加州首個“物聯網安全法案”被批理解過於膚淺
加州首個“物聯網安全法案”已經被放到了州長辦公桌上等待簽字,但其本身遭到了安全研究人員的大量批評。專家指出,該法案明顯是基於對此類問題的膚淺理解。該法案(SB-327)於 2017 年 2 月推出,比向美國參議院提出的《物聯網網路安全改進法案》還要早半年。雖然後者已經蒙塵,但加州仍在積極推進,並於 8 月 28-29 日兩天通過了州會和議院的批准。
如果沒有公眾或私營企業對其表示強烈反對,那在州長簽署通過後,新法案將於 2020 年 1 月 1 日起生效。該法案主要規定了“連線裝置的製造商們,應該為裝置附上合理的安全功能”。
與大多數立法工作一樣,該法案對於“合理安全性”的定義相當模糊,但在認證程式方面給出了詳細說明。 其寫到 ——“若裝置配備了局域網外的認證手段”,就必須滿足兩個標準之一:
(1)如果裝置使用預設密碼,則密碼必須對每個裝置是唯一的;
(2)當首次配置裝置時,都必須提示使用者設定自己的密碼。
顯然,法案為避免製造商對所有裝置使用相同的預設憑證,而給出了硬性的規定。 不過資訊保安研究專家羅伯特·格雷厄姆指出:
新法案的初衷是好的,但在當前的物聯網市場下,它並不是特別有用、也無法解決困擾物聯網裝置的任何問題。
這是基於對‘增強安全功能’的誤解,就像節食一樣 —— 人們要求你堅持多吃蔬菜,但無力解決你正在吃薯片的問題!
格雷厄姆在昨日的《法案分析》一文中寫到:
節食的關鍵不是多吃,而是少吃一點,網路安全也是如此。其重點不在於增加‘安全特性’,而是移除‘不安全的功能’。
對物聯網裝置來說,這意味著在網路管理中刪除偵聽埠和跨站點/注入問題。
我們不希望在這些產品中增加防火牆和防病毒等任意功能,那樣只會增加攻擊面,是情況變得更加糟糕。
ofollow,noindex">總而言之 :“這項法律基於對問題明顯膚淺的理解。它不會解決真正的威脅,反而會給消費者帶來巨大的‘創新’成本”。
[編譯自: ZDNet ]