Governos de Nova Iorque e da Califórnia começam a criar leis para evitar roubo de conexão sem fio ou exposição de informações confidenciais.
Em outubro de 2006, o governo do condado de Westchester, em Nova Iorque, EUA,
passou a cumprir uma lei estadual exigindo que todos os estabelecimentos
comerciais tenham ferramentas de proteção ao acesso WLAN ou deverão pagar
multas. A lei demanda também que qualquer empresa que oferte Wi-Fi gratuita
tenha, obrigatoriamente, um cartaz na parede com os dizeres: “Instale um
firewall ou qualquer outra medida de segurança”.
Mais informações sobre como proteger
seu laptop em hot spots aqui.
A determinação, que tem feito os funcionários do
departamento de TI de Westchester percorrer o estado com aparelhos para teste de
WLAN, foi criada com motivada pelo “alto índice de piggybacking (roubar acesso
a uma rede sem fio sem autorização) nas redes Wi-Fi”, afirma Norm Jacknis, CIO do
estado. “Nestas redes, existe acesso irrestrito aos dados confidenciais e nós
temos um problema com isso”.
Jacknis afirma que um pequeno número de estabelecimentos foi
pego com redes Wi-Fi inseguras expondo dados críticos foram autuados por
violação, mas até agora nenhum falhou em descobrir o problema. Sob as
determinações da nova demanda, uma segunda violação causa multa de 250 dólares
e na terceira o valor sobe para 500 dólares.
O acesso público de Wi-Fi está ganhando terreno, não apenas
nos internet-cafés, mas em diversas opções de varejo. Não é novidade que redes Wi-Fi
representam alguns riscos.
“Eu posso me sentar no Starbuck e, sem nem me conectar à
rede, ver todo o tráfego que está passando ao meu lado”, afirma Al Potter, gerente
de testes da ICSA Labs, durante um evento de segurança em WLAN no InfoSecurity
Conference, que aconteceu em
Nova Iorque em dezembro último. “É possível roubar suas
credenciais e, aí, você está perdido”.
Andrew Neuman, assistente especial do estado, afirma que
Nova Iorque inteira está estudando formas de adotar legislações similares.
De qualquer forma, enquanto alguns aplaudem o esforço para
aumentar a preocupação com segurança, a maioria é cética quanto ao uso do cartaz
sobre segurança em Wi-Fi abertos.
“É ingênuo, pois não bloqueia o acesso”, define Mark Rasch, conselheiro
de segurança para a Solutionary, empresa de proteção da informação. “Quem está
acessando a rede fora das dependências da empresa, não chega a ver o cartaz”.
De qualquer forma, Rasch concorda que a idéia avisar os
usuários é uma política interessante. “Uma iniciativa melhor seria colocar um
pop-up quando o usuário for se logar na rede”.
Especialistas legais acreditam que as leis atuais dos EUA não
proíbem claramente a prática de “piggybacking”. A técnica consiste em invadir
uma rede Wi-Fi aberta sem ter autorização para isso, independente se a origem
da rede sem fio é uma empresa ou seu vizinho. Ao aproveitar o acesso Wi-Fi aberto,
um usuário pode se deparar com arquivos sensíveis.
“Quando se fala em piggybacking, não está claro se é ilegal
ou se é legal”, afirma Rasch says. “A falta de segurança é, nesse caso, um
convite para invadir? Fica difícil definir se estamos participando de um
experimento sem fronteiras ou se estamos cometendo um crime”.
Rasch acrescenta que uma leitura atenta de certas leis
relacionadas com telecomunicações de diversos estados pode sugerir que o acesso
não-autorizado ao Wi-Fi pode ser ilegal. “Mas simplesmente não está claro”,
completa.
Califórnia contra o
crime
A nova lei californiana abordando a segurança em Wi-Fi, chamada
de AB 2415 ou – simplesmente – “Conta de Proteção de Wi-Fi” garante que o
status legal do piggybacking permaneça incerto.
“Esta prática está se tornando uma questão séria em áreas com
alta densidade demográfica ou em prédios, locais nos quais as ondas de rádio
podem passar tranquilamente por paredes, tetos ou pelo chão”, define a AB 2415. A norma estima que
16,2 milhões de casas nos EUA tenham acesso sem fio à internet. “Existe um
debate quanto à legalidade de alguém acessar uma conexão Wi-Fi para navegar se
o proprietário desta não colocou uma senha para proteção”, destaca.
Ainda que a AB 2415 não aborde a delicada questão da
legalidade do piggybacking, ela coloca pressão nos fabricantes de roteadores wireless
para que eles coloquem alertas de segurança nos produtos que eles vendam no
estado.
Pela determinação, os fornecedores de WLAN podem: colocar um
adesivo alertando sobre as questões de segurança no produto; adicionar um
pop-up no momento em que o roteador acaba de ser instalado; ou fornecer um
serviço para proteção. Os usuários não são obrigados pela lei a tomar medidas
de segurança, no entanto, eles precisam ser informados obrigatoriamente sobre
os riscos relacionados.
A legislação foi criada inicialmente como uma demanda para
criptografia em equipamentos WLAN.
Ela evoluiu para a conscientização de segurança nos
equipamentos relacionados com WLAN, PCs incluídos, e terminou como exigência de
avisos apenas nos roteadores WLAN vendidos para setor de SMB e para usuários
domésticos.
A lei californiana é apoiada pela Wi-Fi Alliance, união de
fornecedores desse mercado e instituições representativas como Apple, a Cisco, a
Associação Americana de Eletrônicos, a Associação de Direitos sobre a
Privacidade e a União Americana de Liberdades Civis.
“Em uma análise final, a linguagem é aceitável”, afirma Frank
Hanzlik, diretor de gerenciamento da Wi-Fi Alliance. “A questão é como se constrói
a consciência? Está disponível um sem número de tecnologias de segurança e nós
gostaríamos de vê-las em prática”.
