Em uma decisão histórica e única no mundo, a Agência Nacional de Telecomunicações (Anatel) acaba de sancionar o ato nº 77 de 05 de janeiro de 2021, que dispõe sobre novas regras para a comercialização de roteadores em território brasileiro. Seguindo o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, os equipamentos agora precisam cumprir uma série de requisitos para serem homologados para venda no Brasil.
- Sua rede através dos olhos de um hacker
- Você possui estes roteadores da D-Link? Temos uma má notícia
- Nova pesquisa mostra ameaças de segurança no home office
O primeiro — e mais interessante deles — é que nenhum roteador comercializado por aqui poderá “utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos”. Isso significa o fim definitivo dos painéis de controle com logins padronizados fáceis de adivinhar como “admin”, já que o regulamento prevê ainda que o fabricante terá que “forçar, na primeira utilização, a alteração da senha inicial de acesso à configuração do equipamento”.
Ademais, as senhas de fábrica não poderão ser derivadas de informações de fácil obtenção (como endereços MAC), o sistema não poderá aceitar o cadastro de credenciais fáceis, não deve guardar chaves criptográficas no próprio firmware e deverá contar com ferramentas nativas contra ataques de força bruta. Ademais, todo e qualquer produto deverá garantir, no mínimo, dois anos de atualizações e patches de segurança para o cliente a partir de sua data de lançamento, mantendo ainda um histórico das vulnerabilidades identificadas.
A decisão da Anatel pode ser considerada revolucionária pois, embora diga respeito somente a aparelhos que desejam homologação para venda no Brasil, é bem provável que as fabricantes adaptem seus aparelhos de forma global, criando assim um padrão universal de segurança para roteadores que vai eliminar de vez o problema de credenciais fracas. O ato entra em vigor em 180 dias após sua publicação.
Fonte: Anatel