Evandro César Vilas Boas, Professor do Curso de Engenharia de Telecomunicações;
Guilherme Pedro Aquino, Coordenador Adjunto do Centro de Segurança Cibernética do Inatel (CxSC Telecom) e Professor do Curso de Engenharia de Telecomunicações
Isabela Ferreira de Vito, Estagiária no Centro de Segurança Cibernética do Inatel (CxSC Telecom)
Em 7 de março de 2023, a Anatel - Agência Nacional de Telecomunicações publicou o Ato nº 2436, que estabelece os requisitos mínimos obrigatórios de segurança cibernética para a avaliação da conformidade de equipamentos CPE (Customer Premises Equipment) utilizados para a conexão de assinantes à rede do provedor de serviços de Internet. O Ato 2436 entrou em vigor em 1º de julho de 2023, sendo obrigatória a aplicação de seu anexo a partir de 10 de março de 2024.
Os equipamentos, como modems, ONU (optical network unit), ONT (optical network terminal), roteadores ou modems destinados ao acesso fixo sem fio e acesso fixo à banda larga via satélite, devem atender aos critérios estabelecidos pelo Ato 2436 para obter a homologação da Anatel, prévia à sua comercialização. O Ato representa um avanço significativo para a segurança do usuário final, tornando obrigatória a comercialização de equipamentos CPEs homologados e contribuindo para a prevenção de diversas vulnerabilidades em segurança cibernética, visando uma maior segurança do usuário final de serviços de telecomunicações.
O anexo ao Ato 2436 fornece os requisitos que devem ser avaliados em um processo de homologação. Esses requisitos estão estruturados em quatro tópicos principais:
- Requisitos para as senhas providas de fábrica
- Requisitos para as senhas definidas pelo usuário
- Requisitos de segurança do equipamento
- Requisitos que devem ser atendidos pelos fornecedores dos equipamentos
Em relação aos requisitos para as senhas fornecidas de fábrica, o Ato 2436 define a implementação de políticas de senha robustas, eliminando a configuração de senhas fracas nas interfaces dos equipamentos e no acesso à rede sem fio. Portanto, os fornecedores são proibidos de utilizar senhas em branco ou senhas fracas, bem como senhas idênticas para todos os equipamentos comercializados. Para cada equipamento, as senhas devem estar presentes em etiquetas e definidas como padrão durante o processo de reset para suas configurações iniciais de fábrica.
Os equipamentos podem exigir a alteração da senha inicial de acesso à interface de configuração e às redes sem fio no primeiro uso ou após um processo de reset no equipamento. Nesse caso, a interface de configuração do equipamento deve garantir que o usuário não possa definir senhas em branco ou fracas. O manual do produto deve informar as características para a definição de uma nova senha, como, por exemplo, o número mínimo e máximo de caracteres. Além disso, o equipamento deve implementar funcionalidades que verifiquem e proíbam o uso de senhas fracas ou comumente utilizadas.
Em relação aos requisitos de segurança do equipamento, o Ato 2436 exige que os equipamentos disponham de mecanismos de defesa contra tentativas exaustivas de acesso não autorizado, conhecidas como ataques de força bruta. Não é permitido o uso de credenciais definidas no código-fonte do equipamento e que não possam ser alteradas, sendo necessário o armazenamento seguro dessas credenciais.
O processo de recuperação de senhas, caso implementado no equipamento, deve ser seguro e resistente às tentativas de roubo de credenciais. O equipamento deve implementar rotinas para encerrar sessões inativas, obrigando os usuários a se autenticarem novamente após períodos de inatividade na interface de configuração. Além disso, os usuários devem ser capazes de desativar funcionalidades e serviços de comunicação não essenciais ao uso ou gerenciamento do equipamento, com o intuito de minimizar a superfície de ataque dos CPEs. Alguns serviços de comunicação de dados são associados as portas de conexão do equipamento, representando possíveis vetores de entrada para ataques cibernéticos.
Por fim, o Ato 2436 define certos requisitos que devem ser cumpridos pelos fornecedores de equipamentos. Os fornecedores devem implementar uma política de suporte ao produto que inclua informações sobre a duração e em quais circunstâncias as atualizações de segurança serão fornecidas para o equipamento. Essa política deve assegurar um período mínimo de dois anos para a disponibilização de atualizações após o lançamento do produto no mercado ou durante sua distribuição. Além disso, é essencial que o fornecedor estabeleça um canal de comunicação que permita aos usuários relatarem vulnerabilidades de segurança nos produtos, especificando suas preferências de notificação. Esse canal de comunicação deve ser seguro, por exemplo, utilizando formulários via protocolo HTTPS (Hypertext Transfer Protocol Secure).
Um canal público de suporte deve ser disponibilizado pelo fornecedor por meio de uma página na Internet em língua portuguesa. Esse canal deve informar aos clientes e usuários finais sobre as vulnerabilidades identificadas nos produtos, esclarecendo quais foram impactados e as medidas de mitigação e correções de segurança aplicadas. Além disso, deve-se manter um histórico de vulnerabilidades e suas respectivas soluções.
Apesar de os equipamentos fabricados estarem em conformidade com os requisitos do Ato 2436, a capacidade dos fornecedores em prover suporte à segurança cibernética para usuários domésticos é limitada. Suas responsabilidades incluem aspectos relacionados à configuração inicial do equipamento, ao estabelecimento de configurações seguras por padrão de fábrica, à implementação de mecanismos para limitar a taxa de transmissão de pacotes e prevenir ataques automatizados, além de fornecer atualizações de segurança para vulnerabilidades identificadas em seus produtos.
No entanto, os fornecedores de CPEs não são responsáveis pela prevenção de ataques de phishing direcionados ao e-mail do usuário, acesso indevido a páginas falsificadas por terceiros maliciosos, download de arquivos contendo malware oculto, entre outros. Tais desafios requerem ações por parte do próprio usuário.
