A partir de 2020, as fabricantes de dispositivos eletrônicos conectados à internet sediadas na Califórnia serão proibidas de colocar seus produtos no mercado com senhas padrão – isto é, senhas “manjadas”, como “123456”, “admin”, “password”, “michelangelo”, “user” etc. Qualquer um pode encontrar listas de senhas padrão no Google.
Uma nova lei da Califórnia, o estado carro-chefe da tecnologia nos EUA, estabelece que, em vez de senha padrão, fácil de descobrir, as fabricantes terão de usar uma senha única – e mais complexa – em cada produto. Os demais estados deverão seguir o líder.
Parece uma medida pequena, mas não é. O mundo fechou 2017 com cerca de 20 bilhões de dispositivos eletrônicos conectados à Internet. Serão pelo menos 75 bilhões, até 2025, de acordo com a Statista. Nesse embalo, o número de dispositivos eletrônicos invadidos por hackers vem triplicando a cada ano.
Teoricamente, os consumidores deveriam trocar a senha padrão por uma mais segura, antes de começar a usar dispositivos conectados à Internet, como os da Internet das Coisas, roteadores, câmeras de segurança, etc. Mas quase ninguém faz isso, o que facilita o trabalho dos hackers.
A nova lei também estipula que os dispositivos devem “conter um recurso de segurança que obrigue o usuário a gerar novos meios de autenticação, antes de começar a usar o dispositivo” – o que significa forçar o usuário a mudar a senha vinda de fábrica por uma mais complexa, assim que o ligar pela primeira vez.
Além dos consumidores, grandes empresas estão sofrendo com isso também. Em 2016, por exemplo, hackers conseguiram juntar milhares de dispositivos eletrônicos para atacar – e derrubar – a Dyn, uma empresa que presta serviços de nome de domínio a grandes sites. Ao fazê-lo, os sites do Twitter, Spotify e SoundCloud se tornaram inacessíveis. O mesmo aconteceu com a Netflix e a Reddit. Na Alemanha, quase um milhão de usuários ficaram sem conexão com a Internet.
Para fazer isso, os hackers usam o famoso botnet Mirai. Botnet (robot + network) é um malware que se aproveita da fraca segurança de roteadores e outros dispositivos eletrônicos para invadi-los. Com isso, formam um “batalhão” de dispositivos para atacar um alvo maior, em uma manobra chamada ataque de negação de serviço distribuído (DDOs – distributed denial-of-service attack).
Com o botnet instalado, os hackers podem acessar o dispositivo e sua conexão, roubar dados e usar o “batalhão” de dispositivos conectados para enviar milhares de spams para atacar e “destruir” um determinado alvo.
O Mirai é um botnet relativamente rudimentar, mas poderoso, que explora senhas padrão, segundo os sites TechCrunch, Slate, Motherboard e outros. Botnets mais avançados não precisam recorrer a senhas padrão, porque exploram, em vez disso, vulnerabilidades conhecidas de dispositivos da Internet das Coisas.
Fonte: Conjur. Acesso em: 06/10/2018.