A Agência Nacional de Telecomunicações (ANATEL), publicou em 07 de março de 2023, os Requisitos Mínimos de Segurança Cibernética para Avaliação da Conformidade de Equipamentos CPE (Customer Premises Equipment), com objetivo de criar critérios mínimos para homologação de modems e roteadores de uso residencial, aqueles que utilizamos em nossas casas que permitem nos conectar à rede do provedor de serviços de Internet.
Os requisitos iniciam pela avaliação da versão de fábrica do produto, aquela que encontramos quando realizamos a compra do produto. Agora, todos os roteadores que possuam senhas de fábrica, tanto para acesso à página de configuração, quanto para acesso à rede sem fio (Wi-Fi), não podem mais contar com senhas conhecidas como, “admin”, “12345678”, entre outras. As senhas agora, devem vir com critérios mínimos de 8 caracteres, conter letra minúscula e maiúscula, possuir número e caractere especial. Além disso, não é mais permitido o produto estar configurado sem senhas, ou seja, com senhas em branco.
Também é vedado o uso de credenciais idênticas entre produtos de mesmo modelo, ou até informações de fácil acesso, que possam ser facilmente descobertas por outros usuários. Toda senha deve ser identificada em etiqueta colada no corpo do equipamento, não podendo ser definida mais no manual do usuário.
A norma também comenta sobre roteadores que são fornecidos sem senhas de fábrica. Neste caso, o equipamento deve forçar a troca de todas as senhas no primeiro acesso do usuário, não permitindo utilizar nenhuma função sem antes realizar esta troca.
Para usuários que desejam definir as senhas, a norma também traz exigências para esta configuração, não permitindo que o usuário defina senhas conhecidas, que possam ser facilmente obtidas. As regras para estas senhas são as mesmas das senhas de fábrica, com, no mínimo, 8 caracteres, 1 número, e ter letra maiúscula, letra minúscula e caractere especial. Também é necessário que o manual do usuário informe as regras para definição de novas senhas.
Além de requisitos para definição de senhas, a norma também traz o item 6, onde define itens mais complexos de avaliação, mas que são de extrema importância para segurança do equipamento.
Cada roteador deve possuir mecanismos que impeçam ataques de autenticação por força bruta, isto é, caso um usuário tente realizar diversas tentativas de autenticação a fim de descobrir a senha do roteador, o mesmo deve ter mecanismos que dificultem essa ação. Este item impede, principalmente, que esses usuários mais especializados desenvolvam automações que realizem verificações de forma rápida, realizando tentativas com uma lista de senhas comumente utilizadas.. Estas automações muitas vezes retornam de forma rápida com as senhas encontradas.
O roteador precisará, obrigatoriamente, possuir mecanismos de encerramento de sessões inativas, conhecido por time-out, bloqueando a interface de configuração após tempo determinado, impedindo que um invasor tente utilizar a sessão do usuário que deixa a página aberta sem utilização, garantindo maior segurança.
A disponibilização de protocolos de rede, como ssh e telnet, só pode ser permitida desde que seja necessário ao usuário, todo serviço desnecessário deve ser desabilitado.
O equipamento deve apresentar métodos adequados de criptografia ou hashing para proteger as credenciais do usuário enquanto estão em trânsito. O uso de SSL ou SHA-256 garante a confidencialidade e a integridade dos dados enviados de um sistema para outro. Qualquer método de monitoramento de tráfego não deve permitir a observação de senhas e credenciais em texto claro, ou seja, sem o uso de criptografia, o que poderia permitir a usuários mal-intencionados encontrar os dados necessários para acessar o roteador. O código fonte do software/firmware do equipamento deve ser desenvolvido sem conter dados de senhas e credenciais em texto claro.
Por fim, nos casos onde o usuário esquece a senha configurada, a norma também exige que os mecanismos de recuperação de senha sejam robustos contra o roubo de informações.
Para realização destes ensaios, o Instituto de Pesquisas Eldorado é acreditado junto a CGCRE/INMETRO desde maio de 2024 e conta com uma equipe técnica especializada para atender a estes ensaios. Venha nos conhecer.
Referências Normativas
ANATEL. Ato n° 2436, de 7 de março de 2023. Aprova os Requisitos Mínimos de Segurança Cibernética para Avaliação da Conformidade de Equipamentos CPE (Customer Premises Equipment). Diário Oficial da União, Brasília, DF, 8 mar. 2023. Disponível em: https://www.anatel.gov.br/Legislacao/atos/2023/ATO-2436-2023.pdf. Acesso em: 15 jul. 2024.
BRASIL. Resolução nº 715, de 23 de novembro de 2019. Estabelece o Regulamento sobre Requisitos de Qualidade para o Serviço de Comunicação Multimídia. Diário Oficial da União, Brasília, DF, 25 nov. 2019. Disponível em: https://www.anatel.gov.br/Legislacao/Resolucoes/2019/Resolucao715-2019.pdf. Acesso em: 15 jul. 2024.
BRASIL. Resolução nº 740, de 15 de dezembro de 2020. Dispõe sobre os Requisitos de Segurança Cibernética para Produtos e Serviços de Telecomunicações. Diário Oficial da União, Brasília, DF, 16 dez. 2020. Disponível em: https://www.anatel.gov.br/Legislacao/Resolucoes/2020/Resolucao740-2020.pdf. Acesso em: 15 jul. 2024.
ABNT. NBR ISO/IEC 27001:2013. Tecnologia da Informação – Segurança da Informação – Sistemas de Gestão de Segurança da Informação – Requisitos. São Paulo: Associação Brasileira de Normas Técnicas, 2013.
ABNT. NBR ISO/IEC 27002:2013. Tecnologia da Informação – Segurança da Informação – Códigos de Práticas para Controles de Segurança da Informação. São Paulo: Associação Brasileira de Normas Técnicas, 2013.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União, Brasília, DF, 15 ago. 2018. Disponível em: https://www.in.gov.br/en/web/dou/-/lei-n-13.709-de-14-de-agosto-de-2018-157807368. Acesso em: 15 jul. 2024.
