Szerző: Hlács Ferenc

2018. október 8. 15:53

Törvényben tiltja az alapértelmezett router-jelszavakat Kalifornia

A gyártóknak minden "connected" eszközhöz egyedi jelszót kell adniuk Kalifornia államban.

Példaértékű lépést tesz Kalifornia állam az online biztonság megerősítése felé: az állam törvényben tiltja a készülékgyártók számára az elterjedt alapértelmezett jelszavak használatát, mint a "default" vagy az "admin". A szabályozás 2020-ban lép érvénybe és minden az államban újonnan gyártott vagy értékesített konzumerelektronikai eszközre érvényes lesz. A vonatkozó törvényjavaslatra az illetékesek gyorsan rábólintottak, annak elfogadásához alig két hétre volt szükség.

Ahogy az "Information privacy: connected devices" néven elfogadott törvényben áll, a gyártók minden egyes online kapcsolatra képes eszköznél egyedi, előre megadott jelszavakat kell hogy biztosítsanak, továbbá a készüléknek olyan biztonsági funkcióval is rendelkeznie kell, amely lehetővé teszi új bejelentkezési azonosítók beállítását az adott eszköz első használatbavételét megelőzően. Online kapcsolatra képes, vagy "connected" eszköznek számít a törvény szerint minden olyan fizikai tárgy, amely képes az internetre csatlakozni, közvetve vagy közvetlenül, és amelyhez saját IP cím vagy Bluetooth cím tartozik.

botnetill

A frissen bejelentett szabályozás egy sor egyéb, kevésbé specifikus megkötést is tartalmaz, ezek alapján többek között a gyártók által implementált biztonsági funkcióknak arányosnak kell lenniük az adott készülék funkcióival, továbbá a készülék által gyűjtött, tárolt és továbbított információknak megfelelően erős védelmet kell biztosítaniuk. A törvény arra is kitér, hogy a gyártóknak a készülékeket az illetéktelen hozzáférés, használat, módosítás vagy megsemmisítés elleni hatékony védelemmel is el kell látniuk.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x)

Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x) Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az új szabályozás persze nem elsősorban az egyéni felhasználók védelmét célozza, noha arra is pozitív hatással lesz, sokkal inkább a jellemzően gyatra védelemmel szerelt online kapcsolattal rendelkező eszközöket, mint a routereket vagy okosotthon-kiegészítőket magukba olvasztó botnetek megfékezése a célja. Sajnos a fertőzött IoT-eszközökből verbuvált zombiseregekért nem kell a szomszédba menni, a legtöbbek számára már ismertek az olyan hírhedt kártevők, mint a Mirai vagy épp annak utódja a Satorit botnet. Ez utóbbi kapcsán épp nyáron füleltek le biztonsági szakértők egy masszív botnetet, amely kifejezetten D-Link routerek sebezhetőségeit használta ki - de ugyanez a kártevő 2017-ben is megfertőzött több mint 260 ezer routert. Az így kiépített hálózatokat a támadók egy sor célra felhasználhatják, a kriptopénz-bányászattól a DDoS támadásokig.

Hogy ilyen kiterjedt zombihálózatok épülhetnek ki, a routerek és egyéb IoT-készülékek gyenge biztonságának köszönhető, amelyek jelentős része ráadásul az ismert alapértelmezett jelszavak valamelyikét használja, ezzel lényegében kitárva kapuit a potenciális támadók előtt. De a jelszavak megváltoztatása sem garantálja a biztonságot, hiszen a népszerű modelleken sem ritkák a sebezhetőségek, amelyeket a támadók ugyanígy kihasználhatnak - nagyobb baj pedig hogy ezeket a gyártók csak ritkán foltozzák be.

Ezen a területen a kaliforniai törvény is lehetne specifikusabb, mert bár a kezelt információknak megfelelő védelmet követel meg, konkrétan nem tér ki a rendszeres biztonsági frissítésekre - persze az elvárt "megfelelő" védelembe ezt remélhetőleg beleérthetjük. Az állam határozata mindenesetre így is példamutató, még ha önmagában kevés is a fenti botnetek és társaik megfékezésére - ugyanakkor ha más régiók is követik a kaliforniai példát, az rengeteget javíthat az egyelőre erősen foghíjas IoT-biztonságon.

2021. október 25-én 8 alkalmas, 24 órás online képzést indít a HWSW, mely a világ legnagyobb felhős platformjába nyújt alapos bevezetést, gyakorlatorientált keretek kötött.

a címlapról

feketelista

5

Tovább bombázzák a Honort

2021. október 15. 13:33

Republikánus képviselők szerint a gyártót egyértelműen feketelistára kell tenni.

Hirdetés

Ráléptünk a gázra!

2021. október 16. 16:52

Dübörög a HWSW free! meetupsorozat, októberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.