Apesar de quase todos os dias surgirem notícias acerca de ataque informáticos bem-sucedidos só porque os utilizadores não mudam as passwords padrão dos seus dispositivos, muitos fabricantes continuam a vender equipamentos que usam credenciais padrão como ‘password’ ou ‘admin’. Mas, no Reino Unido, isto está prestes a acabar porque o país foi o primeiro a ilegalizar as passwords padrão fáceis de adivinhar nos dispositivos que se ligam à Internet.
Recentemente, foi publicada uma actualização à lei Product Security and Telecommunications Infrastructure Act (PSTI) do Reino Unido, que diz que todos os dispositivos que se possam ligar à Internet têm de ser vendidos com uma password aleatória ou gerarem uma password quando forem ligados pela primeira vez.
De acordo com os novos requisitos da PSTI, as passwords padrão não podem ser incrementais (como Admin1, Admin2) e também não podem estar relacionadas com informação pública, como os endereços MAC ou SSID de redes sem fios.
Também foram definidas regras para assegurar que os dispositivos estão protegidos contra ataques brute force, incluindo um limite à quantidade de tentativas de autenticação dentro de um determinado período. A alteração das passwords por parte dos utilizadores também deve por der ser feita através de “mecanismos simplificados”.
Para além da utilização de passwords fracas, a falta de actualização do software também é usada pelos hackers para roubarem informação a partir de dispositivos e redes. Segundo a PSTI, os componentes de software devem poder ser actualizados facilmente e de forma segura. Isto pode ser feito através da automatização das actualizações ou usando métodos que sejam simples de entender pelos utilizadores. A nova lei também obriga a implementar formas de gerir as denúncias de vulnerabilidades e instrui os fabricantes para monitorizarem, identificarem e rectificarem todas as vulnerabilidades nos produtos e serviços que vendem.
As novas regras não são opcionais. Se os fabricantes as violarem, ou ignorarem, estão sujeitos ao pagamento de multas que podem chegar aos 10 milhões de libras ou 4% da facturação em todos os mercados em que operem, dependendo do valor mais alto.
A actualização destas regras foi pensada para minimizar incidentes como o da botnet Mirai que ocorreu em 2016 e que fez com que vários serviços online deixassem de funcionar. Essa botnet era composta por centenas de milhar de dispositivos infectados que inundaram muitos sites e serviços com tráfego. Este foi um dos piores ataques DDoS da história da Internet.
