Anatel proíbe venda de roteadores com senhas fáceis ou padronizadas
Em 5 de janeiro, a Agência Nacional de Telecomunicações (Anatel) publicou uma decisão histórica, que trata sobre a segurança cibernética de equipamentos de telecomunicação. O que mais chama atenção no conjunto de medidas, denominado Ato 77/2021, é a disposição sobre a venda de roteadores Wi-Fi no Brasil e a questão de senhas padronizadas nesses dispositivos.
O principal objetivo do ato, é “estabelecer um conjunto de requisitos de segurança cibernética para equipamentos para telecomunicações visando minimizar ou corrigir vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações”.
Por isso, fica determinado que, a partir de 180 dias após a publicação das medidas, nenhum roteador comercializado por aqui pode “utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos”.
Além disso, todos os fabricantes devem forçar, “forçar na primeira utilização, a alteração da senha inicial de acesso à configuração do equipamento”. Isso quer dizer que não será mais possível utilizar o famoso conjunto de usuário e senha “admin” para acessar o roteador.
O sistema terá de barrar senhas em branco ou consideradas fracas. Além de não poder armazenar chaves criptográficas dentro do próprio firmware.
Considerando outras áreas de segurança, os fornecedores desses equipamentos deverão avisar sobre o tempo de suporte a atualizações de segurança – que, de acordo com o ato, deve ser de no mínimo dois anos após o lançamento do produto.
Após a compra, os usuários também deverão ser alertados constantemente sobre quais alterações foram feitas no dispositivo assim que uma atualização de software for instalada – além de disponibilizar um canal direto para que os clientes possam reportar vulnerabilidades encontradas no produto.
Por fim, no caso de gerenciamento remoto, o conjunto de medidas solicita que os fabricantes empreguem métodos adequados de autenticação e criptografia, oferecendo “mecanismos de controle de acesso às interfaces de gerenciamento e administração remotos, de tal forma a limitar o acesso quanto à origem”.
Apesar das decisões serem totalmente voltadas ao Brasil, pode ser que a iniciativa da Anatel crie uma espécie de padrão global de segurança para esses aparelhos, já que é bem provável que as empresas procurem adequar os equipamentos de maneira a atingir vários mercados, não apenas o brasileiro.
Fonte: Anatel