О том, почему пароли должны быть сложными, на Хабре говорить в очередной раз не стоит. Можно лишь вспомнить последствия слабой защиты IoT гаджетов, которые были превращены вирусом Mirai в «зомби», готовых слушаться команд удаленного оператора-взломщика.
После этого и многих других инцидентов производители устройств продолжают халатно относиться к киберзащите гаджетов. Да, дизайн и UX многих из них на высоте, функции хороши. Но использование большинства «облачных» гаджетов подобно игре «взломай меня, если сможешь», где победителем почти всегда выступает взломщик.
В штате Калифорния, США, решили игры прекратить и обязать производителей устройств озаботиться подбором сложных пар «логин пароль» для защиты гаджетов. Все системы, которые продаются в штате, должны быть модифицированы соответствующим образом к 2020 году. Закон выставляет ряд требований, которые должны выполнять разработчики аппаратных сетевых решений — будь то роутер, камера наблюдения или умный холодильник.
Законопроект прошел процедуру одобрения в августе, а на прошлой неделе его подписал губернатор штата Джерри Браун.
«Слабые методы защиты устройств, подключенных к сети подвергают их пользователей, проживающих в штате Калифорния, опасности, а также позволяют взломщикам использовать электронные устройства против самих же владельцев,» — говорится в обращении одного из сенаторов штата, который поддерживает закон. «Документ дает уверенность в том, что технологии работают на благо жителей Калифорнии, а также в том, что безопасность не будет теперь считаться наименее важным вопросом», — продолжил он.
И действительно, поскольку интернет вещей постепенно развивается, все больше и больше гаджетов подключается к сети — это уже не только камеры, датчики разного рода, но и микроволновки, видеоняни, кондиционеры и другая техника. Сразу же после подключения все эти устройства становятся мишенью для взломщиков. Чаще всего кибепреступников интересуют не одинокие гаджеты, а сети, объединяющие тысячи и тысячи таких устройств. Речь идет о ботнетах, при помощи которых взломщики могут выполнять многое — от DDoS-атак до попыток взлома сетей банковских и финансовых организаций.
Как уже говорилось выше, IoT-гаджеты, зачастую, лишены даже самой слабой защиты, чем и пользуются взломщики. Таким образом, даже скрипткидди может создать небольшой ботнет из взломанных им устройств. Результаты всего этого видны невооруженным взглядом. Два года назад под управлением взломщиков находились миллионы устройств — сейчас, вероятно, таких гаджетов еще больше. И чем больше производители выпускают IoT-систем для дома и офиса, тем большей опасности подвергаются владельцы таких систем.
Почему закон направлен именно на производителей оборудования? Дело в том, что далеко не все покупатели подключенных устройств имеют необходимый уровень технических знаний для того, чтобы защитить купленное устройство от взлома самостоятельно. Да, стоит только поменять банальную связку «admin/admin» на сложный цифро-буквенный-символьный пароль, и ботнеты в большинстве случаев не смогут подчинить себе такое устройство. Но то, как изменить пароль, знает относительно небольшой процент пользователей, а те, кто реально его меняет, и того меньше.
Недавно был проведен опрос, цель которого — выяснить, сколько же пользователей IoT гаджетов пытались себя защитить от взлома, заменив дефолтные данные админки. Как оказалось, около 82% даже не задумывались над этим. Что касается данных по умолчанию, пароли далеко не всегда простые, но поскольку сам производитель публикует их в технической документации, поставляемой вместе с устройствами, для взломщиков не представляет никакого труда узнать данные доступа.
Новый калифорнийский закон теперь обязывает производителей оборудования создавать уникальную и надежную связку «логин/пароль» для каждого устройства. Конечно, это не панацея, но все же определенный сдвиг в вопросе усиления политики кибербезопасности производителями IoT-гаджетов. Возможно, смотря на изменения в законодательстве штата, производители не станут ждать, когда их заставят сделать тоже самое и другие штаты и страны, а изменят свою политику кибербезопасности в сторону усиления заранее.
Комментарии (13)
achekalin
06.10.2018 23:45+1Замахнулись неплохо, но реализация сложно представить. Как они сложность паролей проверять будут, как винда, по тупым правилам? Юзеры вынуждены будут выкручиваться, а это не радость.
aamonster
07.10.2018 00:08+3В смысле — юзеры? Речь о предустановленных паролях, их производитель будет генерить и печатать на бумажке (как PIN к сим-карте)
Atterratio
07.10.2018 00:56Мне кажется хоть какой логин пароль ставь, если голой жопой в интернет сидеть это не поможет. Надо либо логин по ключу, либо за VPN опять же по ключу.
Zmiy666
07.10.2018 05:04+2а смысл в сложных поролях если после покупки и установки местыне «специально обученные» люди быстро поставят простые пароли, банально по тому что им лень запоминать.
Недавно в соседнем дачном кооперавтие был скандал — воры обнесли около десятка домов за одну ночь. Как? да очень просто — оказалось, что у всех сигналок один мастерключ — настройщик в охранке его выставил и за 4 года никто его так и не сменил, сам настройщик давно уже канул, контора охранная об этом знала, новые мастера-ремонтники продолжали пользовать старые настройки и старательно их сохраняли, чтоб не делать лишней работы… в итоге воры просто подобрали ключ к одному дому и походу проверили остальные чисто на удачу… ну… им повезло да.
Как бы ни была хороша система защиты, но против дурака и лентяя она бессильна.Goodkat
07.10.2018 10:21+1Если провести аналогию с дачными кооперативами, то сейчас у всех дачных кооперативов страны один мастер-ключ.
GrigoryPerepechko
07.10.2018 11:38В статье написано что ПОДАВЛЯЮЩЕЕ БОЛЬШИНСТВО людей НЕ МЕНЯЮТ пароль, и поэтому дефолтный уникальный решит проблему взлома. А вы парируете тем что все ПОМЕНЯЮТ пароль.
Во-первых не поменяют, потому что лень.
Во-вторых если и поменяют то точно не на admin/admin, а на что нибудь личное.
artskep
07.10.2018 12:16Если производитель создаст безопасный пароль, сомнительно, что наладчик/интегратор будет менять его (ему ведь только один раз зайти надо). А если он еще будет менять его на одинаковый для всех, то в суде будет непросто объяснить, что это случайность. Одно дело, когда устройство "из коробки" обладает нулевой безопасностью, а наладчик сделал минимальную безопасность (простой пароль), а совсем другое когда наладчик понизил уровень безопасности.
Mylistryx
Немного под другой тематике, но все же…
Только сегодня утром с товарищем в дороге обсуждал интересную тему.
IoT — зло вселенского масштаба и полное раздолье для мошенников. Вот простой пример:
Все знают, что сейчас мошенники «втюхивают» доверчивым гражданам приборы, якобы «помогающие от всех болезней», или «диагностирующие» на дому всё, от простуды, до последней стадии рака. Так вот, распространив IoT нам будут продавать прибор для «диагностики», который отслеживая интернет-активность, либо анализируя какие либо данные, к примеру доступные WiFi сети или геолокацию сможет определять, что купивший эту очень полезную хреновину прикупил еще и типа лечебную хреновину от этой же компании и вот на основе этих данных, анализируя к примеру активности «лечебной хреновины» показывать положительную динамику в результатах своих «обследований». Это же как народ ринется скупать этот фуфломицин то…
P.S. Не является руководством к действию! Я бы за такое расстреливал на месте без суда и следствия!
CKOPOCTb
Тогда, не за горами «Комитет по контролю IoT устройств».
tormozedison
Для мошенничества такого рода не нужен IoT, «диагностическая» хрень может определять активность расположенной рядом «лечебной» и локальными способами. Зато пользователь раскроет обман в два счёта: если «лечебную» хрень применяют на одном человеке, а «диагностическая» показывает «положительную динамику» у другого, живущего рядом — всё понятно…
legolegs
Нам уже много лет продают антивирусы и чистилки реестра. И браузеры.
DocJester
Какой браузер сейчас является платным?