Falha em configuração atinge Wi-Fi de universidades brasileiras e mundiais
Por Felipe Demartini | Editado por Claudio Yuge | 25 de Outubro de 2021 às 20h40
Uma falha de configuração em um sistema Wi-Fi utilizado em universidades de todo o mundo, incluindo o Brasil, pode expor alunos, professores e funcionários ao roubo de credenciais de acesso. A brecha estaria em um sistema chamado Eduroam, administrado de forma comunitária pelos departamentos de tecnologia das próprias instituições, que também são os responsáveis por firmarem protocolos e as plataformas necessárias para que a rede gratuita funcione.
- Estes são os principais métodos de proteção de data centers
- Cibercriminosos buscam novos métodos para driblar avanços da segurança digital
- Ciberataque de "dupla extorsão" é a nova dor de cabeça das pequenas empresas
A descoberta foi feita pelos pesquisadores da WizCase, liderados por Ata Hakçil. Segundo o time, as plataformas Android e Windows são suscetíveis, enquanto apenas os usuários de dispositivos com iOS estão imunes à abertura, localizada no final do ano passado e revelada ao público somente agora, de forma a dar tempo para que as instituições realizassem as devidas alterações em seus sistemas. Do Brasil, fazem parte da lista nomes como a Unicamp, UFPR, UNIRIO, UFMT, Universidade de Brasília e mais de duas dezenas de outras; foram analisadas 3,1 mil redes do tipo espalhadas pelo mundo, sendo que mais de metade das conexões poderiam ser exploradas por atacantes devido a uma falha no sistema de checagem de certificados.
Por meio da criação de uma conexão falsa com nome e atributos semelhantes, dispositivos com configurações automáticas se ligariam a ela e transmitiriam seus dados, acreditando estarem ligados à infraestrutura real da universidade. Mais especificamente, a vulnerabilidade está em um sistema chamado EAP, ou Protocolo de Autenticação Extensível, na sigla em inglês. É o que permite, como acontece no caso da Eduroam, que os usuários se conectem ao Wi-Fi usando suas credenciais individuais e não uma senha universal da rede, com o dispositivo do usuário transmitindo suas credenciais em texto simples na última etapa dessa checagem.
O problema é que, uma vez logados na rede, os sistemas indicados como vulneráveis não realizam novas checagens quanto à veracidade dos certificados a não ser que a própria infra peça por isso; do contrário, acabam confiando nas configurações salvas anteriormente e abrindo as portas para o Wi-Fi malicioso usado no ataque. Em muitos casos, mesmo alertas de que tais recursos estão desatualizados ou não foram aceitos são ignorados pelos utilizadores, que não sabem o que o aviso significa ou estão acostumados a verem mensagens de erro desse tipo nas universidades, sem que elas representem perigos.
Segundo a WizCase, o iOS não é vulnerável ao ataque, pois realiza uma checagem do certificado dos servidores a cada conexão e não permite que ela seja finalizada caso algo esteja fora do padrão. É um recurso, afirmam os especialistas, que pode ser configurado pelos administradores da rede como um todo, de forma a evitar o roubo de dados dos usuários, mas que acaba sendo deixado de lado, também, pela falta de indicação específica nos manuais de configurações do Eduroam. Outra recomendação é quanto ao uso do protocolo MSCHAPv2, que transmite as credenciais do usuário em formato hash, justamente para coibir eventuais vulnerabilidades da rede. Nestes casos, o arquivo até seria obtido por atacantes, mas em um formato inútil para uso e sem colocar as informações dos envolvidos em perigo.
Em resposta aos especialistas, a Eduroam disse trabalhar ao lado de instituições que não seguem as políticas de segurança na configuração da rede, um comportamento que considerou inaceitável. Já em uma publicação mais extensa sobre o caso, a organização afirma que o problema de configuração não atinge sua rede de forma específica, mas sim, pode acontecer em qualquer conexão sem fio WPA que não siga os devidos protocolos de autenticação e verificação de certificados.
Na publicação, os responsáveis pela plataforma sugerem que as organizações sigam as melhores práticas de segurança e também as instruções de configuração disponíveis em materiais oficiais e guias divulgados. Caso os passos devidos sejam seguidos, a Eduroam afirma que as credenciais não serão vazadas a terceiros, enquanto os dispositivos não se conectarão às redes falsas utilizadas pelos atacantes. Aos usuários potencialmente atingidos, é recomendada a troca de senhas usadas para acesso aos sistemas universitários e, também, de outras plataformas que compartilhem as mesmas credenciais. Vale a pena, também, ficar de olho em conexões não autorizadas ou usos da própria conta por terceiros, além de desconfiar de mensagens que sejam enviadas por e-mail ou contenham links ou downloads de aplicações.
Atualização 27/10/2021 12h33: A reportagem foi alterada para incluir mais comentários da Eduroam sobre o tema, principalmente relacionados ao fato de que a falha pode estar disponível em qualquer rede sem fio mal configurada, não se tratando de um problema específico da plataforma.