编者按
最近,美国国会引入了一项法案,该法案旨在禁止向政府出售不能被修补或更改密码的物联网设备。这项法案还将带来哪些影响呢?今天,界小编将向您深度解读美国即将颁布的物联网网络安全改进法案。
最近,美国国会引入了一项法案,该法案旨在禁止向政府出售不能被修补或更改密码的物联网设备。根据该法案,联邦机构仍能够购买不合格的物联网设备,但是只有得到美国管理和预算办公室的批准才可以。
一旦颁布该法律,机构就必须在与技术供应商的合同里加入一个条款。依据2017年提出的物联网网络安全改进法案的说法,这项条款要求联网设备的软件或固件(是固化在硬件中的软件)的组件能够被更新或替换,与合同中其他条款的规定一致,以这样的一个方式,如果未来任何软件或固件的任何部分有安全漏洞或缺陷,都可以被修补,以便以一种恰当的验证和安全的方式,修理或除去存在于软件或固件组件中漏洞或缺陷。
根据该法案,设备制造商不可以把卖给政府机构的产品的密码写死,过去这样的密码被利用帮助像Mirai那样的恶意软件的传播。一个公司必须提供书面证明,来证明一个用于远程管理、升级传递或通讯的设备中不包含任何固定或硬编码的认证信息。
沃纳在一份新闻稿中说:“该法规将被彻底的建立,然而是灵活的,对于联邦政府采购联网设备是一个指导方针。我希望这个法案将纠正那些已然发生了的明显的市场错误,并鼓励设备制造商在产品安全方面展开竞争”。
这凸显了他对物联网潜能的兴奋,以及他对太多的联网设备在没有恰当的保障措施的情况下被出售的担忧。
加德纳称该法案是两党连立的常识性法规,它将确保联邦政府以身作则并只采购那些满足基本要求的设备,以阻止黑客渗透进政府网络系统,或规定物联网遏制“改变生活的创新”。
全球网络联盟(GCA)的首席执行官、主席菲尔.赖廷格表示同意说:“物联网将改变我们做事的方式”。
他称赞物联网网络安全改进法案是确保物联网设备制造商将把网络安全作为其产品DNA的一部分所迈出的重要的第一步,并且美国政府在购买物联网设备时应考虑到安全和隐私问题。
赖廷格在评论文中说:“只有构成‘物联网’的东西值得信赖了,物联网的承诺才能达成。保护我们的安全和隐私,并且使我们所依赖的服务,例如电力服务、通信和医疗服务变得更加弹性化”。
Tripwire公司首席安全工程师特拉维斯.史密斯在电子邮件中说:该法案将帮助解决一些已知的问题所带来的麻烦,每天有很多物联网设备被黑客攻击。依我看这个法案有两个问题,它们不会有助于这类型的设备的整体安全性变得更好。当由客户做决定时,改变密码并安装补丁不是一个首要任务。相反,它们优先要考虑的事是让设备正常工作,因此你就能够知道问题的所在了。
Tripwire是目前最为著名的Unix下文件系统完整性检查的软件工具,该软件采用的技术核心就是对每个要监控的文件产生一个数字签名保留下来。当文件现在的数字签名与保留的数字签名不一致时,那么现在这个文件必定被改动过了。
史密斯建议提升设备,设备能够自动检测新的更新内容并在没有任何用户参与的情况下安装它们。他声称,“这应该是所有物联网设备供应商应该努力的策略”。下一个是可选择的补丁,它是该法案最有可能要求的部分。可选的补丁有两个问题:第一个是让用户知道这个补丁,然后让他们安装补丁。这两项任务对于普通用户来说都是极为困难的。最后,存在有意或无意不接收任何补丁的设备。
关于密码,史密斯说:我将敦促该法案增加上,设备应该促使用户更改默认密码,要使得每台设备的默认密码也应该是独一无二的。即使一些东西已经像使用MAC地址那样简单,但是并不安全,这比使用我们已经习惯使用的默认管理或管理凭证更好了一步。
史密斯总结说:“要想让这项法案成功的被实施,就需要激励供应商把他们的设备弄到一个安全的状态”。他指出:“让一个设备没有安全漏洞是费时费钱的。随着许多这样的设备成为了一个商品,推迟它们的上市时间或收取更高的费用可能不符合他们当前的商业模式”。
