Калифорния запрещает продажу IoT-устройств с простыми паролями или вовсе без них
О том, почему пароли должны быть сложными, на Хабре говорить в очередной раз не стоит. Можно лишь вспомнить последствия слабой защиты IoT гаджетов, которые были превращены вирусом Mirai в «зомби», готовых слушаться команд удаленного оператора-взломщика.
После этого и многих других инцидентов производители устройств продолжают халатно относиться к киберзащите гаджетов. Да, дизайн и UX многих из них на высоте, функции хороши. Но использование большинства «облачных» гаджетов подобно игре «взломай меня, если сможешь», где победителем почти всегда выступает взломщик.
В штате Калифорния, США, решили игры прекратить и обязать производителей устройств озаботиться подбором сложных пар «логин пароль» для защиты гаджетов. Все системы, которые продаются в штате, должны быть модифицированы соответствующим образом к 2020 году. Закон выставляет ряд требований, которые должны выполнять разработчики аппаратных сетевых решений — будь то роутер, камера наблюдения или умный холодильник.
Законопроект прошел процедуру одобрения в августе, а на прошлой неделе его подписал губернатор штата Джерри Браун.
«Слабые методы защиты устройств, подключенных к сети подвергают их пользователей, проживающих в штате Калифорния, опасности, а также позволяют взломщикам использовать электронные устройства против самих же владельцев,» — говорится в обращении одного из сенаторов штата, который поддерживает закон. «Документ дает уверенность в том, что технологии работают на благо жителей Калифорнии, а также в том, что безопасность не будет теперь считаться наименее важным вопросом», — продолжил он.
И действительно, поскольку интернет вещей постепенно развивается, все больше и больше гаджетов подключается к сети — это уже не только камеры, датчики разного рода, но и микроволновки, видеоняни, кондиционеры и другая техника. Сразу же после подключения все эти устройства становятся мишенью для взломщиков. Чаще всего кибепреступников интересуют не одинокие гаджеты, а сети, объединяющие тысячи и тысячи таких устройств. Речь идет о ботнетах, при помощи которых взломщики могут выполнять многое — от DDoS-атак до попыток взлома сетей банковских и финансовых организаций.
Как уже говорилось выше, IoT-гаджеты, зачастую, лишены даже самой слабой защиты, чем и пользуются взломщики. Таким образом, даже скрипткидди может создать небольшой ботнет из взломанных им устройств. Результаты всего этого видны невооруженным взглядом. Два года назад под управлением взломщиков находились миллионы устройств — сейчас, вероятно, таких гаджетов еще больше. И чем больше производители выпускают IoT-систем для дома и офиса, тем большей опасности подвергаются владельцы таких систем.
Почему закон направлен именно на производителей оборудования? Дело в том, что далеко не все покупатели подключенных устройств имеют необходимый уровень технических знаний для того, чтобы защитить купленное устройство от взлома самостоятельно. Да, стоит только поменять банальную связку «admin/admin» на сложный цифро-буквенный-символьный пароль, и ботнеты в большинстве случаев не смогут подчинить себе такое устройство. Но то, как изменить пароль, знает относительно небольшой процент пользователей, а те, кто реально его меняет, и того меньше.
Недавно был проведен опрос, цель которого — выяснить, сколько же пользователей IoT гаджетов пытались себя защитить от взлома, заменив дефолтные данные админки. Как оказалось, около 82% даже не задумывались над этим. Что касается данных по умолчанию, пароли далеко не всегда простые, но поскольку сам производитель публикует их в технической документации, поставляемой вместе с устройствами, для взломщиков не представляет никакого труда узнать данные доступа.
Новый калифорнийский закон теперь обязывает производителей оборудования создавать уникальную и надежную связку «логин/пароль» для каждого устройства. Конечно, это не панацея, но все же определенный сдвиг в вопросе усиления политики кибербезопасности производителями IoT-гаджетов. Возможно, смотря на изменения в законодательстве штата, производители не станут ждать, когда их заставят сделать тоже самое и другие штаты и страны, а изменят свою политику кибербезопасности в сторону усиления заранее.