Rząd Wielkiej Brytanii ogłasza wojnę z cyberprzestępczością: Słabe domyślne hasła zostaną zablokowane
Wczoraj Matt Warman, Minister ds. Cyfryzacji, Kultury, Mediów i Sportu w Wielkiej Brytanii (DCMS), powiedział The Telegraph, że wraz z zespołem chce zmienić Wielką Brytanię w „najbezpieczniejsze miejsce do bycia online”. To brzmi dobrze i dobrze, ale zapytaj dowolnego polityka w dowolnym kraju, a powiedzą ci dokładnie to samo o skrawku ziemi, za który są odpowiedzialni. Wybrani urzędnicy brytyjscy uważają jednak, że wiedzą, jak to zrobić.
DCMS ogłosił, że pracuje nad aktem prawnym zakazującym sprzedaży w Wielkiej Brytanii urządzeń IoT wyposażonych w słabe i domyślne hasła. Departament zaproponuje projekt ustawy, który, jak ma nadzieję, zostanie dobrze przyjęty przez posłów i przekształcony w ustawę. „Tak szybko, jak to możliwe” było najbliżej czasu ETA, jaki rząd może wymyślić, co nie jest konkretnym solidnym ramem czasowym, ale z drugiej strony, ilekroć się zdarzy, zablokowanie domyślnych haseł w inteligentnych gadżetach z pewnością będzie dobre wieści, prawda?
Table of Contents
Rząd brytyjski rozumie problem do pewnego stopnia
Naprawdę dobra wiadomość jest taka, że coraz więcej osób zaczyna zdawać sobie sprawę z tego, o co chodzi. Niekończąca się fala gadżetów połączonych z Internetem zmieniła nasze codzienne życie, ale prawdopodobnie miała jeszcze głębszy wpływ na krajobraz zagrożeń online. Wiele urządzeń IoT, które kupujemy przez miliony, jest niezwykle łatwych do kompromisu i mogą działać jako narzędzie do wszystkiego (od względnie) nieszkodliwych psikusów do destrukcyjnych ataków DDoS i cyberstalkingu.
Włamanie się do inteligentnej żarówki, elektronicznej niania lub innej technologii IoT jest często tak proste, jak użycie specjalistycznej wyszukiwarki i przeglądanie marki i modelu w celu uzyskania domyślnych danych logowania. W niektórych przypadkach wystarczy wypróbować proste kombinacje, takie jak „123456”. DCMS uważa, że zablokowanie słabych i domyślnych haseł może znacznie utrudnić życie hakerów. Ale czy proponowane przepisy naprawdę przyniosą pożądany skutek?
Domyślne i słabe hasła to tylko część problemu
Domyślne hasło było często okrzykiwane jako główny powód żałosnego bezpieczeństwa IoT. Dzieje się tak (przynajmniej częściowo), ponieważ ogół społeczeństwa łatwiej zrozumiał, jak działa ten rodzaj ataku. Dlatego też łatwo dostępne hasło jest pierwszą rzeczą, do której dążą ustawodawcy. Prawda jest jednak taka, że tak często, jak to możliwe, domyślne dane logowania są tylko częścią problemu.
Na przykład w ubiegłym roku Komisja Europejska wycofała serię inteligentnych zegarków dla dzieci w związku z obawami dotyczącymi prywatności. W tym przypadku problemem nie było domyślne hasło, ale fakt, że gadżety przesyłały duże ilości poufnych informacji bez szyfrowania ich w jakikolwiek sposób. Istnieje wiele innych przykładów, które nie mają nic wspólnego z procesem uwierzytelniania, ale nadal służą jako dowód tego, jak słabe jest bezpieczeństwo niektórych urządzeń IoT.
Przyczyny obecnego stanu rzeczy są całkiem jasne dla każdego, kto zwracał baczną uwagę na tak zwaną rewolucję IoT. Sprzedawcy starają się zaspokoić niedawno odkryte pragnienie łączenia przedmiotów codziennego użytku z Internetem tak szybko i tanio, jak to możliwe. Projekty są realizowane w pośpiechu i oparte na sznurowadłach, a ponieważ wszystkie te urządzenia mają przynieść odrobinę nowości, łatwość użycia ma pierwszeństwo przed wszelkimi kwestiami dotyczącymi prywatności lub bezpieczeństwa.
Rząd Wielkiej Brytanii wie, że problem wykracza poza domyślne hasło. Proponowany zakaz urządzeń, które używają słabych danych logowania, jest częścią szerszego kodu najlepszych praktyk dotyczących bezpieczeństwa IoT. Opracowany w 2018 r. Zawiera wiele innych punktów, które w tej chwili są po prostu zaleceniami. Jeśli zostaną przekształcone w prawo, dostawcy IoT będą zmuszeni do posiadania publicznych platform raportowania podatności na zagrożenia, a może nawet będą musieli zacząć umieszczać etykiety ostrzegawcze na swoich produktach, aby poinformować użytkowników, że hakerzy mogą zaatakować inteligentne gadżety. Niestety nie jesteśmy pewni, czy to wystarczy.
Dostawcy i użytkownicy muszą zacząć traktować bezpieczeństwo poważniej
Internet przedmiotów był już w centrum kilku poważnych incydentów związanych z cyberbezpieczeństwem, a rząd Wielkiej Brytanii nie jest pierwszym organem regulacyjnym, który zdał sobie sprawę, że coś trzeba zrobić. W rzeczywistości ustawa zakazująca używania domyślnych haseł została wydana w stanie Kalifornia w 2018 roku, a 1 stycznia weszła w życie. Nie wiemy jeszcze, jak będzie to skuteczne, ale jesteśmy prawie pewni, że inne samorządy lokalne i krajowe również pójdą w ich ślady.
Problem polega na tym, że prawodawstwo może cię do tej pory osiągnąć. Liczba czynników rządzących bezpieczeństwem pojedynczego urządzenia IoT jest zadziwiająca, a regulacja wszystkich z nich po prostu nie jest możliwa. Jeśli sytuacja ma się poprawić, potrzebujemy fundamentalnej zmiany w sposobie myślenia zarówno dostawców, jak i użytkowników.
Nawet jeśli założymy, że najnowsze przepisy wzywają producentów do stworzenia bezpieczniejszego systemu logowania, nic nie powstrzyma ich przed budowaniem pozostałej infrastruktury zaplecza w najszybszy, najtańszy i najbardziej niepewny możliwy sposób. Luki w zabezpieczeniach występujące w wielu urządzeniach IoT pokazują, że niektórzy dostawcy muszą zdać sobie sprawę, że są odpowiedzialni za zapewnienie bezpieczeństwa swoim klientom i odpowiednio zmienić kolejność swoich list priorytetowych. To powiedziawszy, nie możemy winić dostawców za całą winę.
Mentalność „to mi się nie przydarzy”, którą wielu ludzi przyjęło, nie wyświadcza nam przysług. Dostawcy Internetu rzeczy zwykle wysyłają swoje produkty z domyślnym hasłem, ponieważ dzięki temu konfiguracja urządzenia po raz pierwszy jest łatwiejsza i szybsza. Obejmują one także funkcję, która umożliwia zmianę domyślnego hasła, a prosty fakt jest taki, że wielu klientów go nie używa.
Istotą Internetu Rzeczy jest wprowadzanie tylko pozytywnych zmian w naszym życiu, ale jest całkiem jasne, że w obecnej formie powoduje również pewne problemy. Brytyjscy i kalifornijscy ustawodawcy próbują rozwiązać niektóre z nich, ale prawdziwa zmiana może przyjść tylko od ludzi, którzy projektują i używają inteligentnych urządzeń.