Storbritannias regjering erklærer krig mot nettkriminalitet: svake standardpassord vil bli utestengt
I går sa Matt Warman, ministeren for Storbritannias avdeling for digital, kultur, media og sport (DCMS), The Telegraph at han og teamet hans ønsker å gjøre Storbritannia til 'det tryggeste stedet å være online.' Dette høres bra og bra ut, men spør alle politikere i alle land, så vil de fortelle deg nøyaktig det samme om den lappen de har ansvar for. Storbritannias folkevalgte mener imidlertid at de vet hvordan de skal gjøre det.
DCMS kunngjorde at det jobber med et lovverk som forbyr salg i Storbritannia av IoT-enheter som har svake og standardpassord. Avdelingen vil foreslå et lovforslag som den håper blir godt mottatt av parlamentsmedlemmer og vil bli omgjort til en lov. "Så snart som mulig" var det nærmeste en ETA regjeringen kunne komme med, noe som ikke akkurat er en bunnsolid tidsramme, men på den lyse siden, når det skjer, vil forbud mot standardpassord i smarte dingser være gode nyheter, ikke sant?
Table of Contents
Den britiske regjeringen forstår problemet til en viss grad
Den virkelig gode nyheten er at flere og flere begynner å innse hva problemet er. Den uendelige bølgen av internett-tilkoblede gizmos har forvandlet hverdagen vår, men den har uten tvil hatt en enda dypere effekt på det online trusselandskapet. Mange av IoT-kontroversene vi kjøper av millionene er utrolig enkle å kompromittere, og de kan fungere som et kjøretøy for alt fra (relativt) ufarlige pranks til forstyrrende DDoS-angrep og cyberstalking.
Å hacke seg inn i en smart lyspære, en babymonitor eller et annet stykke IoT-teknologi er ofte like enkelt som å bruke en spesialisert søkemotor og googling av merke og modell for å få standard påloggingsinformasjon. I visse tilfeller er det å prøve enkle kombinasjoner som "123456" alt som trengs. DCMS mener at å forby svake og standardpassord kan gjøre hackernes liv mye vanskeligere. Men vil den foreslåtte lovgivningen virkelig ha ønsket effekt?
Standard og svake passord er bare en del av problemet
Standardpassordet har ofte blitt hyllet som hovedårsaken til IoTs onde sikkerhet. Dette er (i det minste delvis) fordi allmennheten har enklere tid på å forstå hvordan denne typen angrep fungerer. Dette er også grunnen til at det lett tilgjengelige passordet er det første lovgiverne går etter. Sannheten er imidlertid at så ofte som ikke, standard påloggingsinformasjon er bare en del av problemet.
I fjor utstedte for eksempel EU-kommisjonen en tilbakekalling av et parti med smarttelefoner for barn på grunn av personvernhensyn. I det tilfellet var ikke problemet standardpassordet, men det faktum at dingsene overførte store mengder sensitiv informasjon uten å kryptere den på noen måte. Det er en rekke andre eksempler som ikke har noe med autentiseringsprosessen å gjøre, men som fremdeles tjener som bevis på hvor dårlig sikkerheten til noen IoT-enheter er.
Årsakene til den nåværende situasjonen er ganske klare for alle som har fulgt nøye med på den såkalte IoT-revolusjonen. Selgere er i et løp for å tilfredsstille et nylig oppdaget ønske om å koble hverdagsgjenstander til internett så raskt og så billig som mulig. Motiver er ruset og bygd på en skyvebånd, og fordi alle disse kontrastene er ment å gi litt nyhet, er brukervennlighet prioritert over personvern- eller sikkerhetsproblemer.
Den britiske regjeringen vet at problemet går utover standardpassordet. Det foreslåtte forbudet for enheter som bruker svak påloggingsinformasjon, er en del av en større kode for beste praksis angående IoT-sikkerhet. Utarbeidet i 2018, og inkluderer ganske mange andre punkter som for øyeblikket ganske enkelt er anbefalinger. Hvis de blir omgjort til en lov, vil IoT-leverandører bli tvunget til å ha offentlige plattformer for sårbarhetsrapportering, og de kan til og med trenge å begynne å legge advarselsetiketter på produktene sine for å informere brukere om at smarte dingser kan angripes av hackere. Dessverre er vi ikke sikre på at selv dette ikke ville være nok.
Leverandører og brukere må begynne å ta sikkerhet mer alvorlig
IoT har allerede vært i sentrum for mer enn noen få store cybersikkerhetshendelser, og den britiske regjeringen er ikke det første reguleringsorganet som innser at noe må gjøres. Faktisk ble en lov som forbød bruk av standard passord vedtatt i staten California tilbake i 2018, og 1. januar trådte den i kraft. Vi har ennå ikke sett hvor effektiv det vil være, men vi er ganske sikre på at også andre lokale og nasjonale myndigheter følger etter.
Problemet er at lovgivning bare kan komme deg så langt. Antall faktorer som styrer sikkerheten til en enkelt IoT-enhet er overveldende, og det er bare ikke mulig å regulere dem alle. Hvis situasjonen skal forbedre seg, trenger vi en grunnleggende endring i måten både leverandører og brukere tenker.
Selv om vi antar at de nylige lovene vil oppfordre produsentene til å komme opp med et sikrere påloggingssystem, vil det ikke være noe som hindrer dem i å bygge resten av sin backend-infrastruktur på den raskeste, billigste og mest usikre måten som mulig. De gapende sikkerhetshullene som finnes i mange IoT-kontroverser, viser at noen leverandører må innse at de er ansvarlige for å holde kundene trygge og omorganisere prioriteringslistene deretter. Når det er sagt, kan vi ikke legge all skyld på leverandørene.
Den "det vil ikke skje med meg" -mentaliteten mange mennesker har adoptert, gjør oss ikke noe. IoT-leverandører pleier å sende produktene sine med et standardpassord fordi dette gjør det enklere og raskere å sette opp en enhet for første gang. De inkluderer også et anlegg som lar standardpassordet endres, og det enkle faktum er at mange kunder ikke bruker det.
Poenget med IoT er å bringe bare positive endringer i livene våre, men det er ganske tydelig at det i sin nåværende form også forårsaker noen problemer. Britiske og kaliforniske lovgivere prøver å løse noen av dem, men den virkelige endringen kan bare komme fra menneskene som designer og bruker de smarte enhetene.
