Britse overheid wil uniek wachtwoord voor elk IoT-apparaat
De Britse overheid wil dat elk IoT-apparaat dat in het Verenigd Koninkrijk wordt verkocht over een uniek wachtwoord beschikt. Daarnaast moeten Iot-fabrikanten tijdig reageren op meldingen van beveiligingslekken en moet duidelijk worden aangegeven hoelang een IoT-apparaat beveiligingsupdates ontvangt.
Een wetsvoorstel dat dit mogelijk moet maken is vandaag aangekondigd. "Hoewel de Britse overheid altijd de industrie heeft aangemoedigd om met een vrijwillige aanpak te komen, is het nu duidelijk dat daadkrachtig optreden is vereist om ervoor te zorgen dat deze producten by design over sterke cybersecurity beschikken", zegt de Britse minister van Digitale Zaken en Breedband Matt Warman.
Volgens Warman moet het wetsvoorstel miljoenen gebruikers tegen "cyber hacks" beschermen door drie beveiligingseisen aan IoT-apparaten te stellen. Ten eerste moeten alle IoT-apparaten over een uniek wachtwoord beschikken dat niet naar een universeel wachtwoord is te resetten. Ten tweede moeten IoT-fabrikanten een meldpunt voor kwetsbaarheden hebben en tijdig op gevonden beveiligingslekken reageren. Als laatste moeten IoT-fabrikanten duidelijk aangeven hoelang hun apparaten beveiligingsupdates blijven ontvangen.
"Onze nieuwe wet houdt IoT-fabrikanten verantwoordelijk en stopt hackers die de privacy en veiligheid van mensen bedreigen", aldus Warman. "Het houdt in dat robuuste beveiligingsstandaarden in het ontwerp worden verwerkt en geen bijzaak zijn." De Britse regering hoopt het wetsvoorstel binnenkort voor te leggen aan het parlement. De eisen zijn volgens Warham samen met het bedrijfsleven en het Britse National Cyber Security Centre (NCSC) opgesteld.
Maar als je niet zeker weet dat je op het betreffende IoT device inlogt, en een MitM aanvaller de inlogpagina van dat IoT device als twee druppels water op het origineel laat lijken, kunnen jouw user-ID en wachtwoord in verkeerde handen vallen. Waarna die aanvaller met jouw credentials alsnog op jouw IoT device kan inloggen.
Maar dat maken filmpjes als van BigClive natuurlijk ook zeer vermakelijk.
Peter
Dat voldoet aan het uniek zijn (mist serienummers niet dubbel uitgegeven worden), maar het zijn wel voorspelbare wachtwoorden omdat serienummers doorgaans sequentieel uitgegeven worden. Als er geen beperkingen zijn op het aantal login pogingen, probeer je zo de hele uitgegeven reeks voor dat device.
En voorspelbaar (oplopend).
Op elke Britse bluetooth krultang een ander wachtwoord gaat wel de Britse bluetooth krultangen duurder maken. En daarna ook nog importheffingen om ze in Europa te mogen verkopen.... De vraag is of dat slim is. Het zou me niet verbazen dat er Afrikanen zijn die dat sommetje beter snappen en er slimmer mee om weten te gaan.
Het idee van allemaal verschillende wachtwoorden is trouwens niet slecht bedacht voor security. En zeker niet voor een land dat Alan Turing de greppel heeft ingeduwd. Omdat ze die niet langer nodig hadden. De JoeKee vindt het belang van password differentiatie uit! Kom maar op met die nobelprijzen.
Knuffel voor Alan. En altijd positief blijven.
Ten tweede moeten IoT-fabrikanten een meldpunt voor kwetsbaarheden hebben en tijdig op gevonden beveiligingslekken reageren.
Als laatste moeten IoT-fabrikanten duidelijk aangeven hoelang hun apparaten beveiligingsupdates blijven ontvangen.
Zou het ook lastiger maken voor IoT fabrikanten om te ontkennen dat hun product de enkele echte zwakke schakel is. Dan komen ze op een negatieve manier in het nieuws, slechte PR, slecht voor de eigen omzet, en dat laatste is de enkele prikkel waar ze echt op reageren. Soms door massa ontslagen en vertrek naar het buitenland, maar ja, ook dat is niet goed voor de mondiale PR, dus wederom hun eigen omzet. Mocht ook dat niet helpen, dan door naar de volgende stap, gelijk SOX, bestuurders persoonlijk aansprakelijk stellen, inclusief gevangenisstraffen. En als men niet zo ver wil gaan, dan is het kennelijk niet belangrijk genoeg, dus moeten de politici die dergelijke dingen roepen maar met de billen bloot.
Anders gezegd, zorg dat fabrikanten/politici niet kunnen vingerwijzen, laat ze verder hun gang gaan, maar laat de consument/kiezer de resultaten daarvan weten op objectieve en controleerbare wijze, en laat de vrije markt (hebben we dat nog?), en vrij kiesrecht en volksvertegenwoordiging (hebben we dat nog?) haar werk doen.
Genoeg Chinese meuk die bij iedere opstart een MACadres verzint omdat dat beter werkt dan 000000:000000 en de fabrikant te goedkoop is om de watwashet $1250 voor een OUI (ongeveer 24 miljoen bruikbare MACadressen) neer te leggen, of een MAC- danwel serienummeradministratie bij te houden.
VLANs ertegenaangooien is net zo goed een standaardgereedschap van meneer Eenoog. Bovendien is het een eigenschap van het lokale netwerk, niet van het apparaat, dus dat gaat de fabrikanten ook al niet helpen "veiliger" te zijn.
VLANs ertegenaangooien is net zo goed een standaardgereedschap van meneer Eenoog. Bovendien is het een eigenschap van het lokale netwerk, niet van het apparaat, dus dat gaat de fabrikanten ook al niet helpen "veiliger" te zijn.[/quote]
Het idee is niet dat het veiliger wordt, het idee is dat de mogelijkheid tot vingerwijzen, of verschuilen achter, verminderd.
Een VLAN isoleert, dus als ISP's (of anderen) duizenden consumenten gaan blokkeren omdat hun IoT koelkast aan het spammen is, of hun IoT thermostaat aan het dDos'n is, of iets anders, dan gaan duizenden (miljoenen?) consumenten dat apparaat uitzetten, en nooit meer kopen. En als het vaak genoeg mis gaat dan kopen ze nooit meer iets van dat merk. Die fabrikant, dat merk wordt dus ook besmet, want: slechte naam, door wanprestatie, noem maar op. Zoiets zou omzet kosten, dus aandeelhouders, dus weg bestaansrecht van zo'n fabrikant. En geen aandeelhouder die instemt met een CEO die ergens anders winst (en aandelen), en reputatie (lees, waar ze mee weg kunnen komen), heeft doen kelderen. Dus ook die CEO wordt besmet, loopt een slechte reputatie op.
Anders gezegd, niet alleen de ontvangers, maar ook de gevers/veroorzakers van zo'n drama, krijgen, op termijn, persoonlijke problemen.
Bijkomend voordeel, het onveilige IoT apparaat kan geen andere apparaten besmetten/afluisteren binnen het lokale netwerk. Er zullen vast haken en ogen kleven aan een eigen VLAN voor iedere IoT, maar dat lijkt mij een beter plan dan iedere IoT een eigen wachtwoord geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
