Mais segurança para os IoT (os aparelhos 'smart' nas nossas casas)

Recentemente a Califórnia aprovou uma lei sobre cibersegurança sobre os "smart devices" que hoje se começam a tornar populares (desde SmartTVs, a aspiradores, frigoríficos, monitores cardíacos, automóveis, sensores mecânicos industriais, campainhas de porta e, até, torradeiras), A Lei SB-327 prescreve que a partir de 2020 todos os fabricantes de "smart devices" (IoT or "Internet of Things") que se ligam directa ou indirectamente à Internet devem incorporar um conjunto "razoável" de medidas de segurança:

1. Devem impedir acessos não autorizados
2. Podem ser acedidos apenas a partir de uma rede local e com uma palavra-chave
3. Têm que ter uma palavra-chave diferente de origem para cada equipamento de cada fabricante ou devem obrigar o utilizador a alterar esta palavra-chave na primeira utilização

Estas regras impedirão o acesso por hackers usando as palavras-passe de fábrica. Este tipo de legislação impedirá a devastação criada por redes de botnets como a Mirai (em 2016) ou a descoberta da Thingbot que em dezembro de 2013 encontrou uma rede (botnet) de centenas de milhar de mensagens com vírus que tinham partido de vários equipamentos IoT desde smartT TVS, vários equipamentos domésticos e, até, de um frigorífico. Estes computadores zombie, escravizados por uma rede de hackers, tinham sido comprometidos através do acesso remoto via palavra-chave original do fabricante.

Em 2016, a Mirai foi ainda mais destrutiva dando origem a um dos maiores ataques de negação de serviço ("Distributed Deniel of Service (DDoS)") de sempre que colocou sem acesso à Internet a maioria da costa oriental dos Estados Unidos. O ataque, que no primeiro momento, foi considerado como um ataque patrocinado por um Estado (Coreia do Norte) foi depois reconhecido como um ataque lançado por hackers a partir de uma rede (Botnet) de equipamentos IoT.

O incidente Mirai fora apenas uma manobra para extrair fundos de fãs do popular jogo Minecraft fugiu rapidamente ao controlo dada a existência de muitos "smart devices" (IoT) com palavras-chave originais (muito maior do que o estimado pelos seus criadores) e foi apenas a maior até ao momento. Mais casos semelhantes se irão seguir nos próximos anos e apenas nova legislação, inteligente e moderna mas capaz de ser flexível o suficiente sem estrangular novos desenvolvimentos tecnológicos pode impedir a escala de eventos que estará para acontecer.

Propomos que o Parlamento Europeu trabalhe no mesmo sentido da lei SB-327 da Califórnia e que além das 3 medidas acima listadas conduza os fabricantes, até, 2020, que vendem os seus produtos no espaço europeu a:

4. Reduzirem ao mínimo o nº de portas de comunicação TCP/IP dos seus equipamentos que estão expostas à Internet por forma a limitar os riscos de "cross injection" de código a partir de outros sites.
5. Pondere a obrigação de instalação obrigatória de firewalls e antivírus neste equipamentos IoT
6. Obrigação a que as interfaces de gestão dos equipamentos IoT sejam acessíveis apenas dentro de redes locais
7. Obrigação de que os equipamentos IoT tenham sempre métodos que permitem a actualização do software (firmware) e recomendação de métodos automáticos para o fazer.

A petição que lancei em petiport.secure.europarl.europa.eu/petitions/pt/petition/view/13532
Que foi notícia em tek.sapo.pt/extras/site-do-dia/artigos/iot-ha-uma-peticao-que-pede-leis-para-aumentar-seguranca-nos-smart-devices

Mais Notícias

Outros Conteúdos GMG

Patrocinado

Apoio de