Sobre por que as senhas devem ser difíceis, Habrice fala mais uma vez, não é necessário. Você só pode se lembrar das consequências da fraca proteção dos dispositivos IoT que foram transformados pelo vírus
Mirai em "zumbis", prontos para obedecer aos comandos de um cracker remoto.
Após esse e muitos outros incidentes, os fabricantes de dispositivos continuam negligenciando a proteção cibernética dos gadgets. Sim, o design e a UX de muitos deles estão no topo, as funções são boas. Mas o uso da maioria dos gadgets baseados na nuvem é como um jogo do tipo "me quebre se puder", onde o cracker é quase sempre o vencedor.
No estado da Califórnia, EUA,
eles decidiram interromper o jogo e obrigar os fabricantes de dispositivos a cuidar da seleção de pares complexos de "senha de login" para proteger os aparelhos. Todos os sistemas vendidos no estado devem ser modificados em conformidade até 2020. A lei estabelece uma série de requisitos que os desenvolvedores de soluções de rede de hardware devem atender - seja um roteador, uma câmera de vigilância ou um refrigerador inteligente.
O projeto foi aprovado em agosto e na semana passada foi assinado pelo governador do estado, Jerry Brown.
"Os métodos fracos de proteger dispositivos conectados à rede colocam em risco seus usuários na Califórnia e também permitem que crackers usem dispositivos eletrônicos contra os próprios proprietários", disse um senador estadual que apóia a lei. "O documento dá confiança de que a tecnologia funciona em benefício do povo da Califórnia e que a segurança não será mais considerada a questão menos importante", continuou ele.
De fato, à medida que a Internet das coisas está evoluindo gradualmente, mais e mais dispositivos estão se conectando à rede - não são apenas câmeras, sensores de vários tipos, mas também microondas, monitores de bebês, condicionadores de ar e outros equipamentos. Imediatamente após conectar todos esses dispositivos, eles se tornam um alvo para crackers. Na maioria das vezes, os cibercriminosos estão interessados não em aparelhos solitários, mas em redes que unem milhares e milhares desses dispositivos. Estamos falando de botnets com as quais os hackers podem fazer muito - desde ataques DDoS até tentativas de invadir as redes de organizações bancárias e financeiras.
Como mencionado acima, os gadgets de IoT geralmente não têm a proteção mais fraca, que é o que os crackers usam. Assim, mesmo um scriptdiddy pode criar uma pequena botnet a partir dos dispositivos que ele quebrou. Os resultados de tudo isso são visíveis a olho nu. Dois anos atrás, milhões de dispositivos estavam sob o controle de crackers - agora, provavelmente, existem ainda mais dispositivos desse tipo. E quanto mais fabricantes produzem sistemas de IoT para casa e escritório, maior o risco para os proprietários desses sistemas.
Por que a lei é
voltada especificamente para os fabricantes de equipamentos? O fato é que nem todos os compradores de dispositivos conectados têm o nível necessário de conhecimento técnico para proteger o dispositivo adquirido contra hackers por conta própria. Sim, você só precisa alterar o grupo banal de “admin / admin” para uma senha complexa de caracteres alfanuméricos e, na maioria dos casos, as redes de bots não poderão subordinar esse dispositivo. Mas uma porcentagem relativamente pequena de usuários sabe como alterar a senha, e aqueles que realmente a alteram são ainda menos.
Recentemente, foi realizada uma pesquisa, cujo objetivo era descobrir quantos usuários de gadgets de IoT tentaram se proteger contra hackers, substituindo os dados padrão do administrador. Como se viu, cerca de 82% nem sequer pensaram nisso. Quanto aos dados padrão, as senhas estão longe de ser sempre simples, mas como o próprio fabricante as publica na documentação técnica fornecida com os dispositivos, não é difícil para os crackers descobrir os dados de acesso.
A nova lei da Califórnia agora obriga os fabricantes de equipamentos a criar uma combinação única e confiável de nome de usuário / senha para cada dispositivo. Obviamente, isso não é uma panacéia, mas ainda é uma mudança definitiva na questão do fortalecimento da política de cibersegurança pelos fabricantes de dispositivos IoT. Talvez, apesar das mudanças nas leis estaduais, os fabricantes não esperem que outros estados e países os forcem a fazer o mesmo, mas mudem sua política de cibersegurança no sentido de fortalecer antecipadamente.