Il governo del Regno Unito dichiara guerra alla criminalità informatica: le password predefinite deboli saranno bandite
Ieri, Matt Warman, Ministro del Dipartimento per il digitale, la cultura, i media e lo sport (DCMS), ha dichiarato a The Telegraph che lui e il suo team vogliono trasformare il Regno Unito in "il luogo più sicuro per essere online". Questo suona bene e bene, ma chiedi a qualsiasi politico in qualsiasi paese e ti diranno esattamente la stessa cosa sulla zona di terra di cui sono responsabili. I funzionari eletti della Gran Bretagna, tuttavia, credono di sapere come farlo.
DCMS ha annunciato che sta lavorando a un atto legislativo che vieta le vendite nel Regno Unito di dispositivi IoT con password deboli e predefinite. Il dipartimento proporrà un disegno di legge che, spera, sarà ben accolto dai membri del Parlamento e sarà trasformato in una legge. "Il più presto possibile" era il più vicino a un ETA che il governo potesse inventare, il che non è esattamente un lasso di tempo solido come una roccia, ma il lato positivo, ogni volta che succede, vietare le password predefinite nei gadget intelligenti sarà sicuramente buone notizie, vero?
Table of Contents
Il governo britannico comprende il problema in una certa misura
La buona notizia è che sempre più persone stanno iniziando a capire qual è il problema. L'ondata infinita di aggeggi connessi a Internet ha trasformato la nostra vita quotidiana, ma ha probabilmente avuto un effetto ancora più profondo sul panorama delle minacce online. Molte delle congetture dell'IoT che acquistiamo a milioni sono incredibilmente facili da compromettere e possono agire da veicolo per qualsiasi cosa, dagli scherzi (relativamente) innocui agli sconvolgenti attacchi DDoS e cyberstalking.
L'hacking in una lampadina intelligente, un baby monitor o un altro elemento della tecnologia IoT è spesso facile come utilizzare un motore di ricerca specializzato e cercare su Google la marca e il modello per ottenere le credenziali di accesso predefinite. In alcuni casi, è sufficiente provare combinazioni semplici come "123456". DCMS ritiene che vietare le password deboli e predefinite possa rendere molto più difficile la vita degli hacker. Ma la legislazione proposta avrà davvero l'effetto desiderato?
Le password predefinite e deboli sono solo una parte del problema
La password predefinita è stata spesso salutata come il motivo principale della triste preoccupazione di IoT. Questo è (almeno in parte) perché il pubblico in generale ha più facilità a capire come funziona questo tipo di attacco. Questo è anche il motivo per cui la password prontamente disponibile è la prima cosa che i legislatori stanno cercando. La verità è, tuttavia, il più delle volte, le credenziali di accesso predefinite sono solo una parte del problema.
L'anno scorso, ad esempio, la Commissione europea ha emesso un richiamo per una serie di smartwatch per bambini per problemi di privacy. In quel caso, il problema non era la password predefinita, ma il fatto che i gadget trasferivano grandi volumi di informazioni sensibili senza crittografarle in alcun modo. Esistono numerosi altri esempi che non hanno nulla a che fare con il processo di autenticazione, ma servono ancora come prova della scarsa sicurezza di alcuni dispositivi IoT.
Le ragioni dell'attuale situazione sono abbastanza chiare per chiunque abbia prestato molta attenzione alla cosiddetta rivoluzione dell'IoT. I venditori sono in corsa per soddisfare il desiderio recentemente scoperto di collegare gli articoli di tutti i giorni a Internet nel modo più rapido ed economico possibile. I progetti si affrettano e si basano su pochi soldi, e poiché tutti questi aggeggi dovrebbero portare un po 'di novità, la facilità d'uso ha la priorità su qualsiasi problema di privacy o sicurezza.
Il governo del Regno Unito sa che il problema va oltre la password predefinita. Il divieto proposto per i dispositivi che utilizzano credenziali di accesso deboli fa parte di un codice di buone pratiche più ampio relativo alla sicurezza dell'IoT. Redatto nel 2018, include alcuni altri punti che, al momento, sono semplicemente raccomandazioni. Se vengono trasformati in una legge, i fornitori di IoT saranno costretti a disporre di piattaforme pubbliche di segnalazione delle vulnerabilità e potrebbero anche aver bisogno di iniziare a mettere etichette di avvertimento sui loro prodotti per informare gli utenti che gli hacker possono attaccare i gadget intelligenti. Sfortunatamente, non siamo sicuri che anche questo sarebbe sufficiente.
I fornitori e gli utenti devono iniziare a prendere la sicurezza più seriamente
L'IoT è già stato al centro di numerosi incidenti di cibersicurezza e il governo del Regno Unito non è il primo organo di regolamentazione a rendersi conto che qualcosa deve essere fatto. In effetti, una legge che vietava l'uso delle password predefinite è stata approvata nello Stato della California nel 2018 e il 1 ° gennaio è entrata in vigore. Dobbiamo ancora vedere quanto sarà efficace, ma siamo abbastanza sicuri che anche altri governi locali e nazionali seguiranno l'esempio.
Il problema è che la legislazione può arrivare solo così lontano. Il numero di fattori che regolano la sicurezza di un singolo dispositivo IoT è sbalorditivo e non è possibile regolarli tutti. Se la situazione deve migliorare, abbiamo bisogno di un cambiamento fondamentale nel modo in cui pensano sia i venditori che gli utenti.
Anche se supponiamo che le recenti leggi spingano i produttori a proporre un sistema di accesso più sicuro, non ci sarà nulla che impedisca loro di costruire il resto della loro infrastruttura di back-end nel modo più rapido, economico e insicuro possibile. Le lacune di sicurezza individuate in molti aggeggi IoT mostrano che alcuni fornitori devono rendersi conto di essere responsabili della sicurezza dei propri clienti e di riordinare i loro elenchi di priorità di conseguenza. Detto questo, non possiamo dare tutta la colpa ai venditori.
La mentalità "non mi succederà" che molte persone hanno adottato non ci sta facendo alcun favore. I fornitori di IoT tendono a spedire i loro prodotti con una password predefinita perché ciò rende la configurazione di un dispositivo per la prima volta più semplice e rapida. Includono anche una funzione che consente di modificare la password predefinita, e il fatto è che molti clienti non la usano.
Il punto dell'IoT è quello di apportare solo cambiamenti positivi alle nostre vite, ma è abbastanza chiaro che nella sua forma attuale, sta anche causando alcuni problemi. I legislatori britannici e californiani stanno cercando di risolverne alcuni, ma il vero cambiamento può provenire solo dalle persone che progettano e utilizzano i dispositivi intelligenti.
