Правительство Великобритании объявляет войну киберпреступности: слабые пароли по умолчанию будут запрещены
Вчера Мэтт Уорман, министр британского департамента по вопросам цифровых технологий, культуры, СМИ и спорта (DCMS), заявил The Telegraph, что он и его команда хотят превратить Великобританию в «самое безопасное место для общения в Интернете». Это звучит хорошо и хорошо, но спросите любого политика в любой стране, и он скажет вам то же самое о клочке земли, за который он отвечает. Однако британские выборные чиновники считают, что они знают, как это сделать.
DCMS объявила, что работает над законодательным актом, запрещающим продажу устройств IoT в Великобритании со слабыми паролями по умолчанию. Департамент предложит законопроект, который, как он надеется, будет хорошо принят членами парламента и будет превращен в закон. «Как можно скорее» было самым близким к ETA, которое могло бы придумать правительство, что не является точным временным интервалом, но, с другой стороны, всякий раз, когда это происходит, запрет паролей по умолчанию в интеллектуальных гаджетах наверняка будет хорошие новости, верно?
Table of Contents
Британское правительство в некоторой степени понимает проблему
Действительно хорошая новость заключается в том, что все больше и больше людей начинают понимать, в чем проблема. Бесконечная волна подключенных к Интернету вещей изменила нашу повседневную жизнь, но, возможно, она оказала еще более глубокое влияние на ландшафт онлайн-угроз. Многие из хитросплетений IoT, которые мы покупаем миллионами, невероятно легко компрометировать, и они могут служить средством для чего угодно - от (относительно) безобидных шуток до подрывных DDoS-атак и кибер-преследования.
Взлом на интеллектуальную лампочку, радионяню или другой элемент технологии IoT часто так же прост, как использование специализированной поисковой системы и поиск по марке и модели, чтобы получить учетные данные для входа в систему по умолчанию. В некоторых случаях пробовать простые комбинации, такие как «123456», - это все, что нужно. DCMS считает, что запрет слабых паролей и паролей по умолчанию может значительно усложнить жизнь хакерам. Но будет ли предложенное законодательство действительно иметь желаемый эффект?
Стандартные и слабые пароли являются лишь частью проблемы
Пароль по умолчанию часто провозглашался главной причиной печальной безопасности IoT. Это (по крайней мере частично), потому что широкой публике легче понять, как работает этот тип атаки. Это также, почему легкодоступный пароль - первое, что законодатели собираются после. Правда, однако, часто, что учетные данные по умолчанию являются лишь частью проблемы.
В прошлом году, например, Европейская комиссия выпустила отзыв о серии детских умных часов в связи с проблемами конфиденциальности. В этом случае проблема заключалась не в пароле по умолчанию, а в том, что гаджеты передавали большие объемы конфиденциальной информации без какого-либо шифрования. Есть ряд других примеров, которые не имеют ничего общего с процессом аутентификации, но все же служат доказательством того, насколько плоха безопасность некоторых устройств IoT.
Причины нынешнего положения дел довольно понятны всем, кто уделяет пристальное внимание так называемой революции Интернета вещей. Поставщики стремятся удовлетворить недавно обнаруженное желание как можно быстрее и дешевле подключать повседневные товары к Интернету. Проекты спешат и строятся на небольшом количестве, и поскольку все эти хитрости должны принести немного новизны, простота использования имеет приоритет над любыми проблемами конфиденциальности или безопасности.
Правительство Великобритании знает, что проблема выходит за рамки пароля по умолчанию. Предлагаемый запрет на устройства, использующие слабые учетные данные для входа в систему, является частью более широкого кода наилучшей практики, касающегося безопасности IoT. Составленный в 2018 году, он включает в себя немало других пунктов, которые на данный момент являются просто рекомендациями. Если они станут законом, поставщики IoT будут вынуждены иметь общедоступные платформы для сообщений об уязвимостях, и им, возможно, даже придется начать размещать предупреждающие надписи на своих продуктах, чтобы информировать пользователей о том, что хакеры могут атаковать умные гаджеты. К сожалению, мы не уверены, что даже этого будет достаточно.
Поставщики и пользователи должны более серьезно относиться к безопасности
IoT уже был в центре более чем нескольких крупных инцидентов кибербезопасности, и правительство Великобритании не является первым регулирующим органом, который осознает, что что-то должно быть сделано. Фактически, закон, запрещающий использование паролей по умолчанию, был принят в штате Калифорния еще в 2018 году, и 1 января он вступил в силу. Мы еще не знаем, насколько это будет эффективно, но мы уверены, что другие местные и национальные правительства также последуют их примеру.
Проблема в том, что законодательство может дать вам только так далеко. Количество факторов, управляющих безопасностью одного устройства IoT, ошеломляет, и регулирование всех из них просто невозможно. Если ситуация улучшится, нам нужны фундаментальные изменения в мышлении как поставщиков, так и пользователей.
Даже если мы предположим, что недавние законы будут побуждать производителей придумывать более безопасную систему входа в систему, ничто не помешает им построить остальную часть своей серверной инфраструктуры самым быстрым, дешевым и самым небезопасным способом. Зияющие дыры в безопасности, обнаруженные во многих хитросплетениях IoT, показывают, что некоторые поставщики должны понимать, что они несут ответственность за обеспечение безопасности своих клиентов и соответственно переупорядочивать свои списки приоритетов. При этом мы не можем свалить всю вину на поставщиков.
Менталитет "этого не случится со мной", принятый многими людьми, не оказывает нам никакой помощи. Поставщики IoT обычно поставляют свои продукты с паролем по умолчанию, потому что это делает настройку устройства в первый раз проще и быстрее. Они также включают в себя средство, позволяющее изменять пароль по умолчанию, хотя простой факт заключается в том, что многие клиенты не используют его.
Цель IoT состоит в том, чтобы внести в нашу жизнь только позитивные изменения, но совершенно очевидно, что в ее нынешнем виде это также вызывает некоторые проблемы. Британские и калифорнийские законодатели пытаются решить некоторые из них, но реальные изменения могут прийти только от людей, которые разрабатывают и используют интеллектуальные устройства.
