Governo do Reino Unido declara guerra ao cibercrime: senhas padrão fracas serão proibidas
Ontem, Matt Warman, ministro do Departamento de Digital, Cultura, Mídia e Esporte da Grã-Bretanha (DCMS), disse ao The Telegraph que ele e sua equipe querem transformar o Reino Unido no "lugar mais seguro para se estar online". Isso soa muito bem, mas pergunte a qualquer político em qualquer país, e eles dirão exatamente a mesma coisa sobre o pedaço de terra pelo qual são responsáveis. As autoridades eleitas da Grã-Bretanha, no entanto, acreditam que sabem como fazê-lo.
O DCMS anunciou que está trabalhando em uma legislação que proíbe as vendas no Reino Unido de dispositivos IoT que vêm com senhas fracas e padrão. O departamento proporá um projeto de lei que, espera, será bem recebido pelos membros do Parlamento e será transformado em lei. "O mais rápido possível" foi o mais próximo possível de uma ETA que o governo pudesse propor, o que não é exatamente um período sólido, mas o lado positivo, sempre que isso acontece, é que a proibição de senhas padrão em dispositivos inteligentes certamente será boas notícias, certo?
Índice
O governo britânico entende o problema até certo ponto
A notícia realmente boa é que mais e mais pessoas estão começando a perceber qual é o problema. A onda interminável de dispositivos conectados à Internet transformou nossa vida cotidiana, mas sem dúvida teve um efeito ainda mais profundo no cenário de ameaças online. Muitas das engenhocas de IoT que compramos aos milhões são incrivelmente fáceis de comprometer e podem atuar como um veículo para qualquer coisa, de brincadeiras (relativamente) inofensivas a ataques DDoS e ataques cibernéticos disruptivos.
Invadir uma lâmpada inteligente, um monitor de bebê ou outra parte da tecnologia IoT é geralmente tão fácil quanto usar um mecanismo de pesquisa especializado e pesquisar a marca e o modelo para obter as credenciais de login padrão. Em certos casos, é necessário experimentar combinações simples como "123456". O DCMS acha que banir senhas fracas e padrão pode dificultar muito mais a vida dos hackers. Mas será que a legislação proposta realmente terá o efeito desejado?
Senhas padrão e fracas são apenas parte do problema
A senha padrão costuma ser aclamada como o principal motivo da lamentável segurança da IoT. Isso ocorre (pelo menos em parte) porque o público em geral tem mais facilidade em entender como esse tipo de ataque funciona. É também por isso que a senha prontamente disponível é a primeira coisa que os legisladores estão buscando. A verdade é, no entanto, na maioria das vezes, as credenciais de login padrão são apenas uma parte do problema.
No ano passado, por exemplo, a Comissão Européia emitiu um recall de um lote de smartwatches infantis por questões de privacidade. Nesse caso, o problema não era a senha padrão, mas o fato de os gadgets estarem transferindo grandes volumes de informações confidenciais sem criptografá-las. Existem vários outros exemplos que nada têm a ver com o processo de autenticação, mas ainda servem como prova de quão fraca é a segurança de alguns dispositivos de IoT.
As razões para o atual estado de coisas são bem claras para quem está prestando muita atenção à chamada revolução da Internet das Coisas. Os fornecedores estão em uma corrida para satisfazer um desejo recentemente descoberto de conectar itens do cotidiano à Internet o mais rápido e o mais barato possível. Os projetos são feitos às pressas e construídos com pouco esforço, e como todas essas engenhocas devem trazer um pouco de novidade, a facilidade de uso tem prioridade sobre quaisquer preocupações de privacidade ou segurança.
O governo do Reino Unido sabe que o problema vai além da senha padrão. A proibição proposta para dispositivos que usam credenciais de login fracas faz parte de um código mais amplo de melhores práticas em relação à segurança da IoT. Elaborado em 2018, inclui alguns outros pontos que, no momento, são apenas recomendações. Se eles forem transformados em lei, os fornecedores de IoT serão forçados a ter plataformas públicas de relatórios de vulnerabilidades, e talvez até precisem colocar rótulos de aviso em seus produtos para informar aos usuários que dispositivos inteligentes podem ser atacados por hackers. Infelizmente, não temos certeza de que isso seja suficiente.
Fornecedores e usuários devem começar a levar a segurança mais a sério
A IoT já esteve no centro de mais de alguns incidentes importantes de segurança cibernética, e o governo do Reino Unido não é o primeiro órgão regulador a perceber que algo deve ser feito. De fato, uma lei que proíbe o uso de senhas padrão foi aprovada no Estado da Califórnia em 2018 e, em 1º de janeiro, entrou em vigor. Ainda precisamos ver como será eficaz, mas temos certeza de que outros governos locais e nacionais também seguirão o exemplo.
O problema é que a legislação só pode levá-lo até agora. O número de fatores que governam a segurança de um único dispositivo de IoT é impressionante, e não é possível regular todos eles. Se a situação melhorar, precisamos de uma mudança fundamental na maneira de pensar de fornecedores e usuários.
Mesmo se assumirmos que as leis recentes incitarão os fabricantes a criar um sistema de login mais seguro, não haverá nada para impedi-los de construir o restante de sua infraestrutura de back-end da maneira mais rápida, barata e insegura possível. As brechas de segurança encontradas em muitas engenhocas de IoT mostram que alguns fornecedores devem perceber que são responsáveis por manter seus clientes seguros e reordenar suas listas de prioridades de acordo. Dito isto, não podemos colocar toda a culpa nos fornecedores.
A mentalidade "isso não vai acontecer comigo" que muitas pessoas adotaram não está nos favorecendo. Os fornecedores de IoT tendem a enviar seus produtos com uma senha padrão, porque isso torna a configuração de um dispositivo pela primeira vez mais fácil e rápida. Eles também incluem um recurso que permite que a senha padrão seja alterada, e o simples fato é que muitos clientes não a usam.
O objetivo da IoT é trazer apenas mudanças positivas para nossas vidas, mas é bem claro que, na sua forma atual, também está causando alguns problemas. Os legisladores britânicos e californianos estão tentando resolver alguns deles, mas a mudança real só pode vir das pessoas que projetam e usam os dispositivos inteligentes.
