安全杂文 | 针对物联网安全,英国拟制定一套新法律
英国政府正在制定一套旨在提高物联网设备安全性的新法律,以作为英国政府整体网络安全防护政策的一部分。最近,英国数字化部长Margot James向社会公布了此项法律的草案。
按照此项法律的规定,市场上销售的所有连接互联网的设备,如智能空调、其他智能电器、网络摄像头等,在销售时都必须使用其独有的密码。
设备形成的僵尸网络的形成往往都与设备的默认密码问题密切相关。密码通常是在设备生产时就由厂商通过硬件编码的方式置入到设备中,用户在使用设备后往往不会对其作出修改。以往,通过联网设备发起攻击的网络攻击者往往会通过扫描发现并控制使用默认密码的设备,进而利用这些设备发起DDoS攻击。通过实施此次拟定的法律,英国政府将要求厂商生产并销售具备独有密码的设备,此举将会显著增加攻击者发起上述攻击的难度。
在大规模网络攻击事件中,通过操纵由数千个被劫持物联网设备组成的僵尸网络,攻击者有可能影响全国范围内的互联网络。两年前,Mirai僵尸网络攻击了英国的一家为主要网站提供域名服务的公司——Dyn公司,此次攻击导致英国境内的用户无法访问大量重要网站,如Twitter、Spotify、SoundCloud等。
新的法律还将要求设备厂商提供公开联系方式,以供漏洞挖掘人员与安全技术研究人员向其提交设备漏洞信息。同时,设备厂商还必须告知消费者,设备接受安全更新的时间周期是多长。
英国此举紧跟着美国加州的步伐,加州于2018年10月通过了禁止互联网连接设备使用默认密码的法律,该法律将于2020年生效。根据此法的要求,加州销售的每一台设备都必须带有“每台设备独有的”密码。 网络安全公司Pen Test Partners的创始人Ken Munro在其博客文章中表示,英国此次立法是“一个很好的开端”,但新法的要求是“相当宽松的”。针对其公司所发现的汽车警报器等一系列互联网连接设备中存在的安全漏洞,Ken Munro说:“我们希望政府能够致力于推进一套能够持续改进智能产品安全性的计划”。
