É provável que já tenha ouvido que o Wi-Fi público representa um risco. Avisos para o evitar são quase tão comuns quanto o próprio Wi-Fi gratuito. No entanto, alguns desses avisos estão desatualizados, e o Wi-Fi público é, na verdade, mais seguro do que era. Ainda assim, os perigos persistem.
O Wi-Fi público é realmente seguro?
Este é um tópico complexo. É verdade que navegar em redes Wi-Fi públicas é consideravelmente mais seguro e privado do que no passado, graças à ampla adoção do HTTPS na web. Outros utilizadores na mesma rede Wi-Fi pública já não conseguem simplesmente espiar tudo o que você faz. Ataques do tipo “man-in-the-middle” não são tão fáceis de executar como antes.
A EFF chegou mesmo a defender que o Wi-Fi público é seguro, afirmando que “Existem muitas outras preocupações na vida. Pode riscar o ‘Wi-Fi público’ dessa lista.”
Este parece ser um conselho sensato. E seria ótimo se o Wi-Fi público fosse totalmente seguro! Sem dúvida, nós próprios utilizamos o Wi-Fi público e não nos preocupamos tanto com isso como antes.
Mas, se nos perguntar se o Wi-Fi é 100% seguro, a resposta é não. David Lindner, da Contrast Security, escreveu um artigo com argumentos contra os da EFF, destacando os riscos de hotspots maliciosos. A comunidade do Hacker News também partilhou as suas ideias sobre os perigos do Wi-Fi público. Apresentamos aqui uma análise dos riscos.
O principal ponto é: utilizadores comuns já não conseguem bisbilhotar as suas atividades em redes Wi-Fi públicas. No entanto, seria possível que um ponto de acesso malicioso praticasse um conjunto de ações prejudiciais. Usar uma VPN numa rede Wi-Fi pública ou preferir a sua rede de dados móveis é mais seguro do que usar Wi-Fi público.
Porque o Wi-Fi público é agora mais seguro do que antes
A criptografia HTTPS generalizada na web resolveu o principal problema de segurança do Wi-Fi público. Antes da disseminação do HTTPS, a maioria dos sites usava o protocolo HTTP não criptografado. Quando você acedia a um site padrão via HTTP num Wi-Fi público, outras pessoas na rede conseguiam espiar o seu tráfego, vendo a página web exata que estava a visualizar e monitorizando todas as mensagens e outros dados transmitidos.
Pior ainda, o próprio hotspot de Wi-Fi público podia executar um ataque “man-in-the-middle”, modificando as páginas da web que lhe eram enviadas. O ponto de acesso podia alterar qualquer página web ou outro conteúdo acedido via HTTP. Se você fizesse download de software via HTTP, um hotspot de Wi-Fi público malicioso poderia colocar malware em seu lugar.
Agora, o HTTPS está difundido e os browsers web assinalam os sites HTTP tradicionais como “não seguros”. Se você se ligar a uma rede Wi-Fi pública e aceder a sites por HTTPS, outras pessoas na rede Wi-Fi pública podem ver o nome de domínio do site a que está ligado (por exemplo, wdzwdz.com), mas nada mais. Não conseguem ver a página web específica que está a consultar e, certamente, não podem adulterar nada no site HTTPS em trânsito.
A quantidade de dados que outros conseguem espiar diminuiu substancialmente e seria mais difícil, até para uma rede Wi-Fi mal-intencionada, adulterar o seu tráfego.
Ainda é possível espiar
Embora o Wi-Fi público seja agora muito mais privado, ainda não é totalmente privado. Por exemplo, ao navegar na web, pode acabar num site HTTP. Um ponto de acesso malicioso pode ter adulterado essa página web quando ela lhe foi enviada, e outros utilizadores na mesma rede Wi-Fi pública conseguiriam monitorizar as suas comunicações com esse site – a página web que está a visualizar, o conteúdo exato da página e todas as mensagens ou outros dados que envie.
Mesmo ao utilizar o HTTPS, ainda existe algum potencial para espionagem. O DNS encriptado ainda não está disseminado, pelo que outros dispositivos na rede podem ver as solicitações DNS do seu dispositivo. Quando você se liga a um site, o seu dispositivo contacta o servidor DNS configurado na rede e localiza o endereço IP ligado a um site. Por outras palavras, se estiver ligado a uma rede Wi-Fi pública e estiver a navegar na web, outra pessoa por perto poderá monitorizar que sites você está a visitar.
No entanto, quem está a espiar não conseguiria ver as páginas web específicas que você carregou nesse site HTTPS. Por exemplo, saberiam que você se ligou a wdzwdz.com, mas não o artigo que estava a ler. Também conseguiriam ver outras informações, como a quantidade de dados a serem transferidos de um lado para o outro – mas não o conteúdo dos dados.
Persistem riscos de segurança no Wi-Fi público
Existem outros riscos de segurança potenciais associados ao Wi-Fi público.
Um ponto de acesso Wi-Fi malicioso pode redirecioná-lo para sites maliciosos. Se você se ligar a um ponto de acesso Wi-Fi malicioso e tentar ligar-se a bankofamerica.com, o ponto de acesso pode redirecioná-lo para um site de phishing que se faz passar pelo site do seu banco. O hotspot poderia executar um ataque do tipo “man-in-the-middle”, carregando o verdadeiro bankofamerica.com e apresentando-lhe uma cópia via HTTP. Ao fazer login, você envia os seus dados de login para o ponto de acesso malicioso, que os pode capturar.
Este site de phishing não seria um site HTTPS, mas você repararia no HTTP na barra de endereços do seu browser? Técnicas como HTTP Strict Transport Security (HSTS) permitem que os sites indiquem aos browsers que apenas se devem ligar via HTTPS e nunca via HTTP, mas nem todos os sites tiram partido disso.
As aplicações também podem ser um problema – será que todas as aplicações no seu smartphone validam os certificados corretamente? Será que todas as aplicações no seu computador estão configuradas para transferir dados via HTTPS em segundo plano, ou algumas aplicações usam HTTP automaticamente? Em teoria, as aplicações deveriam validar corretamente os certificados e evitar o HTTP em favor do HTTPS. Na prática, seria difícil confirmar se todas as aplicações se comportam corretamente.
Outros dispositivos na rede também podem representar um problema. Por exemplo, se estiver a usar um computador ou outro dispositivo com falhas de segurança não corrigidas, o seu dispositivo pode ser atacado por outros dispositivos na rede. É por isso que os PCs com Windows trazem um firewall ativado por defeito e porque este firewall é mais restritivo quando você informa ao Windows que está ligado a uma rede Wi-Fi pública em vez de uma rede Wi-Fi privada. Se indicar ao computador que está ligado a uma rede privada, as pastas partilhadas da rede podem ser disponibilizadas para outros computadores no Wi-Fi público.
Como se proteger
Embora o Wi-Fi público seja mais seguro e privado do que era, o panorama da segurança ainda é mais confuso do que gostaríamos.
Para obter a máxima proteção em redes Wi-Fi públicas, recomendamos o uso de uma VPN. Ao usar uma VPN, você se conecta a um servidor VPN único e todo o tráfego do seu sistema é encaminhado através de um túnel encriptado para o servidor. A rede Wi-Fi pública à qual se liga só vê uma ligação: a sua ligação VPN. Ninguém consegue ver os sites a que está a ligar-se.
Este é um dos principais motivos pelos quais as empresas usam VPNs (redes privadas virtuais). Se a sua organização disponibiliza uma para si, deve considerar seriamente ligar-se à mesma quando estiver em redes Wi-Fi públicas. No entanto, pode pagar por um serviço VPN e direcionar o seu tráfego através deste quando utiliza redes em que não confia totalmente.
Pode também optar por ignorar completamente as redes Wi-Fi públicas. Por exemplo, se tiver um plano de dados móveis com funcionalidade de hotspot (tethering) e uma ligação móvel forte, pode ligar o seu laptop ao hotspot do telefone em público e evitar os potenciais problemas associados ao Wi-Fi público.