Хабрахабр

Калифорния запрещает продажу IoT-устройств с простыми паролями или вовсе без них

Можно лишь вспомнить последствия слабой защиты IoT гаджетов, которые были превращены вирусом Mirai в «зомби», готовых слушаться команд удаленного оператора-взломщика. О том, почему пароли должны быть сложными, на Хабре говорить в очередной раз не стоит.

Да, дизайн и UX многих из них на высоте, функции хороши. После этого и многих других инцидентов производители устройств продолжают халатно относиться к киберзащите гаджетов. Все системы, которые продаются в штате, должны быть модифицированы соответствующим образом к 2020 году. Но использование большинства «облачных» гаджетов подобно игре «взломай меня, если сможешь», где победителем почти всегда выступает взломщик.
В штате Калифорния, США, решили игры прекратить и обязать производителей устройств озаботиться подбором сложных пар «логин пароль» для защиты гаджетов. Закон выставляет ряд требований, которые должны выполнять разработчики аппаратных сетевых решений — будь то роутер, камера наблюдения или умный холодильник.

Законопроект прошел процедуру одобрения в августе, а на прошлой неделе его подписал губернатор штата Джерри Браун.

«Документ дает уверенность в том, что технологии работают на благо жителей Калифорнии, а также в том, что безопасность не будет теперь считаться наименее важным вопросом», — продолжил он. «Слабые методы защиты устройств, подключенных к сети подвергают их пользователей, проживающих в штате Калифорния, опасности, а также позволяют взломщикам использовать электронные устройства против самих же владельцев,» — говорится в обращении одного из сенаторов штата, который поддерживает закон.

Сразу же после подключения все эти устройства становятся мишенью для взломщиков. И действительно, поскольку интернет вещей постепенно развивается, все больше и больше гаджетов подключается к сети — это уже не только камеры, датчики разного рода, но и микроволновки, видеоняни, кондиционеры и другая техника. Речь идет о ботнетах, при помощи которых взломщики могут выполнять многое — от DDoS-атак до попыток взлома сетей банковских и финансовых организаций. Чаще всего кибепреступников интересуют не одинокие гаджеты, а сети, объединяющие тысячи и тысячи таких устройств.

Таким образом, даже скрипткидди может создать небольшой ботнет из взломанных им устройств. Как уже говорилось выше, IoT-гаджеты, зачастую, лишены даже самой слабой защиты, чем и пользуются взломщики. Два года назад под управлением взломщиков находились миллионы устройств — сейчас, вероятно, таких гаджетов еще больше. Результаты всего этого видны невооруженным взглядом. И чем больше производители выпускают IoT-систем для дома и офиса, тем большей опасности подвергаются владельцы таких систем.

Дело в том, что далеко не все покупатели подключенных устройств имеют необходимый уровень технических знаний для того, чтобы защитить купленное устройство от взлома самостоятельно. Почему закон направлен именно на производителей оборудования? Но то, как изменить пароль, знает относительно небольшой процент пользователей, а те, кто реально его меняет, и того меньше. Да, стоит только поменять банальную связку «admin/admin» на сложный цифро-буквенный-символьный пароль, и ботнеты в большинстве случаев не смогут подчинить себе такое устройство.

Как оказалось, около 82% даже не задумывались над этим. Недавно был проведен опрос, цель которого — выяснить, сколько же пользователей IoT гаджетов пытались себя защитить от взлома, заменив дефолтные данные админки. Что касается данных по умолчанию, пароли далеко не всегда простые, но поскольку сам производитель публикует их в технической документации, поставляемой вместе с устройствами, для взломщиков не представляет никакого труда узнать данные доступа.

Конечно, это не панацея, но все же определенный сдвиг в вопросе усиления политики кибербезопасности производителями IoT-гаджетов. Новый калифорнийский закон теперь обязывает производителей оборудования создавать уникальную и надежную связку «логин/пароль» для каждого устройства. Возможно, смотря на изменения в законодательстве штата, производители не станут ждать, когда их заставят сделать тоже самое и другие штаты и страны, а изменят свою политику кибербезопасности в сторону усиления заранее.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть