อังกฤษผลักดันกฎหมายความปลอดภัย IoT: ห้ามใช้รหัสผ่านเริ่มต้นเหมือนกันทุกเครื่อง, แจ้งระยะเวลาซัพพอร์ต

By: lew

on 28 January 2020 - 13:18 Tags:

Topics:

United Kingdom

Internet of Things

รัฐบาลสหราชอาณาจักรเตรียมผลักดันกฎหมายควบคุมความมั่นคงปลอดภัยอุปกรณ์ IoT โดยผลักดันมาตรฐานอุตสาหกรรม ETSI TS 103 645 ให้มีสภาพบังคับ แต่ยังอาศัยกระบวนการรับรองตัวเอง (self assess)

ETSI TS 103 645 ระบุมาตรการรักษาความปลอดภัย ให้อุปกรณ์ทุกตัวไม่ใช้รหัสผ่านตรงกันแม้จะรีเซ็ตเครื่องแล้ว ส่วนผู้ผลิตเองก็ต้องมีจุดรับแจ้งปัญหาความมั่นคงปลอดภัยอย่างชัดเจน, มีกระบวนการอัพเดตและแก้ไขที่รวดเร็ว, ประกาศระยะเวลาซัพพอร์ตสินค้าอย่างชัดเจน, ห้ามใช้รหัสผ่านแบบฮาร์ดโค้ดไว้ในเครื่อง, เชื่อมต่อเซิร์ฟเวอร์โดยเข้ารหัส, ตรวจสอบความถูกต้องของซอฟต์แวร์, และยังต้องออกแบบให้ระบบทนทานเมื่อเข้าถึงเซิร์ฟเวอร์ไม่ได้

ก่อนหน้านี้สหราชอาณาจักรมีแนวปฎิบัติเพื่อการรักษาความมั่นคงปลอดภัยอุปกรณ์ IoT (Code of Practice for Consumer IoT Security) ที่เป็นคำแนะนำผู้ผลิตโดยไม่มีสภาพบังคับ แต่เนื้อหาโดยรวมคล้ายกับมาตรฐาน ETSI TS 103 645

รัฐแคลิฟอร์เนียร์เคยผ่านกฎหมายคล้ายกันในปี 2018 และเพิ่งมีผลบังคับใช้เมื่อต้นปีที่ผ่านมา

ที่มา - ThreatPost

No Description

Hiring! บริษัทที่น่าสนใจ

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

Bighead Creative Co.,ltd.

เราเป็นบริษัท Software House ที่เชี่ยวชาญด้านการพัฒนา Web Based Application และ Mobile Application

Comments

By: KuLiKo

on 28 January 2020 - 14:11 #1145544

เป็นผู้บริโภคในยุโรปนี่มันดีจริงๆ

By: crucifier

on 28 January 2020 - 19:42 #1145576 Reply to:1145544

อยากย้ายไปเยอรมัน

By: KuLiKo

on 29 January 2020 - 06:21 #1145609 Reply to:1145576

ไม่เกี่ยวแล้ว 1

By: hail_to_the_thief

on 30 January 2020 - 00:46 #1145761 Reply to:1145544

ไม่ต้องมาหรอกครับ ยุโรปก็มีปัญหาของตัวเอง ไม่ได้ดีเลิศประเสริฐศรีไปทุกอย่างแบบที่คนไทยบางคนเชื่อ
แนะนำให้ทำตามระบบดีกว่า อยากได้กฎหมายอะไร ก็บอกผ่าน สส ที่คุณเลือก ให้เค้าไปเสนอในสภาฯ ดีกว่ามาบ่นในเน็ตครับ (จะบ่นก็ได้ ไม่ได้ว่านะครับ) ถ้า สส คุณเค้าใส่ใจประชาชนจริงแบบที่คุณเชื่ออะนะ ไม่ใช่คิดแต่เรื่องจะแก้ หรือ ไม่แก้ รธน.

By: McKay

on 30 January 2020 - 02:04 #1145764 Reply to:1145761

state การบริหารของประเทศเราตอนนี้เป็นแบบ top-down management/autocratic โดยเกือบสมบูรณ์ครับ(ดูวุฒิภาวะของนายกรัฐมนตรีได้และรัฐมนตรีต่างๆได้) ดังนั้นการจะทำ bottom-up แบบที่คุณบอกนั้นเป็นไปไม่ได้ยกเว้นจะแก้รัฐธรรมนูญให้ไม่มีการสืบทอดอำนาจ เพื่อให้ผู้ที่มาเป็นรัฐบาลรับฟังความต้องการ/ปัญหาของประชนหรืออย่างน้อยก็รับฟังฝ่ายค้านบ้างครับ ยกตัวอย่าง เรื่อง PM2.5, อู่ฮั่น

อันนี้ต้องถามกลับว่า ถ้านั่งสืบทอดอำนาจเป็นรัฐบาลไปเรื่อยๆแต่บริหารอะไรไม่เป็น มองความต้องการ มองปัญหาไม่ออก แก้ปัญหาไม่ได้/ไม่ตรงจุด ได้แต่แถว่าไม่มีปัญหาๆ เอาอยู่ เราจะมีรัฐบาลไปทำไมครับ?

อ้อ เรื่องเดียวที่เร่งด่วนของรัฐบาลน่าจะเป็นเรื่องความมั่นคงนะครับ งานดีเชียว

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: trustme on 28 January 2020 - 19:06 #1145572

ตรวจสอบความถูกต้องของ software ก็เท่ากับว่า ห้าม flash custom ROM อีกต่อไปหรือไม่ครับ

By: lew

on 28 January 2020 - 21:51 #1145584 Reply to:1145572

ไม่จำเป็นครับ ตามข้อความ

Provision 4.7-2 If an unauthorized change is detected to the software, the device should alert the consumer and/or administrator to an issue and should not connect to wider networks than those necessary to perform the alerting function.

The ability to remotely recover from these situations can rely on a known good state, such as locally storing a known good version to enable safe recovery and updating of the device. This will avoid denial of service and costly recalls or
maintenance visits, whilst managing the risk of potential takeover of the device by an attacker subverting update or other network communications mechanisms.

If an IoT device detects something unusual has happened with its software, it will be able to inform the right person. In some cases, devices can have the ability to be in administration mode - for example, there can be a user mode for a thermostat in a room that prevents other settings being changed. In these cases, an alert to the administrator is appropriate as that person has the ability to act on the alert.

บอกแค่ว่าต้อง "แจ้งเตือน" เท่านั้น และให้ผู้ใช้ตัดสินใจต่อ

ถ้าเทียบคงเทียบได้กับ Chromebook ที่เวลาเข้า Developer Mode แล้วจะเตือนทุกครั้งที่บูต หากต้องการใช้งานในโหมด Developer จริงๆ ก็ลำบากขึ้นพอสมควร แต่ใช้งานได้

lewcpe.com, @wasonliw

By: langisser

on 28 January 2020 - 23:28 #1145599

บางเจ้า รหัสผ่านไม่เหมือนกันแต่มีสูตรตายตัว เช่น 4 หลักท้ายของ mac

By: lew

on 29 January 2020 - 01:04 #1145602 Reply to:1145599

ซึ่งก็ลดความเสี่ยงการ brute force จากอินเทอร์เน็ตไปได้มหาศาลแล้วนะครับ

บางรุ่นผมเห็นใช้ 6 ตัวสุดท้ายของ mac แค่นั้นก็ 24 บิตแล้ว (16 ล้านกรณี) การยิงทุกเครืองสร้าง botnet นี่ทำได้ยากขึ้นมากแน่ๆ ยิงตัวเดียวอาจจะใช้เวลาหลายวันแล้ว พร้อมกับ traffic แปลกประหลาดต่อเนื่องเป็นเวลานาน ถ้า ISP มีระบบ monitor ดีๆ ก็แทบไม่จะ brute force ไม่ได้เลย

lewcpe.com, @wasonliw

Main menu