Το Ηνωμένο Βασίλειο γίνεται η πρώτη χώρα που απαγορεύει τους προεπιλεγμένους απλούς κωδικούς πρόσβασης στις συσκευές IoT

[deniSun]

Πριν από επτά χρόνια, μια κυβερνοεπίθεση άφησε απρόσιτους πολλούς από τους πιο δημοφιλείς ιστότοπους που εδρεύουν στις Ηνωμένες Πολιτείες. Για τρεις παρατεταμένες περιόδους στις 21 Οκτωβρίου 2016, οι χρήστες του διαδικτύου έμειναν χωρίς Twitter, το CNN και το Netflix, μεταξύ άλλων δημοφιλών ιστότοπων.

Όπως ήταν φυσικό, υπήρξαν εικασίες σχετικά με τους ισχυρούς φορείς απειλών που θα μπορούσαν να προκαλέσουν μια τέτοια διακοπή. Όμως το περιστατικό δεν διεξήχθη από ένα εχθρικό κράτος. Αποδείχθηκε ότι ήταν εξαιρετικά απλοϊκό, απλώς μια κατανεμημένη επίθεση άρνησης παροχής υπηρεσιών με στόχο την Dyn, μια εταιρεία που παρείχε υπηρεσίες συστήματος ονομάτων τομέα (DNS) - ένα κρίσιμο μέρος της δομής επικοινωνίας του διαδικτύου.

Αν και η επίθεση ήταν απλοϊκή, ήταν μεγάλη. Ο όγκος της κίνησης που εστάλη στους διακομιστές της Dyn δημιουργήθηκε από ένα botnet καταναλωτικών συσκευών που ήταν συνδεδεμένες στο διαδίκτυο, από ασύρματες κάμερες μέχρι δρομολογητές WiFi. Το botnet, που ονομάστηκε Mirai από ένα ιαπωνικό καρτούν, είχε αναπτυχθεί από μια τριάδα Αμερικανών πολιτών που μόλις είχαν περάσει την εφηβεία τους, οι οποίοι σύντομα συνελήφθησαν.

Αν και δήλωσαν ένοχοι λίγο περισσότερο από ένα χρόνο αργότερα, η εφεύρεσή τους δημιούργησε το φάντασμα για κάτι πολύ πιο μακροχρόνιο - το φάντασμα για το πόση ζημιά μπορεί να προκληθεί από πρόχειρες πρακτικές ασφαλείας μεταξύ των παραγωγών του Διαδικτύου των Πραγμάτων (IoT), ιδίως από την ευρεία χρήση προεπιλεγμένων ονομάτων χρήστη και κωδικών πρόσβασης που επέτρεψαν στο botnet Mirai να τις μολύνει αυτόματα και να εξαπλωθεί σε περίπου 300.000 συσκευές, όλες από τις οποίες θα μπορούσαν να λάβουν εντολή να στοχεύσουν οτιδήποτε άλλο είναι συνδεδεμένο στο διαδίκτυο.

Τη Δευτέρα, το Ηνωμένο Βασίλειο έγινε η πρώτη χώρα στον κόσμο που απαγόρευσε τα προεπιλεγμένα ονόματα χρήστη και τους κωδικούς πρόσβασης που μπορούν να μαντέψουν από αυτές τις συσκευές IoT. Οι μοναδικοί κωδικοί πρόσβασης που είναι εγκατεστημένοι από προεπιλογή εξακολουθούν να επιτρέπονται.

Ο νόμος περί ασφάλειας προϊόντων και τηλεπικοινωνιακών υποδομών 2022 (PSTI) εισάγει νέα ελάχιστα πρότυπα ασφαλείας για τους κατασκευαστές και απαιτεί από τις εταιρείες αυτές να είναι ανοιχτές με τους καταναλωτές σχετικά με το χρονικό διάστημα για το οποίο τα προϊόντα τους θα λαμβάνουν ενημερώσεις ασφαλείας.

Οι πρακτικές κατασκευής και σχεδιασμού σημαίνουν ότι πολλά προϊόντα IoT εισάγουν πρόσθετους κινδύνους στα οικιακά και επιχειρηματικά δίκτυα στα οποία συνδέονται. Σε μια συχνά αναφερόμενη περίπτωση που περιγράφεται από την εταιρεία κυβερνοασφάλειας Darktrace, οι χάκερς φέρονται να μπόρεσαν να κλέψουν δεδομένα από το κατά τα άλλα καλά προστατευμένο δίκτυο υπολογιστών ενός καζίνο, αφού εισέβαλαν μέσω ενός συνδεδεμένου στο διαδίκτυο αισθητήρα θερμοκρασίας σε ένα ενυδρείο ψαριών.

Σύμφωνα με το PSTI, απαγορεύονται ρητά οι αδύναμοι ή εύκολα μαντεύσιμοι προεπιλεγμένοι κωδικοί πρόσβασης, όπως "admin" ή "12345", και οι κατασκευαστές υποχρεούνται επίσης να δημοσιεύουν στοιχεία επικοινωνίας ώστε οι χρήστες να μπορούν να αναφέρουν σφάλματα.

Τα προϊόντα που δεν συμμορφώνονται με τους κανόνες ενδέχεται να ανακληθούν και οι υπεύθυνες εταιρείες θα μπορούσαν να αντιμετωπίσουν πρόστιμο ύψους 10 εκατομμυρίων λιρών (12,53 εκατομμυρίων δολαρίων) ή 4% των παγκόσμιων εσόδων τους, ανάλογα με το ποιο είναι υψηλότερο.

Ο νόμος θα ρυθμίζεται από το Γραφείο για την Ασφάλεια και τα Πρότυπα Προϊόντων (OPSS), το οποίο αποτελεί μέρος του Υπουργείου Επιχειρήσεων και Εμπορίου και όχι ανεξάρτητο φορέα.

Η Rocio Concha, διευθύντρια πολιτικής και υπεράσπισης της οργάνωσης για τα δικαιώματα των καταναλωτών Which? δήλωσε: "Το OPSS πρέπει να παρέχει στον κλάδο σαφείς οδηγίες και να είναι έτοιμο να λάβει αυστηρά μέτρα επιβολής κατά των κατασκευαστών, εάν παραβιάζουν το νόμο, αλλά περιμένουμε επίσης από τις μάρκες έξυπνων συσκευών να κάνουν το σωστό για τους πελάτες τους από την πρώτη μέρα και να διασφαλίσουν ότι οι αγοραστές μπορούν εύκολα να βρουν πληροφορίες σχετικά με το πόσο καιρό θα υποστηρίζονται οι συσκευές τους και να κάνουν ενημερωμένες αγορές".

Ο υποκόμης Camrose, ένας από τους κληρονομικούς ευγενείς του βρετανικού νομοθετικού σώματος, ο οποίος διορίστηκε υπουργός για τον κυβερνοχώρο από την κυβέρνηση, δήλωσε: "Καθώς η καθημερινή ζωή εξαρτάται όλο και περισσότερο από συνδεδεμένες συσκευές, οι απειλές που δημιουργούνται από το διαδίκτυο πολλαπλασιάζονται και γίνονται ακόμη μεγαλύτερες.

"Από σήμερα, οι καταναλωτές θα έχουν μεγαλύτερη σιγουριά ότι οι έξυπνες συσκευές τους προστατεύονται από τους εγκληματίες του κυβερνοχώρου, καθώς εισάγουμε νόμους για πρώτη φορά στον κόσμο που θα διασφαλίζουν ότι η ιδιωτική ζωή, τα δεδομένα και τα οικονομικά τους είναι ασφαλή", είπε.

Παρόμοιοι νόμοι προωθούνται και αλλού, αν και κανένας δεν έχει τεθεί σε ισχύ. Ο νόμος της Ευρωπαϊκής Ένωσης για την ανθεκτικότητα στον κυβερνοχώρο δεν έχει ακόμη συμφωνηθεί οριστικά, αλλά οι παρόμοιες διατάξεις του δεν αναμένεται να εφαρμοστούν εντός του μπλοκ μέχρι το 2027.

Δεν υπάρχει ομοσπονδιακός νόμος σχετικά με την ασφάλεια των καταναλωτικών συσκευών IoT στις Ηνωμένες Πολιτείες, αν και ο νόμος του 2020 για τη βελτίωση της κυβερνοασφάλειας του IoT απαιτεί από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας "να αναπτύξει και να δημοσιεύσει πρότυπα και κατευθυντήριες γραμμές για την ομοσπονδιακή κυβέρνηση" σχετικά με τον τρόπο χρήσης των συσκευών IoT.

πηγή via DeepL

[YannisAm]

Γι' αυτό αλλάζουμε όλους τους κωδικούς απ' ότιδήποτε χρησιμοποιείται για πρώτη φορά.

[BlueChris]

Ποιο το πρόβλημα μέσα στο σπίτι μου αν όλες οι συσκευές μου έχουν pasword 1234?????? θα με χακάρει η γυναίκα μου? λολ