Quem sabe que mal se esconde no interior de uma webcam? Depois do ataque DDoS a Dyn no mês passado, esta pergunta está na mente de todos os profissionais responsáveis pela segurança. Alguém recentemente me perguntou se não deveríamos adotar um novo nome para a Internet das Coisas (IoT), pois o termo se tornou muito vago. Eu respondi que essa imprecisão era de fato o efeito desejado: muitas pessoas têm pouco ou nenhuma compreensão de quantos dispositivos em sua casa estão interligados. Estamos rodeados de coisas que são efetivamente computadores habilitados para transmitir dados pela web, que a maioria das pessoas nem sabem que estes dispositivos precisam estar protegidos.

Então, o que você precisa fazer para ajudar a proteger seus dispositivos e diminuir as chances de serem usados com fins maliciosos? Existem algumas coisas que podem ser feitas, independentemente de saber exatamente quais dispositivos precisam ser protegidos. Você deve melhorar a segurança dos seus dispositivos IoT individualmente, principalmente aqueles que te acompanham em atividades cotidianas (fora de casa). Por outro lado, não esqueça de também reforçar a configuração de seu roteador doméstico, protegendo assim todos os dispositivos conectados enquanto também utiliza-os em sua casa.

Para começar, saiba como proteger seu roteador por meio destas 11 dicas:

#1 Altere o nome de usuário e a senha de fábrica

Os roteadores e dispositivos da IoT costumam vir com credenciais de fábrica que qualquer pessoa pode facilmente encontrar por meio de uma pesquisa rápida em seu buscador. Antes que isso ocorra, é melhor utilizar a página web ou o aplicativo do fabricante do roteador e ajustar as configurações de fábrica.

Altere tanto o nome de usuário como a senha por outra combinação forte e única. Alguns dispositivos da IoT oferecem uma opção para a troca do nome de usuário e/ou a senha. Faça isso sempre que seja possível.

#2 Desative o serviço Universal Plug and Play (UPnP)

A menos que saiba que precisará usar o serviço UPnP, desative esta opção na configuração do roteador. Caso deixe esta função habilitada, você permitirá que outras pessoas possam acessar a sua rede sem autenticação, já que se trata de um conjunto de protocolos de comunicação que permite a acessórios como impressoras, dispositivos móveis e pontos de acesso Wi-Fi descobrir a presença de outros dispositivos na rede e estabelecer serviços de rede de comunicação, compartilhamento de dados e entretenimento.

No caso de não saber se irá utilizá-lo ou não, é pouco provável que você note alguma diferença após desabilitá-lo.

#3 Desative a administração remota

Ao desativar a administração remota (também chamada de “Web Access”), será necessário o acesso físico ao roteador para poder alterar a sua configuração.

#4 Troque o nome do ponto de acesso

Escolha um nome que não evidencie o tipo de roteador que esteja utilizando nem o ponto de acesso. Apesar que isso não fará uma grande diferença com relação à segurança, em geral é uma mudança simples, mas que pode dificultar um pouco as coisas para os atacantes.

#5 Estabeleça uma senha para acessar a sua conexão Wi-Fi

Permitir que as pessoas se conectem ao seu Wi-Fi sem uma senha, estimula ao uso indevido de sua rede, por isso, sempre utilize uma criptografia forte (a melhor é WPA2) para limitar o número de pessoas que podem usar seu ponto de acesso. Escolha uma boa senha e não a escreva onde outros possam ver, como fizeram no estádio do Super Bowl 48, ou como fazia Suzan na série Mr. Robot.

#6 Atualize o software do seu roteador e dos dispositivos IoT

A maioria das pessoas não sabem como verificar se o roteador ou os dispositivos IoT requerem a instalação de atualizações de segurança. Caso seu dispositivo não solicite a aplicação automática de patches de segurança disponíveis, adicione um lembrete em seu calendário para que você mesmo possa verificar se há atualizações de forma mensal ou trimestral.

#7 Pesquise o que irá comprar

Se você está pensando em comprar um novo roteador ou dispositivo, um pouco mais de pesquisa pode ajudar a melhorar as possibilidades de conseguir um que tenha sido projetado tendo em conta a segurança desde o início (ou pelo menos que não tenha muitos problemas atualmente).

#8 Leia as revisões

Leia as revisões online de roteadores e dispositivos IoT antes de comprá-los, prestando especial atenção na facilidade de uso, em particular no que se refere às características de segurança que oferecem. Apesar que é possível configurar qualquer roteador para torná-lo seguro, se não quiser ter que entrar em muitos detalhes para alcançá-lo (como ter que instalar um software para roteadores de terceiros), é essencial que forneça opções de fácil configuração para entender. Os dispositivos da IoT ainda são uma novidade, por isso que o software alternativo ainda não é uma opção, ou seja, é ainda mais importante que sejam fáceis de proteger.

#9 Verifica as vulnerabilidades mais conhecidas

Procure fornecedores e produtos específicos nos detalhes das Vulnerabilidades e Exposições Comuns (CVE) para ver se existem vulnerabilidades conhecidas. Também existem sites que se encarregam de recopilá-las, como o routerpwn.

Se o produto que você busca tem vulnerabilidades, também pode fazer uma pesquisa usando o número do CVE específico para ver se há uma patche disponível. Normalmente, o melhor é evitar os dispositivos que já possuem problemas de falhas de segurança e que não oferecem patches para solucioná-los.

#10 Verifique os problemas conhecidos

Procure fabricantes para ver se outros clientes relataram problemas, ou se há ações governamentais contra a empresa. Use seu buscador favorito para encontrar o nome do produto ou o fornecedor junto com a palavra "remover" ou "recall" (em Inglês) para ver se eles têm problemas ou se estão retirando o produto do mercado.

#11 Leia com atenção o site do fabricante

Entre no site do fabricante e leia a política de privacidade para ver se é legível e clara. Procure ver se possui uma política de divulgação responsável, pois isso pode indicar que um fornecedor está disposto e capaz de resolver os problemas de forma apropriada à medida que apareçam.

Embora seja pouco provável que seus dispositivos domésticos tenham participado do ataque DDoS no mês passado, é muito provável que este evento tenha sido apenas uma prova preliminar dos atacantes. Se as empresas reforçam a segurança dos dispositivos e se começamos a proteger nossos dispositivos em casa, reduziremos significativamente o número de plataformas disponíveis que podem ser aproveitadas pelos atacantes nas próximas tentativas.