Zero
Il primo Internet delle Cose (IoT) disegno di legge sicurezza negli stati UNITI è stato approvato in California alla fine di agosto, e che ha ormai raggiunto la scrivania del Governatore per essere firmato in legge.
Il disegno di legge, SB-327, è stato introdotto nel febbraio 2017 ed è stata la prima proposta di legge del suo genere negli stati UNITI.
Anche predati da quasi sei mesi, l’Internet delle Cose Cybersecurity Improvement Act del 2017, un disegno di legge presentato in Senato dal Sen. Mark Warner [D-VA].
Ma mentre la polvere raccolti su Sen. Warner proposta di sicuro IoT dispositivi attraverso gli stati UNITI, la California bill vide attivo discussioni ed è stato approvato in Assemblea della California e del Senato pavimenti su agosto 28, 29, rispettivamente.
Salvo eventuali forte opposizione al disegno di legge da parte del pubblico o del settore privato, se firmato dal Gov. Jerry Brown, il nuovo disegno di legge dovrebbe entrare in vigore a partire dal 1 gennaio 2020.
Anche: Nuovo Hakai IoT botnet che prende di mira D-Link, Huawei, e Realtek router
Il disegno di legge principale del provvedimento è quello “di un produttore di un dispositivo collegato deve dotare il dispositivo con una ragionevole sicurezza e funzionalità.”
Proprio come la maggior parte gli sforzi legislativi, il disegno di legge è piuttosto vago in che cosa “ragionevole sicurezza” dovrebbe essere, ma non entrare nei dettagli quando si tratta di dispositivo di procedure di autenticazione.
Secondo il disegno di legge testo approvato, “se un dispositivo collegato è dotato di un sistema per l’autenticazione al di fuori di una rete locale,” il sistema di autenticazione deve soddisfare due criteri.
- Se il dispositivo utilizza una password predefinita, la password deve essere univoco per ogni dispositivo; o,Il dispositivo deve richiedere agli utenti di impostare la propria password ogni volta che l’utente imposta il dispositivo per la prima volta, criteri di mettere in atto per evitare che i produttori di spedizione dispositivi con le stesse credenziali predefinite.
Anche: disegno di legge che sarebbe la Casa Bianca di creare un database di APT gruppi passa voto
E che tutti gli SB-327 disegno di legge. No altre disposizioni. Solo una indicazione precisa in merito alla gestione delle credenziali predefinite per dispositivi IoT, e l’uso di un termine generico di “ragionevole sicurezza” che ogni IoT fornitore del dispositivo potrebbe interpretare il modo in cui voglio.
Come ricercatore di sicurezza e infosec esperto Robert Graham, la nuova IoT di legge sulla sicurezza, nonostante le sue buone intenzioni, non è particolarmente utile nell’attuale stato del mercato IoT, e non risolvere nessuno dei problemi che affliggono i dispositivi IoT.
“E’ basato sull’idea sbagliata di aggiunta di funzionalità di sicurezza. E ‘ come essere a dieta, dove insistono sul fatto che si dovrebbe mangiare di più, cavolo, che fa ben poco per risolvere il problema si sono pigging verso l’esterno in patatine,” Graham ha scritto ieri nella sua analisi del disegno di legge.
“La chiave per la dieta non è mangiare di più ma mangiare di meno. Lo stesso è vero per la sicurezza informatica, dove il punto non è quello di aggiungere caratteristiche di sicurezza’, ma per rimuovere ‘insicuro’.
“Per IoT dispositivi, il che significa che la rimozione di porte di ascolto e di cross-site/iniezione problemi di gestione web,” Graham ha detto. “Non vogliamo caratteristiche arbitrarie come firewall e anti-virus aggiunto a questi prodotti. Ti basta aumentare la superficie di attacco di peggiorare le cose.”
“In sintesi, questa legge è basata su un’ovviamente comprensione superficiale del problema,” il ricercatore ha concluso. “In nessun modo per rispondere alle reali minacce, ma, allo stesso tempo, introduce il vasto costi per i consumatori e l’innovazione.”
Argomenti Correlati:
Internet delle Cose
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0