Szerző: Hlács Ferenc

2018. november 26. 13:49

Törvényben szabályozza a routerek biztonságát Németország

A BSI által közzétett dokumentum többek között az elvárt jelszavakra és a frissítésekre is kitér.

Saját kézbe veszi Németország a routerek biztonságát, a német Szövetségi Információbiztonsági Hivatal, a BSI hamarosan törvényben kötelezi majd a gyártókat bizonyos biztonsági követelmények betartására a kisvállalati routereknél, ha azokat Németországban is értékesíteni akarják. A BSI már közzétette a tervezett szabályozások vázlatát, egy huszonkét oldalas dokumentumot, amelynek összeállításakor a német telekommunikációs szolgáltatók és a routergyártók mellett a német hardveres közösség visszajelzéseit is figyelembe vette.

A hatóság kiemelt hangsúlyt fordított az eszközökön használt jelszavakra, illetve a szegmenst sújtó legkomolyabb problémára, az elhanyagolt biztonsági frissítésekre is. A BSI azonban szemben például az Androidnál bevett gyakorlattal, nem megadott időközönként követeli meg a frissítések kiadását, hanem a "gyakori" sebezhetőségek felfedezését követően, "indokolatlan késedelem nélkül" - magyarán a cégnek el kell kezdenie a hiba foltozását és a frissítés kiadását rögtön, amint tudomást szerez a biztonsági résről.

A gyártókat emellett a hatóság arra is kötelezi, hogy a firmware-frissítések kapcsán teljes kontrollt adjanak a felhasználóknak, akik számára manuálisan, illetve online frissítéssel is lehetővé kell tenni az új firmware telepítését. A gyártóknak emellett ajánlott az automatikus frissítés opcióját is elérhetővé tenni - alapértelmezetten bekapcsolt állapotban. Természetesen az új firmware eredetiségét minden esetben ellenőrizni kell, a megfelelő digitális aláírásokkal.  Ez persze nem jelenti, hogy Németország hamarosan tiltólistára teszi az egyedi router firmware-eket, mint a népszerű OpenWrt, DD-WRT vagy a Tomato, azok telepítését továbbra is engedhetik a gyártók, ugyanakkor az eszköz kezelőfelületén egyértelműen tájékoztatniuk kell a felhasználót az aláírás nélküli firmware-ek jelentette veszélyekről. Fontos továbbá, hogy az aktuális firmware verziót jól látható helyen, az admin panelen is fel kell tüntetni, illetve az eszköz támogatásának várható lejártáról is egyértelműen értesíteni kell a felhasználót.

routerill

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x)

Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x) Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Ami a jelszavakat illeti, a BSI a Wi-Fi esetében legalább 20 karakteres jelszóhosszúságot ajánl, amelyekben nem lehet magához a routerhez kapcsolódó információ, mint a gyártó vagy az adott modell neve - ez utóbbi vonatkozik az adminfelülethez tartozó jelszavakra, és az ESSID-re (Extended Service Set Identifier) is. Jelszóváltoztatáskor a rendszer köteles figyelmeztetni a felhasználót, ha az túl gyenge jelszót próbálna megadni. Mindezek mellett a jelszavas beléptetést el kell látni megfelelő brute-force támadások elleni védelemmel is.

Fontos megkötés továbbá, hogy minden routernek támogatnia kell a WPA2 biztonsági protokollt - amelyet alapértelmezetten be is kell kapcsolnia. Emellett amennyiben a router tartalmaz vendég Wi-Fi üzemmódot, abból nem szabad hogy elérhető legyen a készülék konfigurációs interfésze. Ha a gyártó ez utóbbi felületet WAN-on keresztül elérhetővé teszi, azt csak TLS titkosítással teheti meg. A BSI ezen felül még számos ajánlást és megkötést is összegyűjtött a BSI TR-03148 névre hallgató dokumentumban - bár a  kezdeményezés kifejezetten előremutató, főleg a routerek hagyományosan botrányos biztonságát és alig létező frissítéseit tekintve, a ZDNet szerint Németországban az ismert CCC (Chaos Computer Club) hackerközösség, illetve a fentebb is említett, nyílt forrású OpenWrt projekt képviselői is találtak benne kifogásolnivalót - a CCC egyenesen "komolytalannak" nevezte a készülő szabályozást.

A csoportok két fő kritikát fogalmaztak meg, elsőként hogy a hatóság továbbra sem kötelezi a gyártókat, hogy már a vásárlás előtt egyértelműen tájékoztassák az ügyfeleket az egyes routerek támogatásának várható lejártáról, a második bírálat pedig azért érte a szabályozót, mert nem gyakorol nagyobb nyomást a vállalatokra, hogy az egyes készülékek támogatásának lejártával tegyék lehetővé az egyedi firmware-ek telepítését a készülékekre.

Noha a kritika jogos, a fenti tervezetet a hatóság még nem véglegesítette, így nem kizárt, hogy a közeljövőben a két kifogásolt pont is bekerül a szabályozásba. Mindenesetre határozottan pozitív lépésről van szó, amelyet globálisan egyre több helyen láthatunk, nemrég például Kalifornia tett fontos lépést a nagyobb router- és általános IoT-biztonság felé, mikor az állam októberben bejelentette, törvényben tiltja az alapértelmezett jelszavak használatát a "connected" eszközökön.

2021. október 25-én 8 alkalmas, 24 órás online képzést indít a HWSW, mely a világ legnagyobb felhős platformjába nyújt alapos bevezetést, gyakorlatorientált keretek kötött.

a címlapról

feketelista

2

Tovább bombázzák a Honort

2021. október 15. 13:33

Republikánus képviselők szerint a gyártót egyértelműen feketelistára kell tenni.

Hirdetés

Ráléptünk a gázra!

2021. október 16. 00:33

Dübörög a HWSW free! meetupsorozat, októberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.