Anatel exige fim de senhas fracas em roteadores domésticos até 2024

A Agência Nacional de Telecomunicações (Anatel) quer que roteadores domésticos tenham requisitos mínimos de segurança a partir de março de 2024.

De acordo com o Ato nº 2.436, a agência lista uma série de medidas mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE (Customer Premises Equipment), que valem tanto para usuários quanto para fabricantes de roteadores.

Imagem: Casezy idea/Shutterstock.com

Entre as medidas estão:

• defesa contra tentativas de ataques de autenticação por força bruta; 
• não utilizar credenciais, senhas e chaves criptográficas definidas no próprio código fonte do software/firmware e que não podem ser alteradas; 
• proteger senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing; 
• implementar rotinas de encerramento de sessões inativas (timeout); 
• senhas providas de fábrica devem ter pelo menos oito dígitos e conterem, no mínimo, uma letra maiúscula, uma letra minúscula, um número e um caractere especial — essa regra também vale para os usuários, já que os equipamentos não aceitarão senhas fora desse padrão;
• credenciais e senhas iniciais para acesso às configurações dos dispositivos não poderão ser iguais entre todos os produzidos;
• exigência de políticas claras de suporte ao produto, disponibilização de atualizações gratuitas de segurança para os softwares dos roteadores e canais para notificação de vulnerabilidades descobertas por usuários e especialistas da área.

Para a homologação dos equipamentos CPE, as fabricantes devem seguir esses e outros requisitos contidos no documento publicado até 10 de março de 2024, prazo dado pela agência para que as fabricantes se adequem aos processos produtivos e para que importadores tenham prazo apropriado para ajustarem os processos de aquisição de equipamentos.

Imagem: André Carvalho, CC BY-NC 2.0 <https://creativecommons.org/licenses/by-nc/2.0/>, via Flickr <https://www.flickr.com/photos/anatel_informa/52186304768/>

“Este instrumento visa tratar vulnerabilidades comuns nesta categoria de equipamentos, tais como as senhas padrão (iguais entre todas as unidades fabricadas) e a presença de portas/serviços de comunicação habilitados desnecessariamente, o que aumenta a superfície de ataque que pode ser explorada por agentes maliciosos. Tais vulnerabilidades permitem que os equipamentos sejam acessados por agentes maliciosos via internet, possibilitando sua configuração ou a instalação de malwares que transformam os CPEs em vetores de ataque de negação de serviço (DDoS) ou expõem os dados pessoais e padrões de comportamento do usuário da internet”, diz a Anatel, em nota.

Via Convergência Digital