Törvényben tiltja az alapértelmezett router-jelszavakat Kalifornia

Példaértékű lépést tesz Kalifornia állam az online biztonság megerősítése felé: az állam törvényben tiltja a készülékgyártók számára az elterjedt alapértelmezett jelszavak használatát, mint a "default" vagy az "admin". A szabályozás 2020-ban lép érvénybe és minden az államban újonnan gyártott vagy értékesített konzumerelektronikai eszközre érvényes lesz. A vonatkozó törvényjavaslatra az illetékesek gyorsan rábólintottak, annak elfogadásához alig két hétre volt szükség.

Ahogy az "Information privacy: connected devices" néven elfogadott törvényben áll, a gyártók minden egyes online kapcsolatra képes eszköznél egyedi, előre megadott jelszavakat kell hogy biztosítsanak, továbbá a készüléknek olyan biztonsági funkcióval is rendelkeznie kell, amely lehetővé teszi új bejelentkezési azonosítók beállítását az adott eszköz első használatbavételét megelőzően. Online kapcsolatra képes, vagy "connected" eszköznek számít a törvény szerint minden olyan fizikai tárgy, amely képes az internetre csatlakozni, közvetve vagy közvetlenül, és amelyhez saját IP cím vagy Bluetooth cím tartozik.

A frissen bejelentett szabályozás egy sor egyéb, kevésbé specifikus megkötést is tartalmaz, ezek alapján többek között a gyártók által implementált biztonsági funkcióknak arányosnak kell lenniük az adott készülék funkcióival, továbbá a készülék által gyűjtött, tárolt és továbbított információknak megfelelően erős védelmet kell biztosítaniuk. A törvény arra is kitér, hogy a gyártóknak a készülékeket az illetéktelen hozzáférés, használat, módosítás vagy megsemmisítés elleni hatékony védelemmel is el kell látniuk.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

Az új szabályozás persze nem elsősorban az egyéni felhasználók védelmét célozza, noha arra is pozitív hatással lesz, sokkal inkább a jellemzően gyatra védelemmel szerelt online kapcsolattal rendelkező eszközöket, mint a routereket vagy okosotthon-kiegészítőket magukba olvasztó botnetek megfékezése a célja. Sajnos a fertőzött IoT-eszközökből verbuvált zombiseregekért nem kell a szomszédba menni, a legtöbbek számára már ismertek az olyan hírhedt kártevők, mint a Mirai vagy épp annak utódja a Satorit botnet. Ez utóbbi kapcsán épp nyáron füleltek le biztonsági szakértők egy masszív botnetet, amely kifejezetten D-Link routerek sebezhetőségeit használta ki - de ugyanez a kártevő 2017-ben is megfertőzött több mint 260 ezer routert. Az így kiépített hálózatokat a támadók egy sor célra felhasználhatják, a kriptopénz-bányászattól a DDoS támadásokig.

Hogy ilyen kiterjedt zombihálózatok épülhetnek ki, a routerek és egyéb IoT-készülékek gyenge biztonságának köszönhető, amelyek jelentős része ráadásul az ismert alapértelmezett jelszavak valamelyikét használja, ezzel lényegében kitárva kapuit a potenciális támadók előtt. De a jelszavak megváltoztatása sem garantálja a biztonságot, hiszen a népszerű modelleken sem ritkák a sebezhetőségek, amelyeket a támadók ugyanígy kihasználhatnak - nagyobb baj pedig hogy ezeket a gyártók csak ritkán foltozzák be.

Ezen a területen a kaliforniai törvény is lehetne specifikusabb, mert bár a kezelt információknak megfelelő védelmet követel meg, konkrétan nem tér ki a rendszeres biztonsági frissítésekre - persze az elvárt "megfelelő" védelembe ezt remélhetőleg beleérthetjük. Az állam határozata mindenesetre így is példamutató, még ha önmagában kevés is a fenti botnetek és társaik megfékezésére - ugyanakkor ha más régiók is követik a kaliforniai példát, az rengeteget javíthat az egyelőre erősen foghíjas IoT-biztonságon.