Törvényben tiltja az alapértelmezett router-jelszavakat Kalifornia
A gyártóknak minden "connected" eszközhöz egyedi jelszót kell adniuk Kalifornia államban.
Példaértékű lépést tesz Kalifornia állam az online biztonság megerősítése felé: az állam törvényben tiltja a készülékgyártók számára az elterjedt alapértelmezett jelszavak használatát, mint a "default" vagy az "admin". A szabályozás 2020-ban lép érvénybe és minden az államban újonnan gyártott vagy értékesített konzumerelektronikai eszközre érvényes lesz. A vonatkozó törvényjavaslatra az illetékesek gyorsan rábólintottak, annak elfogadásához alig két hétre volt szükség.
Ahogy az "Information privacy: connected devices" néven elfogadott törvényben áll, a gyártók minden egyes online kapcsolatra képes eszköznél egyedi, előre megadott jelszavakat kell hogy biztosítsanak, továbbá a készüléknek olyan biztonsági funkcióval is rendelkeznie kell, amely lehetővé teszi új bejelentkezési azonosítók beállítását az adott eszköz első használatbavételét megelőzően. Online kapcsolatra képes, vagy "connected" eszköznek számít a törvény szerint minden olyan fizikai tárgy, amely képes az internetre csatlakozni, közvetve vagy közvetlenül, és amelyhez saját IP cím vagy Bluetooth cím tartozik.
A frissen bejelentett szabályozás egy sor egyéb, kevésbé specifikus megkötést is tartalmaz, ezek alapján többek között a gyártók által implementált biztonsági funkcióknak arányosnak kell lenniük az adott készülék funkcióival, továbbá a készülék által gyűjtött, tárolt és továbbított információknak megfelelően erős védelmet kell biztosítaniuk. A törvény arra is kitér, hogy a gyártóknak a készülékeket az illetéktelen hozzáférés, használat, módosítás vagy megsemmisítés elleni hatékony védelemmel is el kell látniuk.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Az új szabályozás persze nem elsősorban az egyéni felhasználók védelmét célozza, noha arra is pozitív hatással lesz, sokkal inkább a jellemzően gyatra védelemmel szerelt online kapcsolattal rendelkező eszközöket, mint a routereket vagy okosotthon-kiegészítőket magukba olvasztó botnetek megfékezése a célja. Sajnos a fertőzött IoT-eszközökből verbuvált zombiseregekért nem kell a szomszédba menni, a legtöbbek számára már ismertek az olyan hírhedt kártevők, mint a Mirai vagy épp annak utódja a Satorit botnet. Ez utóbbi kapcsán épp nyáron füleltek le biztonsági szakértők egy masszív botnetet, amely kifejezetten D-Link routerek sebezhetőségeit használta ki - de ugyanez a kártevő 2017-ben is megfertőzött több mint 260 ezer routert. Az így kiépített hálózatokat a támadók egy sor célra felhasználhatják, a kriptopénz-bányászattól a DDoS támadásokig.
Hogy ilyen kiterjedt zombihálózatok épülhetnek ki, a routerek és egyéb IoT-készülékek gyenge biztonságának köszönhető, amelyek jelentős része ráadásul az ismert alapértelmezett jelszavak valamelyikét használja, ezzel lényegében kitárva kapuit a potenciális támadók előtt. De a jelszavak megváltoztatása sem garantálja a biztonságot, hiszen a népszerű modelleken sem ritkák a sebezhetőségek, amelyeket a támadók ugyanígy kihasználhatnak - nagyobb baj pedig hogy ezeket a gyártók csak ritkán foltozzák be.
Ezen a területen a kaliforniai törvény is lehetne specifikusabb, mert bár a kezelt információknak megfelelő védelmet követel meg, konkrétan nem tér ki a rendszeres biztonsági frissítésekre - persze az elvárt "megfelelő" védelembe ezt remélhetőleg beleérthetjük. Az állam határozata mindenesetre így is példamutató, még ha önmagában kevés is a fenti botnetek és társaik megfékezésére - ugyanakkor ha más régiók is követik a kaliforniai példát, az rengeteget javíthat az egyelőre erősen foghíjas IoT-biztonságon.