Utilizar o Wi-Fi está se tornando cada vez mais comum, mas raramente é seguro. Operações de franquia onipresentes, incluindo Starbucks e McDonald’s, agora oferecem aos seus clientes acesso gratuito à Internet sem fio a partir de dezenas de milhares de filiais em todo o mundo.
Há grande produtividade para os usuários usando laptops, smartphones, que se utilizam destes serviços convenientes, no entanto, eles podem apresentar riscos de segurança dos quais devemos estar cientes.
Devido a facilidade de utilização, e em favor da conveniência do cliente , os Wi-Fi hot spots, estão cada vez mais presentes.
Wi-Fi pode ser um grande atrativo para o negócio, e deixando esses pontos com fácil acesso reduz o tempo e o custo necessário para treinar garçons, baristas e etc, como agentes de apoio técnico.
Isto significa, no entanto, que a responsabilidade pela segurança de dados é delegada para o usuário. Mas se o usuário é um dos seus empregados, ou clientes que está usando Wi-Fi para acessar sistemas corporativos, tais como e-mail?
Ataques redes Wi-Fi não protegidas, são muitas vezes surpreendentemente fácil de executar, mas há mecanismos de defesa que podem ser implantados.
Packet Sniffing
Tráfego não criptografado passando por cima das ondas públicas está sujeito a ser capturado pelos invasores. Os pacotes podem ser “capturados” a partir do ar e remontado em informação útil, como senhas e cookies, no laptop do atacante.
Algumas formas mais antigas de criptografia sem fio, como “Wireless Equivalent Privacy” (WEP), não são suficientes para prevenir tais ataques, ferramentas já existem há vários anos que permitem que hackers inexperientes quebrar chaves WEP em menos de cinco minutos.
Ataques sniffing foram automatizados para o ponto onde eles estão agora disponíveis como plug-ins com interface gráfica acessível, utilizável por atacantes com pouca ou nenhuma habilidade técnica. Por exemplo, o Firesheep plug-in para o Firefox automaticamente fareja cookies para o e-mail e Web sites de redes sociais, e então permite que o atacante faça login como vítima e seqüestrar a sessão com um simples clique. Desde sites de redes sociais estão sendo cada vez mais usados como ferramentas de negócios para se conectar com os clientes, este tipo de ataque tem o potencial para causar danos reais para as marcas.
Falsos Pontos de Acesso
Uma estratégia comum e simples para os atacantes oportunistas é para atrair as vítimas para se conectar diretamente a seus computadores portáteis através de Wi-Fi, configurando as máquinas para funcionar como pontos de acesso desonestos macio. Facilmente estabelecida, um ponto de acesso não autorizado atua como um nó em uma rede ad hoc peer-to-peer, tornando-se uma ponte entre as vítimas e um ponto de acesso real. Estas muitas vezes podem ser vistos em cafés, aeroportos e hotéis usando nomes de rede, tais como “Free Public Wi-Fi”. Vítimas conectar a essas redes encontram acesso à Internet, e pode não estar ciente de que o atacante está capturando todo o seu tráfego. Esta é uma forma de “man-in-the-middle” ataque e, a menos que os dados transmitidos são criptografados, deve ser considerado comprometido.
Ataques Evil Twin
O Evil Twin é uma forma relacionada de ataque que se baseia no fato que os sistemas operacionais muitas vezes se lembra dos usuários preferido redes Wi-Fi e tentativa de auto-conectar a eles na próxima vez que entrar na faixa. Pela captura e retransmissão um SSID da rede idêntica (que quer dizer, o nome da rede Wi-Fi aberta), um atacante com um ponto de acesso em seu laptop pode enganar as máquinas de sua vítima em conexão com o seu dispositivo em vez do cubo legítimo. O atacante também pode mandar para o ponto de acesso real a ser tirado do ar, seja fisicamente ou com um ataque de negação de serviço. A oportunidade para tais ataques se torna mais simples quando muitos ramos da mesma franquia de restaurantes usam o mesmo SSID para o seu Wi-Fi de serviços.
Criptografia
CIOs devem assumir que muitos trabalhadores, em algum ponto de uso de emissão da Companhia ou de dispositivos pessoais para realizar negócios em unsecured redes Wi-Fi. Mudanças no comportamento seriam difíceis de aplicar e até mesmo contraproducentes.
Se você deseja permitir que os funcionários acessem informações corporativas protegidas,incluindo e-mail, a partir de locais inseguros, uma Rede Privada Virtual cliente (VPN) é uma boa alternativa.
Um túnel VPN criptografa de tudo, desde o usuário até a borda da rede da empresa, independentemente de o sinal wireless em si é criptografada. Se todos os pacotes são interceptados, eles são inúteis para o atacante, sem a chave de criptografia correspondente. VPNs que usam Secure Sockets Layer (SSL) para criar seus túneis também fornecer um nível adequado de criptografia para recursos como acesso baseado na Web para e-mail corporativo.
Configuração segura
Alguns dos ataques descritos acima podem ser mitigados com políticas sólidas de configuração do cliente. Por exemplo, as políticas devem mandato de desligar os recursos de compartilhamento de diretório do Windows. Usar firewall devem ser rigorosamente aplicadas.
Usuários devem ser obrigados a manualmente, em vez de automaticamente, conectar-se a redes Wi-Fi, para reduzir o risco de acidentalmente ligar a um ponto de acesso não autorizado. HTTP seguro de acesso (conhecido como “HTTPS”) deve ser aplicada para sites públicos, sempre que possível. Sites como Twitter e Facebook, juntamente com vários serviços do Google, estão entre aqueles que agora permitem o uso de HTTPS para cada página em seus sites, ao invés de somente quando log in sessões criptografadas desta forma proporcionar uma defesa contra ataques, como Firesheep , mencionado acima. Com sites de redes sociais se tornando ferramentas de negócios importantes de produtividade para comercialização e suporte ao cliente, é importante ter em mente que uma sessão do Twitter seqüestrada resultante de um cookie “capturado” poderia rapidamente se transformar em uma dor de cabeça de relações públicas com implicações mais amplas para sua empresa.
Com as precauções adequadas, particularmente o uso de VPNs de acesso a recursos corporativos, não há nenhuma razão para que os funcionários não devam ser permitidos e incentivados a para tirar proveito de, Wi-Fi, enquanto eles estão na estrada.
A ascensão do iPhone, telefones e outros iPad e comprimidos significa que os usuários móveis, estão cada vez mais ansiosos, para ficar on-line em ambientes que você não controla. Esta tendência deverá ser adotada para os benefícios de produtividade que ele traz, mas de uma maneira segura.
Olá Evandro,
Já ouviu falar sobre o SpectraGuard da AirTight?
É uma solução de WIPS que protege contra todas as ameaças que você listou na matéria.
Abraços!