O Reaver é uma ferramenta de teste de invasão que explora uma vulnerabilidade no protocolo WPS (Wi-Fi Protected Setup) para recuperar senhas WPA e WPA2 por ataque de brute-force contra o PIN do roteador. Desenvolvida por Craig Heffner na Tactical Network Solutions, a ferramenta tornou pública uma falha que afetava a maioria dos roteadores wireless do mercado quando lançada em 2011. O exploit baseou-se na pesquisa do pesquisador independente Stefan Viehböck, que demonstrou que o PIN de 8 dígitos do WPS podia ser quebrado em poucas horas.

A revelação causou impacto imediato na indústria de redes sem fio. Fabricantes como Cisco, Netgear, TP-Link e D-Link precisaram emitir atualizações de firmware para mitigar o problema, e o Wi-Fi Alliance recomendou desativação do WPS em dispositivos vulneráveis. O Reaver continua incluído na distribuição Kali Linux como ferramenta de auditoria de segurança wireless.

Pontos-chave

  • Vulnerabilidade de design: o PIN WPS de 8 dígitos é validado em duas metades independentes, reduzindo combinações de 100 milhões para 11 mil.
  • Recuperação de senha WPA: uma vez obtido o PIN correto, o roteador entrega a passphrase WPA/WPA2 em texto claro.
  • Desenvolvedor: Craig Heffner, pesquisador da Tactical Network Solutions.
  • Base teórica: pesquisa de Stefan Viehböck, que demonstrou a falha no design do protocolo WPS.
  • Mitigação: roteadores com firmware atualizado implementam bloqueio após tentativas falhas.

O que é o Reaver

O Reaver é uma ferramenta de linha de comando escrita em C que automatiza o ataque de brute-force contra o PIN WPS de roteadores wireless. O WPS foi introduzido em 2007 pela Wi-Fi Alliance como mecanismo de conexão simplificada, permitindo que usuários emparelhassem dispositivos com o roteador por meio de um botão físico ou PIN numérico, sem necessidade de digitar a senha WPA.

A vulnerabilidade explorada pelo Reaver reside no protocolo de validação do PIN. O PIN de 8 dígitos é verificado em duas etapas: primeiro os quatro primeiros dígitos, depois os quatro restantes. O último dígito é um checksum, o que reduz as combinações válidas. A combinação desses fatores reduz o espaço de busca de 100 milhões de possibilidades para aproximadamente 11 mil tentativas — um número viável de ser testado em horas.

O Reaver envia solicitações WPS ao roteador alvo, testa combinações de PIN sequencialmente e identifica quando cada metade é validada. Ao descobrir o PIN completo, o protocolo WPS exige que o roteador entregue a passphrase WPA/WPA2 ao dispositivo autenticado. A ferramenta captura essa senha em texto claro, independentemente da complexidade da passphrase configurada.

Funcionalidades e variantes

O Reaver opera em modo ativo, enviando pacotes de associação e solicitações WPS ao roteador alvo. Os parâmetros de linha de comando permitem configurar o canal de operação, o tempo entre tentativas, o PIN inicial para retomar sessões interrompidas e o modo de verbosidade. A ferramenta também suporta a técnica Pixie Dust, implementada na variante reaver-wps-fork-t6x, que explora uma falha adicional na geração de nonces criptográficos em algumas implementações de WPS, permitindo a recuperação do PIN em segundos sem brute-force completo.

A ferramenta companion wash escaneia redes próximas e identifica quais possuem WPS habilitado e vulnerável. O wash lista BSSID, canal, fabricante e versão do WPS, fornecendo o mapeamento necessário para direcionar o ataque do Reaver. A combinação das duas ferramentas automatiza todo o fluxo: identificar alvo, executar brute-force e extrair a senha.

O Reaver requer uma placa de rede wireless com suporte a modo monitor e injeção de pacotes, recursos presentes em adaptadores baseados em chipsets Atheros e Ralink. A ferramenta opera em sistemas Linux e é distribuída nativamente no Kali Linux, a distribuição voltada a testes de penetração mantida pela Offensive Security.

Casos de uso em auditoria

Pentestadores utilizam o Reaver em auditorias de segurança wireless corporativa para demonstrar a exposição de redes que dependem exclusivamente de WPA2 com senhas complexas. A descoberta de que um roteador com WPS habilitado torna a complexidade da senha irrelevante convence gestores de TI a desativar o recurso ou substituir equipamentos vulneráveis.

Equipes de resposta a incidentes avaliam a viabilidade do ataque ao investigar invasões confirmadas. Se um atacante obteve acesso à rede wireless, o Reaver pode ter sido o vetor — especialmente em redes onde o WPS permanecia ativo com firmware desatualizado. A análise de logs do roteador pode revelar tentativas de associação características do ataque.

Auditorias de conformidade com padrões como PCI-DSS, que exige proteção adequada de redes que transmitem dados de cartão de crédito, utilizam o Reaver como prova de que redes vulneráveis falham em atender aos requisitos de segurança wireless. Consultores de segurança incluem a ferramenta em relatórios técnicos para demonstrar riscos concretos de exposição.

Mercado e relevância

A relevância do Reaver diminuiu à medida que fabricantes corrigiram a vulnerabilidade. Roteadores modernos implementam lockout automático após um número configurável de tentativas falhas de PIN, o que torna o brute-force impraticável. Alguns fabricantes desativaram o método PIN do WPS por completo, mantendo apenas o método de botão físico, que não é vulnerável ao ataque.

A ferramenta mantém utilidade em ambientes com equipamento legado. Roteadores antigos ainda em operação em pequenas empresas, residências e infraestrutura industrial frequentemente executam firmware sem correção. O Medusa e o Metasploit Framework cobrem ataques de brute-force em outros protocolos, mas o Reaver permanece como a ferramenta de referência para exploração de WPS.

A evolução para WPA3 introduziu o protocolo SAE (Simultaneous Authentication of Equals), que substitui o handshake de quatro vias do WPA2 e elimina a vulnerabilidade a ataques de dicionário offline. O WPA3, contudo, ainda não atingiu adoção universal, e milhões de redes continuam operando com WPA2 — muitas delas em roteadores com WPS habilitado.

Considerações e limites

O ataque do Reaver é barulhento. Cada tentativa de PIN gera tráfego visível em logs do roteador e pode acionar alertas em sistemas de detecção de intrusão wireless. Roteadores com proteção implementada bloqueiam o atacante após poucas tentativas, exigindo reinício do dispositivo para resetar o contador — um evento que por si só denuncia a tentativa de ataque.

O uso do Reaver sem autorização expressa do proprietário da rede constitui crime na maioria das jurisdições, incluindo o Brasil, onde a Lei 12.737/2012 (Lei Carolina Dieckmann) tipifica o acesso não autorizado a dispositivos conectados à internet. Profissionais de segurança devem obter autorização formal antes de executar a ferramenta em qualquer rede que não lhes pertença. A documentação técnica está disponível no repositório do GitHub e na página oficial do projeto no Kali Linux Tools.