possivelmente configurado via TLS ou algum esquema de PKI. Certifique-se de que seu e-mail e qualquer outro tráfego da Web confidencial esteja criptografado e que você não esteja executando nenhum serviço (como compartilhamento de arquivo ou impressora) em seus computadores sem o sistema de autenticação adequado.


Atualização de 17 de outubro de 2017 - Essa resposta reflete a situação anterior à recente descoberta de uma grande nova vulnerabilidade que afeta o WPA e o WPA2. o Reinstalação Chave AttaCK (KRACK) aproveita uma vulnerabilidade no protocolo de handshaking para o Wi-Fi. Sem entrar nos detalhes da criptografia desordenada (sobre os quais você pode ler no site vinculado), todas as redes Wi-Fi devem ser consideradas interrompidas até que sejam corrigidas, independentemente de qual algoritmo de criptografia específico estejam usando.

Questões relacionadas ao InfoSec.SE relacionadas ao KRACK:
Consequências do ataque WPA2 KRACK
Como posso me proteger do KRACK quando não posso pagar por uma VPN? 


52



Boa resposta, especialmente o pouco sobre o WPA2-AES. Gostaria de acrescentar que o SSID é usado para salgar uma chave WPA, por isso, se você não quer sua chave WPA rainbow-tabled, melhor alterná-lo para algo diferente de "NETGEAR". - zigg
O quão difícil é falsificar um endereço MAC, já que você teria que conseguir um que estivesse na lista branca. Eu sei de tudo que é transmitido posso ser apanhada manualmente, mas isso não é muito trabalho? - Seth
Não, é incrivelmente fácil. Ele é enviado em texto simples no início de literalmente cada quadro, então tudo que você precisa fazer é capturar um único pacote legítimo na rede para encontrar um MAC na lista branca. Como eu disse na minha resposta, é trivial para quem sabe o que está fazendo. - reirab


Já que outras respostas neste tópico são boas, eu acho que, para aqueles que estão solicitando uma resposta concreta (bem ... isso é SuperUser, não é?), A questão poderia ser facilmente traduzida como: "O que devo saber para tornar minha rede WiFi segura?".
Sem negar (nem confirmar) nenhuma das outras respostas, esta é minha resposta curta:

As palavras do criptologista Bruce Schenier podem valer conselhos para muitos usuários se lembrarem:

A única solução real é desconectar o cabo de alimentação.

Isso geralmente pode ser aplicado a redes sem fio: precisamos constantemente que funcione?
Muitos roteadores têm Botão WiFi para ativar / desativar sem fio, como o D-Link DSL-2640B .
Se não, você sempre pode automatizar a ativação / desativação da Web de wireless usando ferramentas como iMacros  (disponível como uma extensão para o Firefox ou como um programa independente) no Windows e muitos outros no Linux.

E aqui estão dois truques para WPA (por favor, esqueça WEP) password (a boa senha WPA vai fazer ataques muito difícil) criação (não mantenha a senha padrão):

  1. Usar palavras inexistentes e / ou estrangeiras: SilbeasterStallonarius, Armorgeddon, HomecitusSapiensante (como nenhum dicionário simples pode ser usado para encontrá-los).
  2. Crie sua própria sentença fácil de lembrar (para você, pelo menos) e defina sua senha, pegando o primeiro caractere de cada palavra. Os resultados serão difícil de quebrar (Mínimo de 8 caracteres) fácil de lembrar senha que inclui letras maiúsculas e minúsculas, números e alguns outros não alfabético personagens:
    "Você tem dois filhos e três gatos, e você os ama." -> "Yh2sa3c, aylt"

E, por amor a Deus: desativar WPS agora mesmo! É totalmente falho.


14



Por favor, esqueça o WPA e o WPA2-TKIP. Use seus truques em WPA2-AES. - Darth Android
Qual seria o ponto de uma senha wifi facilmente memorável? Afinal, você está raramente conectando dispositivos. Basta usar uma senha aleatória longa - como Lm, -TMzQ7cf \ 6. "OwhAnpqC *. - Hans-Peter Störr
Se você tiver um conjunto estático de dispositivos que raramente são alterados, clique em OK. Algumas pessoas têm amigos com gadgets que precisam ativar, e as senhas aleatórias são problemáticas aqui. (Pode haver outras soluções como uma rede de convidados, mas isso ainda permitirá o acesso a convidados que não sejam convidados e que queiram usar seus recursos) - davidgo
@hstoerr, em minha experiência como usuário final e consultor de empresas, eu (quase) sempre descobri que senhas complexas são irritantes e, por fim, descartadas. Você precisa de uma solução de compromisso. - Sopalajo de Arrierez
Você está certo, @IQAndreas: é mais memorável e mais difícil de decifrar. Mas não é mais fácil digitar. E, nos meus testes com o HashCat, apenas para o modo mais curto Yh2sa3c,aylt., vai durar um tempo estimado de mais de 10 anos para a força bruta (mesmo usando um dos computadores pessoais mais rápidos que você pode pagar hoje). - Sopalajo de Arrierez


Nenhuma das coisas que você menciona (além da senha da rede) realmente afeta o hacking de uma rede Wi-Fi. De certa forma, um filtro de endereço MAC e um SSID oculto realmente não ajudam em termos de segurança.

O que realmente importa é o tipo de criptografia usado na rede. Criptografias de rede mais antigas, como WEP, eram triviais de serem quebradas porque, com tráfego suficiente, você poderia decodificá-las, e você poderia forçá-las a gerar o tráfego que você precisava.

Os mais novos, como o WPA2, são muito mais seguros. Agora, nada é 'seguro' contra todos os adversários, mas isso geralmente é suficiente para o Wi-Fi em casa.

É um tema grande, e isso só toca na ponta do iceberg, mas espero que ajude.


7





WEP e WPA1 / 2 (com WPS ativado) podem ser hackeados trivialmente; o primeiro usando IVs capturados e o último com uma bruteforce WPS PIN (apenas 11.000 combinações possíveis, a partir de um pino de 3 partes; 4 dígitos [10.000 possíveis] + 3 dígitos [1.000 possíveis] + soma de verificação de 1 dígito [computada do restante]) .

O WPA1 / 2 é mais difícil com uma senha forte, mas usar o cracking do GPU e uma técnica de força bruta pode derrubar alguns dos mais fracos.

Eu pessoalmente decifrei WEP e WPS na minha rede de trabalho (com permissão, eu estava demonstrando as vulnerabilidades para meus empregadores), mas ainda não consegui decifrar o WPA com sucesso.


6





Esta é uma ótima pergunta, e as diretrizes para ter acesso sem fio muito seguro devemos ser bem conhecido. Configure seu roteador / gateway / AP para que:

  • a segurança sem fio é somente WPA2
  • criptografia é somente AES
  • use uma chave pré-compartilhada que contenha várias palavras (por exemplo, IloveSuperUser)
  • desativar WPS
  • desabilitar a administração remota

É isso aí! Para todos os efeitos práticos, agora você tem uma conexão sem fio totalmente segura.


5



@Jason Uma pergunta imediatamente; o que você tem contra os espaços? - deworde
@ryyker eu disse para fins práticos. - Jason
@deworde eu não, mas alguns roteadores e gerenciadores de conexões baratos fazem isso. - Jason


Mais no Cisco Learning Network fórum, um iniciante de discussão perguntou:

O WPA / TKIP pode ser quebrado? Ou alguém na minha casa de hóspedes usou 80 gigs de dados ou alguém por perto quebrou a senha e a usou. Eu suspeito que alguém na casa de hóspedes, porque eu acho difícil de acreditar WPA / TKIP pode ser quebrado e mesmo se ele pode ser quebrado, não seria fácil de fazer. Quão difícil é se quebrar o WPA / TKIP? Eu quero mudar a senha para eles de qualquer maneira, posso usar - e _ e? personagens?

Um sujeito obviamente muito inteligente chamado "Zach" fez esta postagem que o iniciador de linha, aqui (e outros, aqui, também, se estiverem interessados), deveria ler.

Em particular, leia de cerca de dois terços do caminho de sua postagem, onde ele começa com as palavras "As soluções:".

Estou usando o gateway "WPA-PSK (TKIP) / WPA2-PSK (AES)"cenário. De acordo com esta postagem de Zach ...

Altere o nome do seu roteador para algo único. Seu ESSID é usado pelo seu suplicante wlan como um sal criptográfico sobre o PMK. Alterar isso eliminará os ataques pré-computação.

... há muito tempo uso meu próprio ESSID exclusivo. Além disso, de acordo com sua ...

Crie uma senha única que incorpore caracteres, números e maiúsculas exclusivos. várias palavras e letras minúsculas. Isso é mais importante que o comprimento. Aumentar o comprimento da senha só aumentará a força das senhas, mas não precisa ser obscenamente   longo. A força está em variação de potencial. Isso eliminará ataques de dicionário e impossibilitará a força bruta sem um supercomputador.

... o meu tem 25 caracteres, que consistem em letras, números, letras maiúsculas e minúsculas e caracteres especiais. Nenhuma parte disso significa alguma coisa.

Eu faço várias outras coisas que Zach faz e não enumera lá; mas além do acima, e disse outras coisas, e pelo menos o espírito do que ele escreveu aqui ...

Ative o log detalhado e, se possível, encaminhe isso para o seu email.

... Há muito tempo, escrevi um pouco de código de script que é iniciado automaticamente com a inicialização do Windows e executado na bandeja do sistema; qual código periodicamente, ao longo do dia, atualiza e analisa a página da web em meu gateway, que lista todos os dispositivos conectados; e então me diz como um alto-falante pop-up-com-triplo-bip-através da-placa-mãe (não os alto-falantes de áudio regulares, apenas no caso eles são silenciados ou algo assim) no computador do meu laptop de substituição de desktop tela, e também via texto para o meu telefone (que está em uma bolsa no meu cinto, ou pelo menos a menos de cinco metros de mim, 24/7/365), se alguma coisa nova tiver aparecido.

Para aqueles sem essa habilidade, existem vários aplicativos do tipo "quem está no meu WI-FI", alguns deles gratuitos. Um bom e simples é [este badboy] [3]. Basta iniciá-lo automaticamente com o Windows, deixá-lo na bandeja do sistema e dizer "beep no novo dispositivo" e você terá algo parecido com o que o meu script faz (exceto que ele não enviará SMS para você). No entanto, usando [uma ferramenta de script simples] [5] você pode fazer com que um SMS ou e-mail seja enviado para o seu telefone quando um novo dispositivo na LAN fizer o apito do aplicativo.

Espero que ajude.


3



O último parágrafo da sua resposta parece não ter dois links. - Twisty Impersonator


Outra consideração para qualquer análise de segurança é os ativos que precisam de proteção e o valor desses ativos para o proprietário e um invasor em potencial. Eu diria que o seu login bancário, número de cartão de crédito e outras credenciais de login são provavelmente as informações mais valiosas em uma rede doméstica e a maior parte disso deve ser coberta pela criptografia TLS / SSL através de uma conexão https. Então, parece que se você usar uma chave WPA2 em seu roteador Wi-Fi, e certifique-se que seu navegador usa https sempre que possível (usando uma ferramenta como https de eff em todos os lugares), você é bastante seguro. (Um invasor em potencial teria que se dar ao trabalho de quebrar sua chave WPA2 para talvez obtenha uma senha que não ultrapasse os https ou as páginas http que você está navegando.


2





Duvidoso.

Eu não concordo com a resposta de davidgo. Embora seja bem pesquisado e concordo com a maioria de suas informações, acho que é um pouco pessimista.

Existem vulnerabilidades no WPA2 já cobertas nas outras respostas. No entanto, nenhum destes é inevitável.

Em particular, deve-se notar que o ataque de força bruta mencionado por davidgo é um ataque a uma falha no MS-CHAPv2. Veja a referência do autor citado [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ]. Se o Ms-CHAP não for usado, essa fraqueza não poderá ser explorada. (excluído com base no comentário do autor - referência errada)

Com a senha correta, SSID e evitando comprometimento de tecnologia, não vejo razão para que uma rede segura com WPA2 usando o AES256 não seja segura no momento. Ataques de força bruta em tais redes não são viáveis, e até Moxy Marlinspike sugere isso.

No entanto, onde eu concordo com a resposta davidgo é que a maioria dos usuários não faz esses esforços. Eu sei que a minha própria rede doméstica pode ser explorada e, embora eu saiba como consertar isso, não vale a pena o meu tempo e esforço.


2



MS-CHAP é algo diferente (é usado em PPTP, ou seja, conexões VPN e não conexões sem fio, a menos que você esteja executando o PPTP através de Wifi que é amplamente inútil. MS-CHAP é conhecido por ser totalmente quebrado). O que eu estava me referindo com o Cloudcracker é outra coisa. Você prepara e envia uma amostra do tráfego de rede e o serviço tenta forçá-lo a força bruta. Entre outras coisas, tenta quebrar as senhas WPA e WPA2. O link é cloudcracker.com (nada depois disso). Concordo que COM UMA SENHA FORTE, o WPA2 provavelmente não é prático para a força bruta. - davidgo