Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
W Kalifornii zatwierdzono prawo regulujące bezpieczeństwo IoT
Jak wiemy IoT to jeden wielki backdoor ;) Władze Kalifornii postanowiły to nieco zmienić, a nowe prawo ma obowiązywać od stycznia 2020 roku. Czytamy tutaj:
A manufacturer of a connected device shall equip the device with a reasonable security feature or features that are all of the following:
(1) Appropriate to the nature and function of the device.
(2) Appropriate to the information it may collect, contain, or transmit.
(3) Designed to protect the device and any information contained therein from unauthorized access, destruction, use, modification, or disclosure.
Mamy też dodatek, który wymusi brak domyślnych haseł na urządzeniach:
(b) Subject to all of the requirements of subdivision (a), if a connected device is equipped with a means for authentication outside a local area network, it shall be deemed a reasonable security feature under subdivision (a) if either of the following requirements are met:(1) The preprogrammed password is unique to each device manufactured.(2) The device contains a security feature that requires a user to generate a new means of authentication before access is granted to the device for the first time.
–ms
„The preprogrammed password is unique to each device manufactured.”
Prosta sprawa. Hasło to numer seryjny. Unikatowe? Unikatowe.
Producenci przecież nie będą wydawać kasy na dodatkowe zabezpieczenia ;)
Prawo wygląda na krok w dobrą stronę, ale dopiero czas pokaże jak zostanie zastosowane. Numer seryjny, jako domyślne hasło mógłby nie być zły, gdyby przy pierwszym uruchomieniu wymuszano jego zmianę.
Jeśli przy pierwszym uruchomieniu wymuszana by była zmiana hasła to nie trzeba by było kombinować.
PS: Mateusz weź się do roboty a nie cały dzień po forach latasz :)
Wygląda to całkiem sensownie, i udało się zawrzeć w kilku punktach.