image

Californië verbiedt standaardwachtwoorden voor IoT-apparaten

zondag 7 oktober 2018, 08:38 door Redactie, 18 reacties

De Amerikaanse staat Californië heeft een wet aangenomen waardoor Internet of Things-apparaten vanaf 2020 geen standaardwachtwoorden meer mogen hebben als het product in Californië is geproduceerd of verkocht. Elk apparaat dat met internet verbinding kan maken moet op het moment van de productie van een uniek wachtwoord worden voorzien of gebruikers bij het eerste gebruik verplichten een nieuw wachtwoord in te stellen.

De "connected devices" wetgeving moet de veiligheid van IoT-apparaten vergroten. Veel fabrikanten leveren apparaten met standaardwachtwoorden die niet door gebruikers worden gewijzigd. Hierdoor zijn deze apparaten een eenvoudig doelwit voor malware, zoals bijvoorbeeld de Mirai-malware heeft laten zien die honderdduizenden apparaten via een standaardwachtwoord wist te infecteren.

"Het gebrek aan basale beveiligingsmaatregelen bij met internet verbonden apparaten ondermijnt de privacy en veiligheid van Californische consumenten, en laat hackers alledaagse elektronica tegen ons inzetten", zegt senator Hannah-Beth Jackson. "Deze wet zorgt ervoor dat technologie de mensen in Californië dient en dat security geen bijkomstigheid is, maar een belangrijk onderdeel van het ontwerpproces." De wet gaat op 1 januari 2020 in.

Reacties (18)
07-10-2018, 08:40 door Anoniem
Dit is een hele goede initiatief dit zou gelijk ook in Nederland op alle apparaten geïmplementeerd moeten worden worden dingen stukken veiliger
07-10-2018, 08:53 door Anoniem
Goed zo. Het aardige van dit soort wetgeving is dat het eenvoudiger voor een fabrikant is om het meteen voor de hele wereld goed te doen dan om voor alleen Californië iets afwijkends in de markt te zetten.
07-10-2018, 09:02 door Anoniem
Vervolgens gaan we een password baseren op het serienummer wat uiteraard zo opvraagbaar is. Immers, hoe moet je anders het juiste password bij een device krijgen als fabrikant.

Leuk verzonnen, bijna goed!
07-10-2018, 09:30 door karma4 - Bijgewerkt: 07-10-2018, 09:31
Door Anoniem: Dit is een hele goede initiatief dit zou gelijk ook in Nederland op alle apparaten geïmplementeerd moeten worden worden dingen stukken veiliger
Eens. Wel jammer dat er een wet nodig is voor zoiets basaals.
07-10-2018, 10:12 door Anoniem
Door karma4:
Door Anoniem: Dit is een hele goede initiatief dit zou gelijk ook in Nederland op alle apparaten geïmplementeerd moeten worden worden dingen stukken veiliger
Eens. Wel jammer dat er een wet nodig is voor zoiets basaals.

Het is juist goed dat er zulke wetten zijn, dat maakt het noodzakelijker voor leveranciers van deze goederen dit te implementeren
07-10-2018, 11:13 door Briolet
Door Anoniem: Vervolgens gaan we een password baseren op het serienummer wat uiteraard zo opvraagbaar is. Immers, hoe moet je anders het juiste password bij een device krijgen als fabrikant.

Leuk verzonnen, bijna goed!

Een serienummer is doorgaans pas te zien als je ingelogd bent, of als je het device fysiek in handen hebt. Als bescherming tegen een digitale aanval is dat genoeg. Zolang er ook een degelijke bescherming is tegen een bruteforce aanval. Want anders kun je lukraak proberen met bekende reeksen van serienummers.

Maar het verplicht kiezen van een uniek wachtwoord bij eerste gebruik is nog beter. b.v.: Bij de HikVision camera's moet je een speciaal installer programma gebruiken voor het activeren van de camera en je kiest zelf een sterk een wachtwoord. (Zwakke worden wachtwoorden worden verworpen). Zonder activatie kun je de camera niet gebruiken.
07-10-2018, 11:19 door Briolet
Door karma4: Wel jammer dat er een wet nodig is voor zoiets basaals.

Zonder wet gaat het niet werken. De massa van het volk wil plug&play.

Als je dit vrijwillig doet blijft je marktaandeel klein. De concurrentie gaat dan nml. reclame maken dat hun product wel plug&play is en deze massa blijft weg bij jou goede product. Men beweerd wel dat veiligheid belangrijk is, maar als het erop aankomt, kiest de massa toch de doos waar "plug&play" op staat.
07-10-2018, 11:50 door Anoniem
@Briolet,

Je zegt dat de grote massa "plug&play"en "oneclick" oplossingen wil. Misschien moeten ze dan de komende chaos als het helemaal misgaat zelfs eens aan den lijve beleven om er enigszins anders over te gaan denken. Maar ja het volk leert zeer langzaam of helemaal niets. Ja, alleen en zeer snel als er ineens geen enkele ATM meer zou werken, dan is het opeens geween en knersing der tanden, anders blijft het business as usual.

Met gemiddeld 18 te onthouden IoT wachtwoorden valt het ook niet mee. Beter alles achter 1 oplossing beveiligen. Dus je slimme meter, je slimme telefoon, je slimme ijskast, je slimme TV, je slimme stofzuiger centraal afregelen en afdoende beveiligen. Maar ja te moeilijk voor Muts en Pruts.

Het zou wel sneller veranderen als Big Tech en de producenten er direct schade van zouden ondervinden of het hen flink zou gaan kosten. Nu gaan we gerust nog even zo door. Shodannetje erbij, dorkje, oh een botinfectie via mijn smart led lampjes, die ik in een vlaag van verstandsverbijstering aan het Internet heb gehangen, want een goedkoop mannetje regelt het via externe toegang, toch? Kosten gingen voor de baat uit?. Gehacked? Wat jammer nou.

Trouwens komt er ook een wet op wat en wanneer er uitgelezen mag worden van mijn slimme meters en wat de wetgever hiermee kan en mag? Nog niet veel over gehoord. Dus ook maar achter die persoonlijke beveiliging. Oh, Nielsen New York zit op al mijn smart TV kijk-data en bevoor(oor)deelt ook nog commercieel boven NOP. Kijkcijfers ook vaak doorgestoken kaart, maar ja "one click" en "plug and play" niet uitgezet, dus men kan manipuleren wat men wil.

luntrus
07-10-2018, 12:56 door Anoniem
Door Briolet:
Door karma4: Wel jammer dat er een wet nodig is voor zoiets basaals.

Zonder wet gaat het niet werken. De massa van het volk wil plug&play.

Als je dit vrijwillig doet blijft je marktaandeel klein. De concurrentie gaat dan nml. reclame maken dat hun product wel plug&play is en deze massa blijft weg bij jou goede product. Men beweerd wel dat veiligheid belangrijk is, maar als het erop aankomt, kiest de massa toch de doos waar "plug&play" op staat.

Ik ben het helemaal met jou eens. Te weinig mensen willen tegenwoordig begrijpen wat er onder de motorkap gebeurd en willen veiligheid. Dit is naïef.
07-10-2018, 15:01 door karma4
Door Briolet:
Door karma4: Wel jammer dat er een wet nodig is voor zoiets basaals.

Zonder wet gaat het niet werken. De massa van het volk wil plug&play.

Als je dit vrijwillig doet blijft je marktaandeel klein. De concurrentie gaat dan nml. reclame maken dat hun product wel plug&play is en deze massa blijft weg bij jou goede product. Men beweerd wel dat veiligheid belangrijk is, maar als het erop aankomt, kiest de massa toch de doos waar "plug&play" op staat.
Dat klopt dat is de essentie van mijn opmerking.
Nog steeds jammer dat ICT nerds kennelijk gefaald hebben om dat vanuit het ontwerp als security by design te doen.
Er zullen best nog een lang lijst andere maatregelen en eisen te verzinnen zijn.
07-10-2018, 18:00 door Bartbartbart
Leuk begin, maar het werkelijke probleem is toch echt ondersteuning.

eeeeeigenlijk zouden dit soort apparaten slechts als service moeten mogen worden afgenomen want alleen op die manier voorkom je dat de gemiddelde digibeet na enkele jaren alsnog zwaar de klos is.
07-10-2018, 18:03 door Anoniem
Door karma4:
[...] Nog steeds jammer dat ICT nerds kennelijk gefaald hebben om dat vanuit het ontwerp als security by design te doen.
Er zullen best nog een lang lijst andere maatregelen en eisen te verzinnen zijn.

Nee, de ICT nerds hebben gefaald hun management te overtuigen van de noodzaak; die zien een business-case en wegen de belangen. Garbage-in, garbage-out (ook wel sales-traject genoemd) ...
07-10-2018, 18:31 door karma4
Door Anoniem:
Nee, de ICT nerds hebben gefaald hun management te overtuigen van de noodzaak; die zien een business-case en wegen de belangen. Garbage-in, garbage-out (ook wel sales-traject genoemd) ...
Ook eens je kent vast de kies twee uit: a/ time to market (snel) b/ get it as cheap as possible (kosten laag) 3/ kwaliteit
Met een werkende poc zonder security zo snel mogelijk de markt op.
08-10-2018, 08:41 door Anoniem
Door Anoniem: Vervolgens gaan we een password baseren op het serienummer wat uiteraard zo opvraagbaar is. Immers, hoe moet je anders het juiste password bij een device krijgen als fabrikant.
Hoe kan dat serienummer "uiteraard zo opvraagbaar" zijn? Dat kan omdat het een serie bits is die ergens in het apparaat is opgeslagen en waar de firmware bij kan. Zo'n apparaat is namelijk niet helderziend, dat serienummer is uit te lezen omdat het ergens opgeslagen is en die opslag moet dus voor elk apparaat een andere waarde bevatten. Dat betekent dat de fabrikant in elk apparaat data plaatst die uniek is voor dat apparaat. Het eenmalig schrijfbare geheugen dat hiervoor nodig is is in 1956 al uitgevonden (dat heet PROM - Programmable Read-Only Memory). Modernere varianten daarvan zijn beschikbaar.

Maar als de fabrikant toch in staat is om elk apparaat van andere data te voorzien dan is er geen enkele technische belemmering om behalve het serienummer ook een wachtwoordhash op te slaan die uniek is voor het apparaat. Dat wachtwoord kan dus volledig onafhankelijk van het serienummer zijn en net als het serienummer op een sticker op het apparaat geplakt worden. Dat wachtwoord dient als default-wachtwoord, de gebruiker kan het vervangen, maar bij een reset naar de fabrieksinstellingen wordt de default-hash weer overgenomen en geldt het wachtwoord op de sticker weer.

Zo kan een fabrikant dat anders doen dan je suggereert.
08-10-2018, 10:36 door Anoniem
Door Briolet: Een serienummer is doorgaans pas te zien als je ingelogd bent, of als je het device fysiek in handen hebt. Als bescherming tegen een digitale aanval is dat genoeg. Zolang er ook een degelijke bescherming is tegen een bruteforce aanval. Want anders kun je lukraak proberen met bekende reeksen van serienummers.

Dat gaat niet op als de fabrikant het MAC-adres baseert op het serienummer (of andersom). Het MAC-adres is relatief makkelijk op afstand uitleesbaar.
08-10-2018, 16:14 door Anoniem
Overal waar ik kijk lees ik : made in china.
09-10-2018, 06:52 door pe0mot - Bijgewerkt: 09-10-2018, 06:52
Door Anoniem: Dit is een hele goede initiatief dit zou gelijk ook in Nederland op alle apparaten geïmplementeerd moeten worden worden dingen stukken veiliger
Inderdaad!
Alhoewel er veel subjectieve (niet meetbare, dus niet te handhaven) termen staan in deze wet, is het beter dan wat er nu in NL verkocht wordt.
14-10-2018, 13:15 door Anoniem
voor de mensen die commentaar hebben, wat is het alternatief? niks doen? heb jij de oplossing?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.