研究人员敦促IOT安全立法

2022-03-15 10:46:15来源:

根据笔在线测试合作伙伴的安全研究员Ken Munro的说法,大多数供应商都在他们的智能产品中通知其智能产品中的安全和隐私问题,并没有任何努力,这是笔在线测试合作伙伴的高级伙伴,专门从事事物互联网(IOT)设备的安全性。

“我已经花了过去五年的炫耀智能产品制造商,并试图影响行为,使产品更安全,但是,我已经失败了,因为智能设备的安全性实际上变得更糟,”他告诉EEMA在布鲁塞尔的ISSE 2018网络安全会议。

Munro和他的同事在包括三星智能电视,包括三菱外地车辆,Cayla互动娃娃,ikettle和Theswann家庭安全摄像头的门锁,包括三星智能电视,门锁,包括Samsung Smart TV。

虽然一些较大的品牌,如魔戒现在拥有的戒指和迪斯尼许可的BB-8玩具制造商Sphero,但是Munro表示,Munro表示,大多数供应商都是第三次购买的初创公司或更大的品牌购买-Party产品。

“这些组织通常没有资源,它从未达到过雷达做安全 - 这就是为什么我认为我们需要有一些大棍子来确保制造商处于一些非常基本的安全性,”他说。

当发现安全漏洞时,笔测试合作伙伴遵循负责任披露的政策,给制造商提供有机会在与调查结果公开之前修复它。

“我对几乎每一个物联网供应商的经验我们曾披露过 - 我们在过去的四年里每周做两到三个披露 - 这是他们只是忽略了我们,没有任何事情发生,他们继续销售产品,利于他们的产品让人们脆弱,“Munro说。

虽然IOT通常在消费产品方面被认为,但他指出,一些物联网系统被广泛用于商业环境中,例如控制加热,冷却,门锁和火警的建筑管理系统。

“企业介绍他们在其环境中的IOT设备非常重要。IT和服务之间的差距通常会为技术造成问题的机会,因此有一些关键问题企业需要询问供应商,零售商,硬件制造商,以便您知道您是否正在购买良好的产品或充满安全漏洞的产品。“

Munro表示,他能够在线购买企业管理系统的控制器,并能够找到漏洞,可以利用嵌入式服务器的密码,使攻击者能够完全控制建筑物管理系统。

“根据Shodan的说法,互联网上的嵌入式设备的搜索引擎,数百个这些控制器已被第三方安装程序投入组织,并直接在互联网上进行远程访问和控制,这意味着攻击者可以做像解锁一样的事情他说,门并掀起了火灾警报,以强迫建筑物疏散。“

Munro甚至发现,一些设备已被感染了Cryto-Mining Malware,以为网络犯罪分子生成加密货币。

最近,他说笔测试合作伙伴一直在努力第三方汽车警报。“到目前为止,我们认为,超过五万辆汽车可以定位,解锁和发动机开始并赶走,所以一般来说,物联网安全是一场火车残骸,”他说。

Munro表示,在发生的一些好事中,Munro表示,Cayla娃娃已被禁止在德国被禁止,因为该设备违反了电信隐私法,并受到几个消费者保护组织的行动。

“挪威消费者委员会有几个零售商禁止的娃娃,这表明你可以通过商业伤害他们的伤害供应商来表现,而英国的一些大型信誉额度零售商开始拒绝拒绝易受伤害的产品,而在美国,他们是他说,望着阻止美国政府和机构购买不安全的产品,“他说。

虽然这是一个很好的开始,但Munro说还有很长的路要走,他希望看到一些基本的监管。

到目前为止,英国迄今已停止监管,选举由2018年10月的设计自愿惯例(COP)的设计自愿守则(COP)发布安全,由数字,文化,媒体和体育(DCMS)和国家网络安全中心开发(NCSC)。

虽然缔约方会议的最终版本在主要不变的版本中,但已经修订,以确保遵守欧盟一般数据保护规例(GDPR)和英国新的GDPR-SengetData保护部门将来促进监管实施。

Munro表示,与COMPER表示,他对缔约方会议的初步草案感到不舒服,因为如果拒绝遵守指导方针,它就没有解决执法。

“然而,最终的实践准则表明,可以将诸如GDPR等现有立法如何抵御稳定稳定的智能产品。

“警察是一个伟大的开始,但还有更多的要做,”他说。“我希望在英国的IOT竞技场中看到新的主要立法,但这需要时间。让HOP指导与制造商一起睡觉也是合理的。如果他们没有开始改变行为,那就是规则的时间。“

Munro认为消费者返回易受培养的智能产品的权利将为制造商创造财务激励,以提高安全性,因为促进弱势群体的零售商将通过交易标准立法支持的零售商。他还希望看到制造商提供产品安全更新的产品的可预见的产品。

“我认为在产品中展示安全性实际上会推动销售,因为如果有人可以购买智能恒温器并知道它是安全的,那将增加市场销售,”Munro告诉ISSE与会者。

然而,拟议的欧洲网络安全法仅涵盖公司和医疗器械,包括关键的国家基础设施,但目前是消费者设备的自愿,他说。

“这是一个真正的耻辱,因为消费者设备与威胁一样多,因为我们已经显示了攻击者如何聚合智能恒温器并采取电网。我认为我们必须引入规定 - 我们别无选择。“

MUNRO表示,联邦政府目前经过参议院购买的联邦政府购买的IOT设备的BIPARTISAN账单是一个“明亮指南”,列出了七种基本要求,“甚至定义固件”。

“这很简单,我们可以从中学习这么多,”他说。“它会让我们说这就是我们想要的,然后我们可以开始建立下一层的认证和下一层法规 - 但是让我们先做基础。”


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章