image

Britse overheid wil uniek wachtwoord voor elk IoT-apparaat

maandag 27 januari 2020, 15:09 door Redactie, 11 reacties

De Britse overheid wil dat elk IoT-apparaat dat in het Verenigd Koninkrijk wordt verkocht over een uniek wachtwoord beschikt. Daarnaast moeten Iot-fabrikanten tijdig reageren op meldingen van beveiligingslekken en moet duidelijk worden aangegeven hoelang een IoT-apparaat beveiligingsupdates ontvangt.

Een wetsvoorstel dat dit mogelijk moet maken is vandaag aangekondigd. "Hoewel de Britse overheid altijd de industrie heeft aangemoedigd om met een vrijwillige aanpak te komen, is het nu duidelijk dat daadkrachtig optreden is vereist om ervoor te zorgen dat deze producten by design over sterke cybersecurity beschikken", zegt de Britse minister van Digitale Zaken en Breedband Matt Warman.

Volgens Warman moet het wetsvoorstel miljoenen gebruikers tegen "cyber hacks" beschermen door drie beveiligingseisen aan IoT-apparaten te stellen. Ten eerste moeten alle IoT-apparaten over een uniek wachtwoord beschikken dat niet naar een universeel wachtwoord is te resetten. Ten tweede moeten IoT-fabrikanten een meldpunt voor kwetsbaarheden hebben en tijdig op gevonden beveiligingslekken reageren. Als laatste moeten IoT-fabrikanten duidelijk aangeven hoelang hun apparaten beveiligingsupdates blijven ontvangen.

"Onze nieuwe wet houdt IoT-fabrikanten verantwoordelijk en stopt hackers die de privacy en veiligheid van mensen bedreigen", aldus Warman. "Het houdt in dat robuuste beveiligingsstandaarden in het ontwerp worden verwerkt en geen bijzaak zijn." De Britse regering hoopt het wetsvoorstel binnenkort voor te leggen aan het parlement. De eisen zijn volgens Warham samen met het bedrijfsleven en het Britse National Cyber Security Centre (NCSC) opgesteld.

Reacties (11)
27-01-2020, 15:34 door Anoniem
Gebruik het serienummer. Dat is gegarandeerd uniek per apparaat!
27-01-2020, 15:43 door Erik van Straten
Het is een begin.

Maar als je niet zeker weet dat je op het betreffende IoT device inlogt, en een MitM aanvaller de inlogpagina van dat IoT device als twee druppels water op het origineel laat lijken, kunnen jouw user-ID en wachtwoord in verkeerde handen vallen. Waarna die aanvaller met jouw credentials alsnog op jouw IoT device kan inloggen.
27-01-2020, 15:52 door Anoniem
In VK gelden er ook regels voor elektrische apparaten. Als je je opstelt als dependance van een Chinees bedrijf en je spullen via eBay verkoopt, dan "hoef" je je daar niet meer aan te houden.

Maar dat maken filmpjes als van BigClive natuurlijk ook zeer vermakelijk.

Peter
27-01-2020, 16:26 door Anoniem
Door Anoniem: Gebruik het serienummer. Dat is gegarandeerd uniek per apparaat!
Goed idee. En dan op de inlogpagina het serienummer vermelden. Je gelooft het misschien niet, maar ik een apparaat dat dat precies doet...
27-01-2020, 16:27 door Briolet
Door Anoniem: Gebruik het serienummer. Dat is gegarandeerd uniek per apparaat!

Dat voldoet aan het uniek zijn (mist serienummers niet dubbel uitgegeven worden), maar het zijn wel voorspelbare wachtwoorden omdat serienummers doorgaans sequentieel uitgegeven worden. Als er geen beperkingen zijn op het aantal login pogingen, probeer je zo de hele uitgegeven reeks voor dat device.
27-01-2020, 17:17 door The FOSS
Door Anoniem: Gebruik het serienummer. Dat is gegarandeerd uniek per apparaat!

En voorspelbaar (oplopend).
27-01-2020, 17:53 door Anoniem
Eind van de week is wat de Britse overheid allemaal wil net zo lekker belangrijk als elk ander willekeurig Afrikaans land. Het enig positief effect dat ik zie is dat het dan het gemiddelde van Afrika wat naar boven kan trekken, en misschien heel Afrika als geheel erop vooruit gaat. Want als ik nu al iets heel lang denk dat is het dat ik zeker ben dat om te beginnen niet heel Afrika achterlijk is, maar ze ook ondanks alles betere ideetjes kunnen hebben dan wij hiero.

Op elke Britse bluetooth krultang een ander wachtwoord gaat wel de Britse bluetooth krultangen duurder maken. En daarna ook nog importheffingen om ze in Europa te mogen verkopen.... De vraag is of dat slim is. Het zou me niet verbazen dat er Afrikanen zijn die dat sommetje beter snappen en er slimmer mee om weten te gaan.

Het idee van allemaal verschillende wachtwoorden is trouwens niet slecht bedacht voor security. En zeker niet voor een land dat Alan Turing de greppel heeft ingeduwd. Omdat ze die niet langer nodig hadden. De JoeKee vindt het belang van password differentiatie uit! Kom maar op met die nobelprijzen.

Knuffel voor Alan. En altijd positief blijven.
27-01-2020, 20:31 door [Account Verwijderd]
Ten eerste moeten alle IoT-apparaten over een uniek wachtwoord beschikken dat niet naar een universeel wachtwoord is te resetten.
Ten tweede moeten IoT-fabrikanten een meldpunt voor kwetsbaarheden hebben en tijdig op gevonden beveiligingslekken reageren.
Als laatste moeten IoT-fabrikanten duidelijk aangeven hoelang hun apparaten beveiligingsupdates blijven ontvangen.
Ik hoop maar dat ze bij de Engelse wetgever weten wat een sterk wachtwoord is dat je eventueel zelf kunt kiezen (en niet door de fabrikant ---> lees regering), bepaald wordt wat dit wachtwoord is en hoe sterk. Anders kan de inlichtingendienst de zaak alsnog zo overnemen. "Tijdig reageren" op beveiligingslekken is ook al zo vaag, want wat is precies "tijdig" en betekent dit ook een "tijdige patch"? En wat de beveiligingsupdates betreft mogen dit geen updates zijn die al na 1 tot 3 jaar ophouden te bestaan.
28-01-2020, 00:02 door Anoniem
Het is mogelijk makkelijker om te verplichten dat ieder IoT device standaard in een eigen VLAN zit.
Zou het ook lastiger maken voor IoT fabrikanten om te ontkennen dat hun product de enkele echte zwakke schakel is. Dan komen ze op een negatieve manier in het nieuws, slechte PR, slecht voor de eigen omzet, en dat laatste is de enkele prikkel waar ze echt op reageren. Soms door massa ontslagen en vertrek naar het buitenland, maar ja, ook dat is niet goed voor de mondiale PR, dus wederom hun eigen omzet. Mocht ook dat niet helpen, dan door naar de volgende stap, gelijk SOX, bestuurders persoonlijk aansprakelijk stellen, inclusief gevangenisstraffen. En als men niet zo ver wil gaan, dan is het kennelijk niet belangrijk genoeg, dus moeten de politici die dergelijke dingen roepen maar met de billen bloot.
Anders gezegd, zorg dat fabrikanten/politici niet kunnen vingerwijzen, laat ze verder hun gang gaan, maar laat de consument/kiezer de resultaten daarvan weten op objectieve en controleerbare wijze, en laat de vrije markt (hebben we dat nog?), en vrij kiesrecht en volksvertegenwoordiging (hebben we dat nog?) haar werk doen.
28-01-2020, 09:28 door Anoniem
Door Anoniem: Gebruik het serienummer. Dat is gegarandeerd uniek per apparaat!
Oh ja?

Genoeg Chinese meuk die bij iedere opstart een MACadres verzint omdat dat beter werkt dan 000000:000000 en de fabrikant te goedkoop is om de watwashet $1250 voor een OUI (ongeveer 24 miljoen bruikbare MACadressen) neer te leggen, of een MAC- danwel serienummeradministratie bij te houden.


Door Anoniem: Het is mogelijk makkelijker om te verplichten dat ieder IoT device standaard in een eigen VLAN zit.
En dan wat, precies? "HET WERRUKT NIEHIET!"

VLANs ertegenaangooien is net zo goed een standaardgereedschap van meneer Eenoog. Bovendien is het een eigenschap van het lokale netwerk, niet van het apparaat, dus dat gaat de fabrikanten ook al niet helpen "veiliger" te zijn.
28-01-2020, 23:12 door Anoniem
Door Anoniem: Het is mogelijk makkelijker om te verplichten dat ieder IoT device standaard in een eigen VLAN zit.
En dan wat, precies? "HET WERRUKT NIEHIET!"

VLANs ertegenaangooien is net zo goed een standaardgereedschap van meneer Eenoog. Bovendien is het een eigenschap van het lokale netwerk, niet van het apparaat, dus dat gaat de fabrikanten ook al niet helpen "veiliger" te zijn.[/quote]
Het idee is niet dat het veiliger wordt, het idee is dat de mogelijkheid tot vingerwijzen, of verschuilen achter, verminderd.
Een VLAN isoleert, dus als ISP's (of anderen) duizenden consumenten gaan blokkeren omdat hun IoT koelkast aan het spammen is, of hun IoT thermostaat aan het dDos'n is, of iets anders, dan gaan duizenden (miljoenen?) consumenten dat apparaat uitzetten, en nooit meer kopen. En als het vaak genoeg mis gaat dan kopen ze nooit meer iets van dat merk. Die fabrikant, dat merk wordt dus ook besmet, want: slechte naam, door wanprestatie, noem maar op. Zoiets zou omzet kosten, dus aandeelhouders, dus weg bestaansrecht van zo'n fabrikant. En geen aandeelhouder die instemt met een CEO die ergens anders winst (en aandelen), en reputatie (lees, waar ze mee weg kunnen komen), heeft doen kelderen. Dus ook die CEO wordt besmet, loopt een slechte reputatie op.
Anders gezegd, niet alleen de ontvangers, maar ook de gevers/veroorzakers van zo'n drama, krijgen, op termijn, persoonlijke problemen.

Bijkomend voordeel, het onveilige IoT apparaat kan geen andere apparaten besmetten/afluisteren binnen het lokale netwerk. Er zullen vast haken en ogen kleven aan een eigen VLAN voor iedere IoT, maar dat lijkt mij een beter plan dan iedere IoT een eigen wachtwoord geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.