2018/10/01

Califórnia aprova lei a exigir segurança na IoT


A Califórnia aprovou a primeira lei a exigir segurança nos dispositivos ligados à internet - a chamada Internet of Thing - mas continua a haver enorme cepticismo quanto aos seus efeitos práticos.

Ninguém nega que temos visto muitos maus exemplos de empresas que lançam produtos que se ligam à internet e que parecem desconhecer por completo o conceito de "segurança" a um nível básico: como os que usam passwords de fábrica comuns a todos os produtos de uma série. No entanto, esta lei que agora foi aprovada limita-se a exigir que os fabricantes devam aplicar "medidas razoáveis de segurança" nos produtos IoT... algo que algumas pessoas argumentam que já era exigido, embora de forma não tão directa.

Como se pode imaginar, a proposta não dá nenhum manual de instruções sobre como é que essa segurança razoável poderá ser atingida, deixando ao critério dos fabricantes fazerem o que acharem melhor para os seus produtos, embora exija que seja implementada pelo menos uma das seguintes medidas: utilizar uma password única, exclusiva para cada equipamento; e/ou
exigir que o utilizador defina a sua própria password no processo de configuração inicial.

Bem, pelo menos não chega ao ponto de tornar obrigatória a disponibilização de uma backdoor para acesso governamental... embora seja de imaginar que muitos destes produtos continuem a manter comunicações não encriptadas, serviços desnecessários com portas abertas que facilitam o trabalho de hackers, etc. etc. Em suma, para quem já criava produtos vulneráveis, as falhas são tantas que não será esta lei a resolver o problema; e para quem já tinha preocupações em criar produtos minimamente seguros, acontece precisamente o mesmo.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]