[ad_1]
Il governo del Regno Unito chiede che le password deboli siano rese illegali entro il 2021
Nella sua prefazione a un documento politico recentemente pubblicato sulla regolamentazione della sicurezza informatica dei prodotti intelligenti dei consumatori, il ministro britannico per le informazioni digitali, Matt Warman, ha affermato che si tratta di un “governo spudoratamente pro-tecnologia”. Warman ha dichiarato che il Dipartimento per il digitale, la cultura, i media e lo sport ha collaborato con il National Cyber Security Center (NCSC) per “risolvere urgentemente” il problema della scarsa sicurezza dei dispositivi Internet of Things (IoT).
Con urgenza? Come ti rende illegali le password deboli per tutti questi gadget prima della fine del 2021?
Qual è il problema con l’Internet delle cose insicure?
Il problema, così com’è, è stato una spina nel fianco degli esperti di sicurezza informatica sin da quando l’Internet of Things è diventato, beh, una cosa. Con miliardi di dispositivi già disponibili e previsioni che potrebbero essercene tanti 41 miliardi di dispositivi IoT entro il 2025, l’entità del problema di sicurezza è tanto vasta quanto urgente.
Tutto, dalle lampadine a smartwatch che monitorano i pazienti affetti da demenza, altoparlanti intelligenti, assistenti vocali, telecamere di sicurezza e televisori siedono tutti all’interno di questo ecosistema spesso insicuro.
Insicuro perché, per una parte di questi dispositivi, sono dotati di password precaricate, cablate, che non possono essere modificate dall’utente.
Il che non sarebbe un vero disastro di sicurezza se quelle password fossero almeno forti e uniche.
Anche laddove i consumatori possono modificare le password, spesso rimangono impostati sui valori predefiniti in quanto questi dispositivi vengono venduti come fuoco e dimenticano, aggeggi non tecnologici facili da usare.
I consumatori, nel complesso, vogliono decomprimerlo, collegarlo e iniziare a usarlo; cambiare password, aggiornare il firmware, qualsiasi modifica a questo livello non è semplicemente all’ordine del giorno.
E così sta il problema: dispositivi che si collegano a Internet attraverso la rete domestica, password che sono già conosciute dagli aspiranti hacker o facilmente decifrate da loro e una base di utenti purtroppo tutt’altro che saggia.
Spiare gli utenti è solo una possibilità che si apre, il furto di dati è un altro. Ma a parte il rischio per i dati degli utenti, con tali dispositivi utilizzati come postazioni di gestione temporanea per le violazioni della rete, i dispositivi IoT vengono spesso trasferiti in botnet da criminali informatici che vengono quindi utilizzati per eseguire attacchi DDoS (Distributed Denial of Service) contro le attività online.
Cosa ha proposto il governo britannico di rafforzare la sicurezza dei dispositivi Internet?
Il ‘Proposte per la regolamentazione della sicurezza informatica dei prodotti intelligenti di consumo – invito a visualizzare“il documento programmatico, pubblicato il 16 luglio, fornisce una panoramica della legislazione sulla password proposta e cerca di ottenere ulteriori feedback esterni dalle parti interessate prima di procedere.
In base alle proposte di una nuova legge per proteggere i consumatori dalla minaccia insicura dei dispositivi IoT, il governo del Regno Unito ha raccomandato di vietare le password singole, universali, per i dispositivi.
Il governo vuole anche spostarsi verso l’uso di “meccanismi di autenticazione alternativi” che non usano password. Inoltre, il documento sulla politica rivela anche l’intenzione di vietare quelle password che sono uniche per ogni dispositivo ma che sono ancora facilmente indovinabili.
Il documento afferma che laddove vengono utilizzate password univoche preinstallate per dispositivo, non possono essere generate da un meccanismo che non tenga conto della minimizzazione degli attacchi automatizzati.
Tale meccanismo di generazione di password non deve, secondo il documento, consentire che una password sia derivata unicamente dalla conoscenza di un’altra password o da informazioni che possono essere determinate comunicando con il dispositivo in rete.
Si suggerisce inoltre che i produttori di dispositivi dovrebbero fornire agli utenti un meccanismo per segnalare facilmente le vulnerabilità della sicurezza, cosa che molti ricercatori di sicurezza confermeranno che oggi è gravemente carente in molti casi. Infine, il documento richiede trasparenza su quanto tempo il dispositivo riceverà gli aggiornamenti di sicurezza.
Per far rispettare tali requisiti, se diventassero legge, vi sarebbe il potenziale per sanzioni finanziarie come previsto, ma anche, in alcuni casi, in cui non vengono rispettate le normative, divieti temporanei di vendita e, infine, il sequestro e la distruzione dei dispositivi stessi.
Cosa dicono gli esperti di sicurezza?
“Una forte applicazione degli standard delle password è una mossa positiva e trasmette il messaggio”, ha dichiarato Jake Moore, uno specialista della sicurezza informatica presso ESET, “anche se può sembrare piuttosto efficace”.
David Kennefick, architetto di prodotto presso Edgescan, ha affermato che “i vantaggi qui superano l’inconveniente di spedire dispositivi con password uniche o forzare una modifica della reimpostazione della password durante l’installazione”. Accoglie con favore il principio di una legge che non “consente la vendita di dispositivi con configurazioni di sicurezza scadenti o credenziali predefinite”.
“Era irresponsabile per i fornitori di hardware spedire dispositivi con password predefinite, che sono state utilizzate come punti di accesso in altre reti”, ha affermato Chris Hazelton, direttore delle soluzioni di sicurezza di Lookout. “Questa legge introdurrà i passi necessari per aiutare gli utenti a pensare alla sicurezza mentre installano i dispositivi”, ha continuato, “questo potrebbe essere implementato con semplici procedure guidate di configurazione su un’app mobile che guida gli utenti attraverso il processo di creazione di password complesse e potrebbe persino richiedere una connessione a reti domestiche o aziendali più sicure, creando così più livelli di sicurezza “.
E, per concludere, Tim Erlin, vicepresidente di Tripwire, ha affermato che “non esiste alcun motivo tecnico per cui i produttori debbano spedire dispositivi con una password predefinita comune. Spedire con password univoche o richiedere all’utente di modificare l’impostazione predefinita al primo utilizzo, sono requisiti sensibili che aiutano a proteggere i consumatori e i loro dati. I regolamenti possono essere molto efficaci nel creare un limite minimo per la sicurezza informatica “.
[ad_2]
Author: Francesco Giuliani
Italian Entrepreneur & King of Influencers.
Italian Entrepreneur & King of Influencers.
