加州首个“物联网安全法案”被批肤浅

加州首个“物联网安全法案”已经被放到了州长办公桌上等待签字,但其本身遭到了安全研究人员的大量批评。

专家指出,该法案明显是基于对此类问题的肤浅理解。该法案(SB-327)于 2017 年 2 月推出,比向美国参议院提出的《物联网网络安全改进法案》还要早半年。虽然后者已经蒙尘,但加州仍在积极推进,并于 8 月 28-29 日两天通过了州会和议院的批准。

如果没有公众或私营企业对其表示强烈反对,那在州长签署通过后,新法案将于 2020 年 1 月 1 日起生效。该法案主要规定了“连接设备的制造商们,应该为设备附上合理的安全功能”。

与大多数立法工作一样,该法案对于“合理安全性”的定义相当模糊,但在认证程序方面给出了详细说明。其写到 ——“若设备配备了局域网外的认证手段”,就必须满足两个标准之一:

(1)如果设备使用默认密码,则密码必须对每个设备是唯一的;

(2)当首次配置设备时,都必须提示用户设置自己的密码。

显然,法案为避免制造商对所有设备使用相同的默认凭证,而给出了硬性的规定。

不过信息安全研究专家罗伯特·格雷厄姆指出:

新法案的初衷是好的,但在当前的物联网市场下,它并不是特别有用、也无法解决困扰物联网设备的任何问题。

这是基于对‘增强安全功能’的误解,就像节食一样 —— 人们要求你坚持多吃蔬菜,但无力解决你正在吃薯片的问题!

格雷厄姆在昨日的《法案分析》一文中写到:

节食的关键不是多吃,而是少吃一点,网络安全也是如此。其重点不在于增加‘安全特性’,而是移除‘不安全的功能’。

对物联网设备来说,这意味着在网络管理中删除侦听端口和跨站点/注入问题。

我们不希望在这些产品中增加防火墙和防病毒等任意功能,那样只会增加攻击面,是情况变得更加糟糕。

总而言之:“这项法律基于对问题明显肤浅的理解。它不会解决真正的威胁,反而会给消费者带来巨大的‘创新’成本”。

[编译自:ZDNet]

IoT前哨站:大家怎么看待这个问题?

发表回复