California立法可以从IoT安全风险中拯救世界吗?
我别为栏杆针对IOT设备而闻名,因为我认为他们认为是互联网的最终驱逐舰。他们不安全,大多数使用它们的人没有意识到他们不安全,大多数让他们做得很少知道他们不安全的供应商。
话虽如此,我衷心的NBC新闻和《今日秀》最近,关于(不同)设备附加到互联网的设备有潜在的安全问题。这些是我看到的几次IOT安全报告给电视上的主流。机器人先生和其他节目使用了IoT不安全作为情节点,但它们真的掩盖了原因为什么它的不安全感来得如此之快,以至于观察人士可能忽略了这一事实。
最初促使我写这是什么一个故事在水星新闻来自加利福尼亚州圣何塞的消息,一个家庭被通过谷歌Nest的安全摄像头传送的有关朝鲜即将发动核导弹袭击的新闻吓坏了。当他们的电视正在播放NFC锦标赛的时候,他们的巢穴已经发出了几分钟的警告,要求该地区的人们有三个小时的时间撤离。全家人都吓坏了。
这是一个骗局并没有令人惊讶的是,巢被黑了。
然而,谷歌不会将其视为“黑客”;它是 ”只是因为密码管理不好。“换句话说,由于家庭的密码可能在前一个不相关的数据违规中受到损害可能一直是成功的“凭证填充攻击“家庭的巢帐户,不是谷歌的错。
令人惊讶的是,谷歌知道问题的原因,但没有向客户宣传。记住我早些时候所说的话NBC新闻谈论IoT设备的故事?是的,它是关于类似事件涉及谷歌巢。
与对巢的攻击一样糟糕,与其他物联网设备的攻击相比,它们很小。mirai病毒的变异是仍然非常活跃在世界各地,不仅控制网络摄像头,而且控制着家庭路由器和媒体机顶盒。其他类型的恶意软件渗透物联网设备,包括玩具和家用电器。
为什么这些物有线恶意软件攻击如此成功?可悲的是,它只是由于密码管理差。大多数IOT设备都有默认的密码集。一些密码很难改变。有些人不能改变。Hackers多年来知道这一年,恶意软件利用了这一点。然而,大多数IOT制造商都对抗这一点。用户文档甚至不强调应更改默认密码。
加州,科技产业的诞生地,受到了严重的打击IOT攻击在我提到的事件之前很长一段时间。加利福尼亚州去年9月成为世界上第一家政府实体,以通过机构安全的立法。伴侣票据SB-327.和ab - 1906要求从2020年起,“互联设备制造商(如这些术语的定义)为设备配备合理的安全功能,或与设备的性质和功能相称的功能,与设备可能收集、包含或传输的信息相称的功能,并保护该装置及其所包含的任何信息不受指定的未经授权的访问、破坏、使用、修改或披露。”因此,在加州销售的所有物联网设备都将实现“合理的”安全功能,比如强制用户在安装期间更改默认密码,或在生产时为每个设备提供唯一的密码。
这是一个非常大胆的步骤。在世界各地的隐私问题上有很多关注,但美国境外的美国境外一直缓慢地回应那些以及物联网安全。所以,在传递的脚跟上最严格的隐私保护法在美国,加利福尼亚州尽快通过此立法,因为它是抗体的。加利福尼亚立法机构有很多技术娴熟的政治家,这项法律在七个月内通过了很少的辩论。
作为新法律的突破性,其含义就像地球一样。对连接到互联网的当前IOT设备数量的估计为20亿。Statista估计仅在2020年,北美将单独将有超过3亿个IOT联系。由于加利福尼亚州销售的所有IOT设备必须符合规范,因此制造商几乎没有选择,而是在全球范围内实施这些变化。台湾和中国的网络摄像头,路由器和玩具制造商没有针对不同国家的多条装配线;要在加利福尼亚销售,每个设备都必须符合要求,因为没有办法知道哪些将在那里销售。
与此同时,美国联邦政府仍在赶上。代表的房子通过了H.R.6032.,2018年11月底,IOT法案的现代应用,IOT法案或智慧IOT法案的状态。该法案被转发给参议院进行审查。H.R.6032实际上是什么?它“指导商务部就美国互联网连接的设备行业(俗称互联网)的国家进行了研究,并向国会报告”不迟于一年之后这项法案的制定。“
NIST正在开发一个标准,用于管理事物互联网(IOT)网络安全和隐私风险的考虑,这将有助于定义“合理”的安全功能可能包括什么。本标准是新介绍的两党Bipartisan票据参议院的基础S.734.和房子H.R 1668.,2019年的IOT网络安全改进法 - 这是一个有点的更新IOT网络安全改进法案2017年- 一个票据“[t] o利用联邦政府采购权力,以鼓励增加网络安全措施的网络安全,以及其他目的。”但此条例草案仅适用于向美国政府销售的IOT设备。现在,比较美国政府经文所使用的物联网的类型和数量。
但是加利福尼亚州的法律,其实足够了吗?更需要提高物联网安全的任何东西?CA SB-327中的语言故意模糊上述“合理”的安全性是什么。这是为了允许制造商实现适合设备 - 漏洞以及如何减轻它们的控件的能力与Google嵌套与Linksys路由器与fitbit相反不同。并且没有提及不合规的处罚。您如何强制执行对不可信任的国际制造商和供应商的要求,试图潜入加利福尼亚州的不合标签?新法律有其批评者,但它朝着正确的方向发展,比联邦政府更快而更快。
并证明了为什么如果加州在大地震后坠入海洋,我们就注定要失败……
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。