:

Szerző: Hlács Ferenc

2018. november 26. 13:49

Törvényben szabályozza a routerek biztonságát Németország

A BSI által közzétett dokumentum többek között az elvárt jelszavakra és a frissítésekre is kitér.

Saját kézbe veszi Németország a routerek biztonságát, a német Szövetségi Információbiztonsági Hivatal, a BSI hamarosan törvényben kötelezi majd a gyártókat bizonyos biztonsági követelmények betartására a kisvállalati routereknél, ha azokat Németországban is értékesíteni akarják. A BSI már közzétette a tervezett szabályozások vázlatát, egy huszonkét oldalas dokumentumot, amelynek összeállításakor a német telekommunikációs szolgáltatók és a routergyártók mellett a német hardveres közösség visszajelzéseit is figyelembe vette.

A hatóság kiemelt hangsúlyt fordított az eszközökön használt jelszavakra, illetve a szegmenst sújtó legkomolyabb problémára, az elhanyagolt biztonsági frissítésekre is. A BSI azonban szemben például az Androidnál bevett gyakorlattal, nem megadott időközönként követeli meg a frissítések kiadását, hanem a "gyakori" sebezhetőségek felfedezését követően, "indokolatlan késedelem nélkül" - magyarán a cégnek el kell kezdenie a hiba foltozását és a frissítés kiadását rögtön, amint tudomást szerez a biztonsági résről.

A gyártókat emellett a hatóság arra is kötelezi, hogy a firmware-frissítések kapcsán teljes kontrollt adjanak a felhasználóknak, akik számára manuálisan, illetve online frissítéssel is lehetővé kell tenni az új firmware telepítését. A gyártóknak emellett ajánlott az automatikus frissítés opcióját is elérhetővé tenni - alapértelmezetten bekapcsolt állapotban. Természetesen az új firmware eredetiségét minden esetben ellenőrizni kell, a megfelelő digitális aláírásokkal.  Ez persze nem jelenti, hogy Németország hamarosan tiltólistára teszi az egyedi router firmware-eket, mint a népszerű OpenWrt, DD-WRT vagy a Tomato, azok telepítését továbbra is engedhetik a gyártók, ugyanakkor az eszköz kezelőfelületén egyértelműen tájékoztatniuk kell a felhasználót az aláírás nélküli firmware-ek jelentette veszélyekről. Fontos továbbá, hogy az aktuális firmware verziót jól látható helyen, az admin panelen is fel kell tüntetni, illetve az eszköz támogatásának várható lejártáról is egyértelműen értesíteni kell a felhasználót.

routerill

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Ami a jelszavakat illeti, a BSI a Wi-Fi esetében legalább 20 karakteres jelszóhosszúságot ajánl, amelyekben nem lehet magához a routerhez kapcsolódó információ, mint a gyártó vagy az adott modell neve - ez utóbbi vonatkozik az adminfelülethez tartozó jelszavakra, és az ESSID-re (Extended Service Set Identifier) is. Jelszóváltoztatáskor a rendszer köteles figyelmeztetni a felhasználót, ha az túl gyenge jelszót próbálna megadni. Mindezek mellett a jelszavas beléptetést el kell látni megfelelő brute-force támadások elleni védelemmel is.

Fontos megkötés továbbá, hogy minden routernek támogatnia kell a WPA2 biztonsági protokollt - amelyet alapértelmezetten be is kell kapcsolnia. Emellett amennyiben a router tartalmaz vendég Wi-Fi üzemmódot, abból nem szabad hogy elérhető legyen a készülék konfigurációs interfésze. Ha a gyártó ez utóbbi felületet WAN-on keresztül elérhetővé teszi, azt csak TLS titkosítással teheti meg. A BSI ezen felül még számos ajánlást és megkötést is összegyűjtött a BSI TR-03148 névre hallgató dokumentumban - bár a  kezdeményezés kifejezetten előremutató, főleg a routerek hagyományosan botrányos biztonságát és alig létező frissítéseit tekintve, a ZDNet szerint Németországban az ismert CCC (Chaos Computer Club) hackerközösség, illetve a fentebb is említett, nyílt forrású OpenWrt projekt képviselői is találtak benne kifogásolnivalót - a CCC egyenesen "komolytalannak" nevezte a készülő szabályozást.

A csoportok két fő kritikát fogalmaztak meg, elsőként hogy a hatóság továbbra sem kötelezi a gyártókat, hogy már a vásárlás előtt egyértelműen tájékoztassák az ügyfeleket az egyes routerek támogatásának várható lejártáról, a második bírálat pedig azért érte a szabályozót, mert nem gyakorol nagyobb nyomást a vállalatokra, hogy az egyes készülékek támogatásának lejártával tegyék lehetővé az egyedi firmware-ek telepítését a készülékekre.

Noha a kritika jogos, a fenti tervezetet a hatóság még nem véglegesítette, így nem kizárt, hogy a közeljövőben a két kifogásolt pont is bekerül a szabályozásba. Mindenesetre határozottan pozitív lépésről van szó, amelyet globálisan egyre több helyen láthatunk, nemrég például Kalifornia tett fontos lépést a nagyobb router- és általános IoT-biztonság felé, mikor az állam októberben bejelentette, törvényben tiltja az alapértelmezett jelszavak használatát a "connected" eszközökön.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról