Η βρετανική κυβέρνηση δηλώνει τον πόλεμο για το έγκλημα στον κυβερνοχώρο: οι αδύναμοι προκαθορισμένοι κωδικοί πρόσβασης θα απαγορευτούν

Χθες, ο Matt Warman, Υπουργός Ψηφιακού, Πολιτισμού, Μέσων και Αθλητισμού (DCMS) της Βρετανίας, δήλωσε στο The Telegraph ότι ο ίδιος και η ομάδα του θέλουν να μετατρέψουν το Ηνωμένο Βασίλειο σε «το ασφαλέστερο μέρος για να είναι online». Αυτό ακούγεται καλά και καλό, αλλά ζητήστε από οποιονδήποτε πολιτικό σε οποιαδήποτε χώρα και θα σας πουν ακριβώς το ίδιο πράγμα για το κομμάτι της γης για το οποίο είναι υπεύθυνοι. Ωστόσο, οι εκλεγμένοι αξιωματούχοι της Βρετανίας πιστεύουν ότι ξέρουν πώς να το κάνουν.

Η DCMS ανακοίνωσε ότι εργάζεται σε μια νομοθεσία που απαγορεύει τις πωλήσεις συσκευών IoT του Ηνωμένου Βασιλείου με αδύναμους και προεπιλεγμένους κωδικούς πρόσβασης. Το τμήμα θα προτείνει ένα νομοσχέδιο, το οποίο, ελπίζει, θα είναι ευπρόσδεκτο από τους βουλευτές του Κοινοβουλίου και θα μετατραπεί σε νόμο. "Το συντομότερο δυνατόν" ήταν το πιο κοντινό σε μια ΕΤΑ που η κυβέρνηση θα μπορούσε να καταλήξει, η οποία δεν είναι ακριβώς ένα ροκ-στερεό χρονικό πλαίσιο, αλλά στη φωτεινή πλευρά, όποτε συμβαίνει, η απαγόρευση προεπιλεγμένων κωδικών πρόσβασης σε έξυπνα gadgets θα είναι σίγουρα καλά νέα, σωστά;

Η βρετανική κυβέρνηση αντιλαμβάνεται το πρόβλημα σε κάποιο βαθμό

Τα πραγματικά καλά νέα είναι ότι όλο και περισσότεροι άνθρωποι αρχίζουν να συνειδητοποιούν το θέμα. Το ατέρμονο κύμα διαδικτύου που συνδέεται με gizmos έχει μετατρέψει την καθημερινή μας ζωή, αλλά έχει αναμφίβολα μια ακόμη πιο βαθιά επίδραση στο online απειλή τοπίο. Πολλά από τα μηχανήματα IoT που αγοράζουμε από τα εκατομμύρια είναι απίστευτα εύκολο να συμβιβαστούν και μπορούν να λειτουργήσουν ως όχημα για οτιδήποτε από (σχετικά) αβλαβείς φάρσες έως καταστροφικές επιθέσεις DDoS και cyberstalking.

Hacking σε μια έξυπνη λάμπα, ένα μωρό οθόνη, ή άλλο κομμάτι της τεχνολογίας IoT είναι συχνά τόσο εύκολη όσο χρησιμοποιώντας μια εξειδικευμένη μηχανή αναζήτησης και googling τη μάρκα και το μοντέλο για να πάρει τα προεπιλεγμένα διαπιστευτήρια σύνδεσης. Σε ορισμένες περιπτώσεις, δοκιμάζοντας απλούς συνδυασμούς όπως το "123456" είναι το μόνο που χρειάζεται. Το DCMS πιστεύει ότι η απαγόρευση αδύναμων και προεπιλεγμένων κωδικών πρόσβασης μπορεί να κάνει πολύ πιο δύσκολη τη ζωή των χάκερ. Αλλά η προτεινόμενη νομοθεσία θα έχει πραγματικά το επιθυμητό αποτέλεσμα;

Οι προεπιλεγμένοι και οι αδύναμοι κωδικοί πρόσβασης αποτελούν μόνο ένα μέρος του προβλήματος

Ο προεπιλεγμένος κωδικός πρόσβασης έχει συχνά χαιρετιστεί ως ο κύριος λόγος για τη θλιβερή ασφάλεια του IoT. Αυτό είναι (τουλάχιστον εν μέρει) επειδή το ευρύ κοινό έχει έναν πιο εύκολο χρόνο να καταλάβει πώς λειτουργεί αυτός ο τύπος επίθεσης. Αυτός είναι και ο λόγος που ο εύκολα διαθέσιμος κωδικός πρόσβασης είναι το πρώτο πράγμα που οι νομοθέτες θα ακολουθήσουν. Η αλήθεια είναι, ωστόσο, όσο συχνά δεν είναι, τα προεπιλεγμένα διαπιστευτήρια σύνδεσης είναι μόνο ένα μέρος του προβλήματος.

Πέρυσι, για παράδειγμα, η Ευρωπαϊκή Επιτροπή εξέδωσε μια ανάκληση για μια παρτίδα παιδιών smartwatch σχετικά με την ανησυχία της ιδιωτικής ζωής. Σε αυτή την περίπτωση, το πρόβλημα δεν ήταν ο προεπιλεγμένος κωδικός πρόσβασης, αλλά το γεγονός ότι τα gadgets μεταφέρουν μεγάλους όγκους ευαίσθητων πληροφοριών χωρίς να την κρυπτογραφούν με οποιονδήποτε τρόπο. Υπάρχουν ορισμένα άλλα παραδείγματα που δεν έχουν καμία σχέση με τη διαδικασία ελέγχου ταυτότητας, αλλά εξακολουθούν να χρησιμεύουν ως απόδειξη για το πόσο φτωχή είναι η ασφάλεια ορισμένων συσκευών IoT.

Οι λόγοι για την τρέχουσα κατάσταση των πραγμάτων είναι αρκετά σαφείς σε όλους όσους προσέχουν τη λεγόμενη επανάσταση του IoT. Οι προμηθευτές βρίσκονται σε μια κούρσα για να ικανοποιήσουν μια πρόσφατα ανακαλυμένη επιθυμία να συνδέουν τα καθημερινά αντικείμενα με το Διαδίκτυο όσο το δυνατόν ταχύτερα και φθηνότερα. Τα σχέδια σπεύδουν και χτίζονται σε ένα shoestring, και επειδή όλα αυτά τα αντικείμενα υποτίθεται ότι φέρνουν ένα κομμάτι της καινοτομίας, η ευκολία χρήσης έχει προτεραιότητα σε σχέση με οποιαδήποτε ανησυχία της ιδιωτικής ζωής ή της ασφάλειας.

Η κυβέρνηση του Ηνωμένου Βασιλείου γνωρίζει ότι το πρόβλημα υπερβαίνει τον προεπιλεγμένο κωδικό πρόσβασης. Η προτεινόμενη απαγόρευση για συσκευές που χρησιμοποιούν αδύναμα στοιχεία ταυτότητας σύνδεσης είναι μέρος ενός κώδικα ευρύτερης βέλτιστης πρακτικής όσον αφορά την ασφάλεια του Διαδικτύου. Καταρτισμένη το 2018, περιλαμβάνει αρκετά άλλα σημεία τα οποία προς το παρόν αποτελούν απλές συστάσεις. Αν μετατραπούν σε νόμο, οι πωλητές του IoT θα αναγκαστούν να έχουν δημόσιες πλατφόρμες αναφοράς ευπάθειας και ίσως χρειαστεί να αρχίσουν να τοποθετούν προειδοποιητικές ετικέτες στα προϊόντα τους για να ενημερώσουν τους χρήστες ότι τα έξυπνα gadgets μπορούν να επιτεθούν από τους χάκερς. Δυστυχώς, δεν είμαστε σίγουροι ότι ακόμη και αυτό θα ήταν αρκετό.

Οι προμηθευτές και οι χρήστες πρέπει να αρχίσουν να λαμβάνουν σοβαρότερα την ασφάλεια

Το IoT υπήρξε ήδη στο επίκεντρο περισσότερων από μερικά σημαντικά περιστατικά στον κυβερνοχώρο και η κυβέρνηση του Ηνωμένου Βασιλείου δεν είναι ο πρώτος ρυθμιστικός φορέας που συνειδητοποιεί ότι κάτι πρέπει να γίνει. Στην πραγματικότητα, ένας νόμος που απαγόρευσε τη χρήση των προεπιλεγμένων κωδικών πρόσβασης ψηφίστηκε στην πολιτεία της Καλιφόρνιας το 2018 και την 1η Ιανουαρίου τέθηκε σε ισχύ. Έχουμε ακόμα να δούμε πόσο αποτελεσματική θα είναι, αλλά είμαστε σίγουροι ότι θα ακολουθήσουν και άλλες τοπικές και εθνικές κυβερνήσεις.

Το πρόβλημα είναι ότι η νομοθεσία μπορεί να σας φτάσει μέχρι τώρα. Ο αριθμός των παραγόντων που διέπουν την ασφάλεια μιας ενιαίας συσκευής IoT είναι εντυπωσιακός και η ρύθμιση όλων δεν είναι απλά δυνατή. Εάν η κατάσταση πρόκειται να βελτιωθεί, χρειαζόμαστε μια θεμελιώδη αλλαγή στον τρόπο σκέψης τόσο των πωλητών όσο και των χρηστών.

Ακόμα κι αν υποθέσουμε ότι οι πρόσφατοι νόμοι θα παροτρύνουν τους κατασκευαστές να βρουν ένα πιο ασφαλές σύστημα σύνδεσης, δεν θα υπάρχει τίποτα που να τους εμποδίζει να χτίσουν την υπόλοιπη υποδομή τους με τον ταχύτερο, φθηνότερο και πιο ανασφαλισμένο τρόπο. Οι ανοιχτές τρύπες ασφαλείας που εντοπίζονται σε πολλές αναφορές IoT δείχνουν ότι ορισμένοι πωλητές πρέπει να συνειδητοποιήσουν ότι είναι υπεύθυνοι για τη διατήρηση της ασφάλειας των πελατών τους και αναπροσαρμόζουν ανάλογα τους καταλόγους προτεραιότητάς τους. Τούτου λεχθέντος, δεν μπορούμε να βάλουμε όλη την ευθύνη στους πωλητές.

Η νοοτροπία "δεν θα συμβεί σε εμένα" πολλοί άνθρωποι έχουν υιοθετήσει μας κάνει να μην ευνοούμε. Οι πωλητές του IoT τείνουν να στέλνουν τα προϊόντα τους με έναν προεπιλεγμένο κωδικό πρόσβασης, επειδή αυτό καθιστά ευκολότερη και ταχύτερη τη ρύθμιση μιας συσκευής. Περιλαμβάνουν επίσης μια εγκατάσταση που επιτρέπει τον προεπιλεγμένο κωδικό πρόσβασης για να αλλάξει, όμως, και το απλό γεγονός του θέματος είναι, πολλοί πελάτες δεν το χρησιμοποιούν.

Το σημείο του Διαδικτύου είναι να φέρει μόνο θετικές αλλαγές στη ζωή μας, αλλά είναι αρκετά σαφές ότι στην παρούσα του μορφή προκαλεί επίσης κάποια προβλήματα. Οι νομοθέτες της Βρετανίας και της Καλιφόρνιας προσπαθούν να λύσουν μερικούς από αυτούς, αλλά η πραγματική αλλαγή μπορεί να προέλθει μόνο από τους ανθρώπους που σχεδιάζουν και χρησιμοποιούν τις έξυπνες συσκευές.