Pelo que vejo, esses ataques só parecem ser possíveis se o atacante já estiver conectado à rede da vítima
Na maioria dos casos, isso parece semelhante a ataques já conhecidos há muito tempo em ambientes de Wi‑Fi compartilhado, como aeroportos ou cafés
A novidade é que isso explora uma falha de implementação em alguns roteadores, que não conseguem separar corretamente o tráfego entre a rede de convidados e a rede normal
O atacante não precisa estar conectado à rede da vítima; basta estar conectado ao mesmo hardware
Como no caso do Eduroam, mesmo sem credenciais do Eduroam, o atacante pode interceptar os pacotes de um usuário do Eduroam pela rede de convidados no mesmo AP
Se houver apenas uma rede autenticada, essa perda de isolamento não tem importância, assim como um escape do sandbox do navegador é irrelevante quando se visita apenas um único site confiável
Como coautor do artigo, acho que a expressão “quebrar a criptografia do Wi‑Fi” é enganosa
Na prática, isso permite contornar o isolamento entre clientes
Houve casos em que, no Wi‑Fi aberto de uma universidade, foi possível interceptar o tráfego de outras redes, incluindo um Enterprise SSID
Não se trata de “quebrar” a criptografia, mas de “contorná-la”
Um roteador doméstico com um único SSID continua seguro
Fico curioso sobre casos como o da XFinity, em que o Wi‑Fi pago pelo usuário é compartilhado com a cidade inteira
Vejo de forma parecida. É um problema em ambientes que dependem de isolamento entre clientes, mas tem pouco impacto para o usuário comum
A maioria dos cookies de autenticação é protegida por TLS, então o risco real é limitado
Um AP transmite 2.4GHz e 5GHz ao mesmo tempo com vários BSSID, e, se a verificação de MAC duplicado ou o compartilhamento de GTK no WPA2-PSK forem fracos, o ataque fica mais fácil
Hardwares antigos, especialmente os anteriores ao 802.11w, provavelmente serão vulneráveis para sempre
O AirSnitch explora funções centrais das camadas 1 e 2 do Wi‑Fi para tirar proveito de falhas de sincronização entre clientes
O atacante consegue fazer MitM bidirecional não só no mesmo SSID, mas também em SSIDs diferentes ou em outros segmentos de rede
Como eu já via esse tipo de coisa desde a era do WEP, no começo dos anos 2000, hoje nem uso Wi‑Fi
Coloquei fita na câmera, removi a antena e até abandonei o e-mail
No fim, acho que só cabo de cobre ou fibra óptica oferece segurança de verdade
Disseram que você provavelmente gostaria do filme The Conversation, de 1974
Faço algo parecido. Deixo o Wi‑Fi em uma sub-rede separada, uso GrapheneOS e removi todos os microfones de hardware que consegui
O isolamento entre clientes é, na prática, uma função bem inconveniente
Os fabricantes partem do pressuposto de que todos os dispositivos vão se comunicar em uma grande rede única, mas, com isolamento, coisas como luzes Elgato ou Chromecast deixam de funcionar
Ainda assim, acho melhor do que alguém no hotel controlar meu Chromecast
Por isso sempre levo um roteador de viagem com OpenWRT para que meus dispositivos funcionem como em casa em qualquer rede
Já vi casos em que, mesmo sem isolamento entre clientes, a descoberta de dispositivos não funcionava porque o broadcast entre rede cabeada e sem fio não era ligado por bridge
Esse é justamente o objetivo original do isolamento entre clientes: evitar esse tipo de abuso com IoT
Em dormitórios ou redes compartilhadas ele é incômodo, mas impede que outras pessoas controlem meus dispositivos ou espalhem malware
Seria conveniente permitir exceções para certos protocolos ou faixas de IP, mas isso também aumentaria o risco de vazamento de dados
O título da matéria parece um pouco exagerado
Não quebra a criptografia do Wi‑Fi; apenas desativa o isolamento entre dispositivos dentro da mesma rede
Mas muitas empresas, universidades e órgãos do governo dependem do isolamento entre clientes para segmentação de rede, então para eles é um problema sério
Como coautor do artigo, ele reforça que “bypass” é mais correto do que “break”
Lendo o artigo, parece que a maior parte do Wi‑Fi doméstico pode ser vulnerável, porque normalmente o mesmo SSID é compartilhado entre 2.4GHz e 5GHz
A autenticação Radius também pode ser afetada em alguns casos
A mitigação é usar APs com apenas um único MAC
Com EAP-TLS fica seguro, mas ainda assim é preciso segmentação por VLAN
Há quem diga que, se não houver rede de convidados em casa, então está tudo bem
O atacante precisa se autenticar em pelo menos uma das redes, então um invasor completamente externo não consegue fazer isso
O EAP-TLS é forte, mas não impede ataques laterais vindos de outros dispositivos autenticados no mesmo AP
No Supernetworks.org, onde trabalho, sugerimos VLAN e senha por dispositivo
Isso é realmente um grande problema
Quando há redes Wi‑Fi diferentes no mesmo AP, um cliente de uma rede pode fazer MITM no tráfego da outra
Grande parte do Wi‑Fi corporativo depende desse tipo de isolamento
Ou seja, se eu estiver na rede de convidados, posso ler o tráfego da rede corporativa
O problema é que muitos APs oferecem apenas vários SSIDs, sem qualquer especificação que garanta isolamento em L2/L3
Lendo o artigo até o fim, o ponto central é que uma rede única protegida por uma senha forte não é uma grande ameaça para o AirSnitch
Mas, se a rede segura e a rede de convidados compartilham o mesmo AP, dá para acessar clientes da rede segura a partir da rede de convidados
Há casos, como a rede de convidados automática da Xfinity, em que isso é difícil de desativar
Esse ataque basicamente só funciona dentro de um SSID
Dá para mitigar com Private-PSK/Dynamic-PSK ou com atributos de VLAN em EAP/Radius
No WPA3/SAE é mais complicado, e a maioria dos equipamentos ainda não oferece suporte
O Hostapd agora suporta múltiplas senhas no WPA3
No projeto spr-networks/super, estamos usando uma implementação de PSK+VLAN por dispositivo
Mas a sincronização do Keychain nos aparelhos Apple e a randomização de MAC dificultam a implantação na prática, e, pela estrutura do SAE, é difícil tentar várias senhas ao mesmo tempo
Estou procurando uma recomendação de firewall para macOS
O firewall embutido é quase inútil e, se o isolamento entre clientes pode ser contornado, um firewall local se torna ainda mais importante
Eu deixo servidores de desenvolvimento escutando em 0.0.0.0 e quero ter certeza de que as portas estão fechadas quando me conecto a um Wi‑Fi público
Little Snitch é o mais conhecido, feito por desenvolvedores que entendem profundamente a arquitetura do firewall no macOS site oficial
1 comentários
Comentários no Hacker News
Pelo que vejo, esses ataques só parecem ser possíveis se o atacante já estiver conectado à rede da vítima
Na maioria dos casos, isso parece semelhante a ataques já conhecidos há muito tempo em ambientes de Wi‑Fi compartilhado, como aeroportos ou cafés
A novidade é que isso explora uma falha de implementação em alguns roteadores, que não conseguem separar corretamente o tráfego entre a rede de convidados e a rede normal
Como no caso do Eduroam, mesmo sem credenciais do Eduroam, o atacante pode interceptar os pacotes de um usuário do Eduroam pela rede de convidados no mesmo AP
Se houver apenas uma rede autenticada, essa perda de isolamento não tem importância, assim como um escape do sandbox do navegador é irrelevante quando se visita apenas um único site confiável
Na prática, isso permite contornar o isolamento entre clientes
Houve casos em que, no Wi‑Fi aberto de uma universidade, foi possível interceptar o tráfego de outras redes, incluindo um Enterprise SSID
Não se trata de “quebrar” a criptografia, mas de “contorná-la”
Um roteador doméstico com um único SSID continua seguro
A maioria dos cookies de autenticação é protegida por TLS, então o risco real é limitado
Hardwares antigos, especialmente os anteriores ao 802.11w, provavelmente serão vulneráveis para sempre
O AirSnitch explora funções centrais das camadas 1 e 2 do Wi‑Fi para tirar proveito de falhas de sincronização entre clientes
O atacante consegue fazer MitM bidirecional não só no mesmo SSID, mas também em SSIDs diferentes ou em outros segmentos de rede
Como eu já via esse tipo de coisa desde a era do WEP, no começo dos anos 2000, hoje nem uso Wi‑Fi
Coloquei fita na câmera, removi a antena e até abandonei o e-mail
No fim, acho que só cabo de cobre ou fibra óptica oferece segurança de verdade
O isolamento entre clientes é, na prática, uma função bem inconveniente
Os fabricantes partem do pressuposto de que todos os dispositivos vão se comunicar em uma grande rede única, mas, com isolamento, coisas como luzes Elgato ou Chromecast deixam de funcionar
Por isso sempre levo um roteador de viagem com OpenWRT para que meus dispositivos funcionem como em casa em qualquer rede
Em dormitórios ou redes compartilhadas ele é incômodo, mas impede que outras pessoas controlem meus dispositivos ou espalhem malware
O título da matéria parece um pouco exagerado
Não quebra a criptografia do Wi‑Fi; apenas desativa o isolamento entre dispositivos dentro da mesma rede
Lendo o artigo, parece que a maior parte do Wi‑Fi doméstico pode ser vulnerável, porque normalmente o mesmo SSID é compartilhado entre 2.4GHz e 5GHz
A autenticação Radius também pode ser afetada em alguns casos
A mitigação é usar APs com apenas um único MAC
Com EAP-TLS fica seguro, mas ainda assim é preciso segmentação por VLAN
No Supernetworks.org, onde trabalho, sugerimos VLAN e senha por dispositivo
Isso é realmente um grande problema
Quando há redes Wi‑Fi diferentes no mesmo AP, um cliente de uma rede pode fazer MITM no tráfego da outra
Grande parte do Wi‑Fi corporativo depende desse tipo de isolamento
O artigo citado na matéria é AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
Lendo o artigo até o fim, o ponto central é que uma rede única protegida por uma senha forte não é uma grande ameaça para o AirSnitch
Há casos, como a rede de convidados automática da Xfinity, em que isso é difícil de desativar
Esse ataque basicamente só funciona dentro de um SSID
Dá para mitigar com Private-PSK/Dynamic-PSK ou com atributos de VLAN em EAP/Radius
No WPA3/SAE é mais complicado, e a maioria dos equipamentos ainda não oferece suporte
No projeto spr-networks/super, estamos usando uma implementação de PSK+VLAN por dispositivo
Mas a sincronização do Keychain nos aparelhos Apple e a randomização de MAC dificultam a implantação na prática, e, pela estrutura do SAE, é difícil tentar várias senhas ao mesmo tempo
Estou procurando uma recomendação de firewall para macOS
O firewall embutido é quase inútil e, se o isolamento entre clientes pode ser contornado, um firewall local se torna ainda mais importante
Eu deixo servidores de desenvolvimento escutando em 0.0.0.0 e quero ter certeza de que as portas estão fechadas quando me conecto a um Wi‑Fi público
site oficial