2018/09/13

Califórnia prepara 1ª lei a exigir segurança na Internet of Things - mas falha no seu propósito


Há anos que os especialistas de segurança alertam para que a Internet of Things (IoT) é "um desastre à espera de acontecer", devido ás muitas vulnerabilidades em muitos dos equipamentos que vão sendo ligados à internet - e na Califórnia prepara-se a primeira lei que visa exigir um nível de segurança mínimo a estes produtos... mas que volta a demonstrar o enorme desconhecimento técnico de quem faz as leis.

Este primeira proposta de lei para segurança na IoT até pode ser bem intencionada, para tentar evitar casos como aqueles que vão sucedendo, de câmaras web que podem ser espiadas por qualquer pessoa na internet, ou até serem infectadas para integrarem exércitos de bots sempre a postos para realizarem ataques DDoS ou servirem para camuflar outro tipo de ataques.

Sem grandes surpresas, a proposta de como isto será feito é extremamente vaga, referindo apenas que os fabricantes deverão implementar "medidas de segurança razoáveis", e posteriormente especificando que no caso de serem dispositivos que permitam o acesso do exterior, terão obrigatoriamente que implementar uma das seguintes medidas:
  1. utilizar uma password única, exclusiva para cada equipamento
  2. exigir que o utilizador defina a sua própria password no processo de configuração inicial

Uma obrigatoriedade que não chocará ninguém, percebendo-se as intenções por trás de tais propostas. O problema é que, como vários especialistas referem, a segurança no IoT não passa por fazer exigências de coisas que se devem acrescentar, mas precisamente do oposto. Muitas vezes as falhas nestes dispositivos, que combinam um conjunto complexo de tecnologias (podem ter um servidor web, um serviço de acesso remoto, uma API, etc.) estão num dos muitos módulos que são utilizados... e tentar resolver o problema através da obrigatoriedade de adicionar mais coisas - agora uma password, no futuro poderá ser a exigência de uma firewall, etc. - poderá ter o efeito oposto, de simplesmente adicionar mais e mais vulnerabilidades potenciais.

É apenas mais um exemplo que demonstra a distância que tem separado os campos das leis do campo tecnológico, embora actualmente se assista a tentativas de legislação cada vez mais apertada sobre o que se passa na internet. Se calhar a situação só ficará resolvida quando se começar a assistir ao oposto, com pessoas da área tecnológica a tirarem o lugar aos políticos "tradicionais", e começarem a fazer leis com verdadeiro conhecimento de causa.

... Afinal, se nos EUA foi possível a Trump chegar a Presidente, será assim tão descabido imaginar que será uma questão de tempo até um Elon Musk, Larry Page, ou Mark Zuckerberg também o possa ser? (E não estou com isto a dizer que seriam as pessoas perfeitas para o cargo... mas considerando quem lá está actualmente, definitivamente não seriam piores!)

Actualização: foi aprovada.

1 comentário: