Az Egyesült Királyság kormánya háborút hirdetett a számítógépes bűnözésről: A gyenge alapértelmezett jelszavakat betiltják
Tegnap Matt Warman, az Egyesült Királyság Digitális, Kulturális, Média- és Sportminisztériuma (DCMS) minisztere elmondta a The Telegraphnak, hogy és csapata azt akarja, hogy az Egyesült Királyság „az online biztonságosabb hely legyen”. Ez jól hangzik, de kérdezzen bármilyen politikát bármely országban, és pontosan ugyanazt fogják mondani neked a felelős földterületről. Nagy-Britannia megválasztott tisztviselői azonban úgy vélik, hogy tudják, hogyan kell csinálni.
A DCMS bejelentette, hogy egy olyan jogszabályon dolgozik, amely megtiltja a gyenge és alapértelmezett jelszavakkal rendelkező tárgyak internete eszközök brit értékesítését. A részleg javaslatot fog tenni egy törvényjavaslatra, amelyet - remélhetőleg - a parlamenti képviselők jól fogadnak majd, és ez törvénygé válik. "A lehető leghamarabb" volt a legközelebb egy olyan ETA-hoz, amelyet a kormány találhatott, amely nem pontosan szigorú időkeret, hanem a világos oldalán, amikor csak történik, minden bizonnyal be kell tiltani az alapértelmezett jelszavakat az intelligens eszközökben. jó hír, ugye?
Table of Contents
A brit kormány bizonyos mértékben megérti a problémát
Az igazán jó hír az, hogy egyre többen kezdik felismerni a kérdést. Az internethez csatlakoztatott gizmosok véget nem érő hulláma átalakította mindennapi életünket, de vitathatatlanul még mélyebb hatást gyakorolt az online fenyegetési tájra. Az IoT-féle szerződések közül sok, amelyet a milliók által vásárolunk, hihetetlenül egyszerűen kompromittálódnak, és járművet képesek bármi számára, a (viszonylag) ártalmatlan csínyektől kezdve a zavaró DDoS támadásokig és az internetes hívásokig.
Az intelligens villanykörtebe, babafigyelőbe vagy más tárgyak internete becsapódása gyakran ugyanolyan egyszerű, mint egy speciális keresőmotor használata és a gyártmány és a modell googelése az alapértelmezett bejelentkezési hitelesítő adatok elérése érdekében. Bizonyos esetekben egyszerűen csak a "123456" kombinációk kipróbálására van szükség. A DCMS szerint a gyenge és alapértelmezett jelszavak betiltása sokkal nehezebbé teheti a hackerek életét. De vajon a javasolt jogszabálynak van-e a kívánt hatása?
Az alapértelmezett és a gyenge jelszavak csak a probléma egy részét képezik
Az alapértelmezett jelszót gyakran említik az IoT bántalmazásának fő okaként. Ez (legalábbis részben) azért van, mert a nyilvánosság könnyebben megérti, hogyan működik az ilyen típusú támadás. Ez az oka annak, hogy a könnyen elérhető jelszó az első dolog, amelyet a jogalkotók követnek. Az igazság ugyanakkor, hogy gyakran nem, az alapértelmezett bejelentkezési adatok csak a probléma egy részét képezik.
Például tavaly az Európai Bizottság visszahívást adott ki egy sor gyermek intelligens órájáról, amelyek a magánélettel kapcsolatos aggályokat vetik fel. Ebben az esetben a probléma nem az alapértelmezett jelszó volt, hanem az a tény, hogy a modulok nagy mennyiségű érzékeny információt továbbítottak anélkül, hogy bármilyen módon titkosították volna. Számos más példa is van, amelyeknek semmi köze sincs a hitelesítési folyamathoz, de továbbra is bizonyítékul szolgálnak arra, hogy egyes tárgyak internete eszközök mennyire biztonságosak.
A jelenlegi helyzet oka meglehetősen világos, bárki számára, aki különös figyelmet fordít az IoT forradalmára. Az eladók azon a versenyben vannak, hogy kielégítsék a nemrégiben felfedezett vágyat, hogy a mindennapi árucikkeket a lehető leggyorsabban és olcsóbban csatlakoztassák az internethez. A formatervezési minták rohanóak és cipőfűzőre épülnek, és mivel ezeknek a kontrapcióknak várhatóan újdonságot kell hozniuk, a könnyű használat elsőbbséget élvez minden adatvédelmi vagy biztonsági szempontból.
Az Egyesült Királyság kormánya tudja, hogy a probléma meghaladja az alapértelmezett jelszót. A gyenge bejelentkezési hitelesítő adatokat használó eszközökre vonatkozó javasolt tilalom része az IoT biztonságával kapcsolatos szélesebb körű bevált gyakorlati kódexnek. A 2018-ban elkészített dokumentum tartalmaz egy csomó más pontot is, amelyek jelenleg egyszerűen ajánlások. Ha törvényekké válnak, az IoT-gyártók nyilvános sebezhetőségi jelentési platformon vannak kényszerítve, és valószínűleg még figyelmeztető címkéket is el kell helyezniük termékeikre, hogy tájékoztassák a felhasználókat arról, hogy az intelligens eszközöket támadhatják meg a hackerek. Sajnos nem vagyunk biztosak abban, hogy még ennek is elegendő lenne.
Az eladóknak és a felhasználóknak komolyabban kell kezdeni a biztonságot
Az IoT már több mint néhány nagyobb kiberbiztonsági esemény középpontjában áll, és az Egyesült Királyság kormánya nem az első olyan szabályozó testület, amely felismerte, hogy valamit meg kell tenni. Valójában 2018-ban Kaliforniában elfogadták az alapértelmezett jelszavak használatát betiltó törvényt, amely január 1-jén hatályba lépett. Még nem láttuk, mennyire hatékony lesz, ám elég biztosak vagyunk abban, hogy más helyi és nemzeti kormányok is követni fogják ezt a példát.
A probléma az, hogy a jogalkotás eddig csak eljuthat Önhöz. Az IoT-eszközök biztonságát befolyásoló tényezők számos szempontból elképesztő jellegűek, és mindegyik szabályozása egyszerűen nem lehetséges. Ha a helyzet javul, akkor alapvető változásokra van szükség a szállítók és a felhasználók gondolkodásmódjában.
Még ha feltételezzük is, hogy a legutóbbi törvények arra késztetik a gyártókat, hogy hozzanak létre biztonságosabb bejelentkezési rendszert, semmi sem akadályozza meg őket abban, hogy háttérszín-infrastruktúrájuk fennmaradó részét a lehető leggyorsabb, legolcsóbb és bizonytalan módon építsék ki. A sok internet tárgyát képező szerződésben talált hiányzó biztonsági rések azt mutatják, hogy egyes gyártóknak tisztában kell lenniük azzal, hogy felelősek az ügyfelek biztonságáért, és ennek megfelelően át kell sorolniuk a prioritási listáikat. Mindemellett nem vállalhatjuk az összes hibát az eladókra.
A sok ember által alkalmazott "velem nem fog megtörténni" mentalitás nem kedvez nekünk. Az IoT-gyártók általában alapértelmezett jelszóval szállítják termékeiket, mivel ez megkönnyíti és gyorsabbá teszi az eszköz beállítását. Tartalmaznak egy olyan eszközt is, amely lehetővé teszi az alapértelmezett jelszó megváltoztatását, és egyszerűen az a tény, hogy sok ügyfél nem használja.
Az IoT lényege, hogy csak pozitív változásokat hozzon életünkbe, de egyértelmű, hogy jelenlegi formájában problémákat is okoz. A brit és a kaliforniai törvényhozók néhányat megpróbálnak megoldani, ám a valódi változás csak azoktól származhat, akik az intelligens eszközöket tervezik és használják.
