JK vyriausybė skelbia karą dėl elektroninių nusikaltimų: bus uždrausti silpni numatytieji slaptažodžiai
Vakar Didžiosios Britanijos skaitmeninės, kultūros, žiniasklaidos ir sporto (DCMS) departamento ministras Mattas Warmanas „The Telegraph“ sakė, kad jis ir jo komanda nori JK paversti „saugiausia internetine vieta“. Tai skamba gerai ir gerai, tačiau klauskite bet kurio šalies politiko, ir jie jums pasakys tą patį apie žemės sklypą, už kurį jie atsakingi. Didžiosios Britanijos išrinkti pareigūnai vis dėlto tiki žinantys, kaip tai padaryti.
DCMS paskelbė, kad rengia teisės aktą, draudžiantį JK prekiauti daiktų internetiniais prietaisais, turinčiais silpnus ir numatytuosius slaptažodžius. Departamentas siūlys įstatymo projektą, kurį, kaip ji tikisi, gerai priims parlamento nariai ir jis pavers įstatymu. „Kaip galima greičiau“ buvo artimiausias ETA, kurį galėjo sugalvoti vyriausybė, kuri nėra tiksliai tvirtas laiko tarpas, tačiau šviesioji pusė, kai tik atsitiks, uždraudus numatytuosius slaptažodžius išmaniosiose programėlėse tikrai bus. geros žinios, tiesa?
Table of Contents
Didžiosios Britanijos vyriausybė iš dalies supranta problemą
Tikrai gera žinia yra tai, kad vis daugiau žmonių pradeda suvokti, kokia tai problema. Niekada nesibaigiantis prie interneto esančių „gizmos“ bangas pakeitė mūsų kasdienį gyvenimą, tačiau, be abejo, tai padarė dar gilesnį poveikį internetinės grėsmės aplinkai. Daugelį IoT sutarčių, kurių mes perkame iš milijonų, yra nepaprastai lengva kompromituoti ir jos gali būti priemonė viskam, pradedant nuo (palyginti) nekenksmingų sąmokslų ir baigiant žlugdančiomis DDoS atakomis ir kibernetine paieška.
Įsilaužti į išmaniąją lemputę, kūdikio monitorių ar kitą daiktų internetinės technologijos elementą dažnai yra taip paprasta, kaip naudojant specializuotą paieškos variklį ir ieškant prekės ženklo bei modelio, norint gauti numatytuosius prisijungimo duomenis. Tam tikrais atvejais viskas, ko reikia, išbandykite paprastus derinius, tokius kaip „123456“. DCMS mano, kad silpnų ir numatytųjų slaptažodžių uždraudimas gali apsunkinti įsilaužėlių gyvenimą. Bet ar siūlomas teisės aktas tikrai turės norimą poveikį?
Numatytieji ir silpnieji slaptažodžiai yra tik dalis problemos
Numatytasis slaptažodis dažnai buvo garsinamas kaip pagrindinė internetinio internetinio saugumo priežastis. Taip yra (bent iš dalies), nes plačioji visuomenė lengviau supranta, kaip veikia tokio tipo išpuoliai. Štai kodėl įstatymų leidėjai pirmiausia siekia lengvai prieinamo slaptažodžio. Tiesa yra ta, kad neretai numatytieji prisijungimo duomenys yra tik dalis problemos.
Pvz., Praėjusiais metais Europos Komisija paskelbė apie išmaniųjų laikrodžių partijos atšaukimą dėl susirūpinimo dėl privatumo. Tokiu atveju problema buvo ne numatytasis slaptažodis, o tai, kad įtaisai perduodavo didelius kiekius neskelbtinos informacijos, jokiu būdu jos neužšifruodami. Yra daugybė kitų pavyzdžių, kurie neturi nieko bendra su autentifikavimo procesu, tačiau vis tiek naudojami kaip įrodymas, koks menkas kai kurių daiktų interneto įrenginių saugumas.
Dabartinės padėties priežastys yra gana aiškios visiems, kurie atidžiai stebi vadinamąją interneto revoliuciją. Pardavėjai stengiasi patenkinti neseniai atrastą norą kuo greičiau ir pigiau prijungti kasdienius daiktus prie interneto. Dizainas yra skubotas ir pastatytas ant batų virvės, ir kadangi visos šios sutartys turėtų suteikti šiek tiek naujovės, paprastumas naudoti yra svarbesnis už bet kokius privatumo ar saugumo rūpesčius.
JK vyriausybė žino, kad problema viršija numatytąjį slaptažodį. Siūlomas draudimas įrenginiams, naudojantiems silpnus prisijungimo duomenis, yra platesnio geros praktikos kodekso, susijusio su internetine interneto apsauga, dalis. Parengta 2018 m., Joje yra nemažai kitų punktų, kurie šiuo metu yra tiesiog rekomendacijos. Jei jie bus paversti įstatymu, IoT pardavėjai bus priversti turėti viešąsias pranešimų apie pažeidžiamumą platformas, ir jiems gali tekti net pradėti dėti įspėjamąsias etiketes ant savo produktų, kad vartotojai būtų informuoti, kad išmaniuosius prietaisus gali užpulti įsilaužėliai. Deja, nesame tikri, kad to net pakaks.
Pardavėjai ir vartotojai turi pradėti rimčiau žiūrėti į saugą
IoT jau yra daugiau nei kelių svarbių kibernetinio saugumo incidentų centre, o JK vyriausybė nėra pirmoji reguliavimo institucija, supratusi, kad reikia ką nors padaryti. Tiesą sakant, 2018 m. Kalifornijos valstijoje buvo priimtas įstatymas, draudžiantis naudoti numatytuosius slaptažodžius, ir jis įsigaliojo sausio 1 d. Mes dar nematėme, koks jis bus efektyvus, tačiau esame tikri, kad ir kitos vietos ir nacionalinės vyriausybės laikysis pavyzdžių.
Problema ta, kad kol kas teisės aktai gali jums padėti. Daugybė veiksnių, reguliuojančių vieno IoT įrenginio saugumą, kelia nerimą, ir visų jų sureguliuoti tiesiog neįmanoma. Jei situacija pagerės, mums reikia esminių pokyčių tiek pardavėjų, tiek vartotojų mąstyme.
Net jei darysime prielaidą, kad naujausi įstatymai paskatins gamintojus sugalvoti saugesnę prisijungimo sistemą, niekas netrukdys jiems sukurti savo likusią programinės įrangos infrastruktūrą greičiu, pigiausiu ir nesaugiausiu būdu. Daugelio daiktų internetinių sutarčių aptiktos spragos rodo, kad kai kurie pardavėjai turi suprasti, kad yra atsakingi už savo klientų saugumą ir atitinkamai pertvarkyti savo prioritetų sąrašus. Nepaisant to, mes negalime prisiimti visos kaltės pardavėjams.
Daugybės žmonių priimtas požiūris „man taip neatsitiks“ daro mums nepalankų. IP pardavėjai paprastai siunčia savo gaminius naudodamiesi numatytuoju slaptažodžiu, nes tai palengvina ir pagreitina įrenginio nustatymą pirmą kartą. Jie taip pat apima paslaugą, leidžiančią pakeisti numatytąjį slaptažodį, tačiau paprasčiausias faktas yra tai, kad daugelis klientų jo nenaudoja.
Internetinė mintis yra ta, kad į mūsų gyvenimą įnešti tik teigiami pokyčiai, tačiau visiškai aišku, kad dabartine forma tai taip pat sukelia tam tikrų problemų. Didžiosios Britanijos ir Kalifornijos įstatymų leidėjai bando kai kuriuos iš jų išspręsti, tačiau tikrieji pokyčiai gali kilti tik žmonėms, kurie kuria ir naudoja išmaniuosius įrenginius.
