Ato 2436

O ato 2436 estabelece um conjunto de requisitos mínimos de segurança cibernética de aplicação mandatória para avaliação da conformidade dos seguintes equipamentos CPE de uso do público em geral empregados para conectar assinantes à rede do provedor de serviços de Internet:

a) Cable modem;

b) Modem xDSL;

c) ONU, ONT;

d) Roteador ou modem destinados ao acesso fixo sem fio (FWA – Fixed Wireless Access);

e) Roteador ou modem destinados ao acesso fixo à banda larga via satélite; e

f) Roteador ou ponto de acesso sem fio.

Definições do Ato 2436

Aplicam-se as definições do ato 2436 contidas nas referências normativas 2.1 a 2.3 adicionadas às seguintes:

Dicionário de senhas: arquivo que contém uma lista de palavras e frases comumente utilizadas como senha. O dicionário é composto por senhas obtidas em incidentes de vazamento de dados de autenticação que se tornaram públicos dos quais são extraídas informações estatísticas das senhas mais utilizadas por usuários. O dicionário pode conter, por exemplo, senhas de fácil memorização (ex.: 12345678, abcdefgh, abcde1234, qwerty123, senha12345) ou lista de senhas de associadas a um determinado contexto de aplicação ou de equipamento (ex.: admin123, password, root1234, router123, server123).

Público em geral: qualquer pessoa que utiliza e/ou tem acesso ao produto e que não possui conhecimento técnico especializado sobre o equipamento para telecomunicação e que tem interesse apenas no emprego das suas funcionalidades e no consumo dos serviços de telecomunicação.

Senha fraca: senha que não atende simultaneamente os seguintes critérios:

a) possuir, no mínimo, 8 caracteres;

b) conter, pelo menos, uma letra maiúscula, uma letra minúscula, um número e um caractere especial.

Requisitos para as Senhas Providas de Fábrica do Ato 2436

Os requisitos desta seção aplicam-se às senhas para acesso à interface de configurações do equipamento e para acesso à rede sem fio definidas no processo fabril do equipamento.

As senhas não podem ser fracas, conforme critérios contidos no item 3.1.3.

O equipamento deve apresentar conformidade aos seguintes itens dos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações (Referência 2.3):

a) Não utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos.

b) Não utilizar senhas iniciais que sejam derivadas de informações de fácil obtenção por métodos de escaneamento de tráfego de dados em rede, tal como endereços MAC – Media Access Control.

c) Não permitir o uso de senhas em branco ou senhas fracas.

Alternativamente ao atendimento dos requisitos especificados nos itens 4.2 e 4.3, o equipamento poderá forçar, na primeira utilização, a alteração da senha inicial de acesso à sua configuração, conforme Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações (Referência 2.3) e das senhas para acesso à rede sem fio.

Neste caso, a interface de configuração do equipamento deverá exigir que, no ato de sua primeira utilização/configuração ou após um reset para suas configurações iniciais de fábrica, o usuário defina novas senhas que atendam aos requisitos estabelecidos no item 5. A operação ou configuração do equipamento só poderá ser realizada após a definição de novas senhas.

As senhas devem constar em etiqueta no corpo do equipamento e devem ser restauradas sempre que for realizado o reset do equipamento para suas configurações iniciais de fábrica.

Requisitos para as Senhas Definidas pelo Usuário

Os requisitos desta seção aplicam-se às funcionalidades do equipamento relacionadas às senhas definidas pelo usuário para acesso à interface de configurações do equipamento e para acesso à rede sem fio.

O equipamento deve apresentar conformidade aos seguintes requisitos:

a) Não permitir o uso de senhas em branco ou senhas fracas, conforme Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações (Referência 2.3).

b) Garantir que não sejam definidas senhas fracas, conforme critérios contidos no item 3.1.3.

c) O manual do produto, em meio físico ou digital, deve informar as quantidades mínima e máxima de caracteres permitidas para definição de senhas, além da regra para sua formação.

O equipamento deve implementar verificações que coíbam a definição de senhas fracas ou comumente utilizadas. A verificação pode ser feita por meio de comparação com dicionários de senha, sendo permitida a adoção de outra metodologia.

A metodologia adotada deverá ser informada pelo requerente da homologação ao agente responsável pela avaliação da conformidade do produto.

Demais Requisitos de Segurança do Equipamento

O equipamento deve apresentar conformidade aos seguintes itens dos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações (Referência 2.3):

a) Possuir mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de autenticação por força bruta).

b) Não utilizar credenciais, senhas e chaves criptográficas definidas no próprio código fonte do software/firmware e que não podem ser alteradas (hard-coded).

c) Proteger senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing.

d) Implementar rotinas de encerramento de sessões inativas (timeout).

e) Ser fornecido com serviços de comunicação de dados (serviço associado a uma porta/port) não usualmente utilizados desabilitados, reduzindo sua superfície de ataque.

f) Facultar ao usuário a possibilidade de desabilitar funcionalidades e serviços de comunicação não essenciais à operação ou ao gerenciamento do equipamento.

O mecanismo de recuperação de senha, caso implementado no equipamento, deverá ser robusto contra tentativas de roubo de credenciais, conforme item dos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações (Referência 2.3).

O mecanismo adotado deverá ser informado pelo requerente da homologação ao agente responsável pela avaliação da conformidade do produto.