อังกฤษผลักดันกฎหมายความปลอดภัย IoT: ห้ามใช้รหัสผ่านเริ่มต้นเหมือนกันทุกเครื่อง, แจ้งระยะเวลาซัพพอร์ต

By: lew
Founder Jusci's WriterMEconomics Android
on 28 January 2020 - 13:18 Tags:
Topics: 
United Kingdom
Internet of Things
Node Thumbnail

รัฐบาลสหราชอาณาจักรเตรียมผลักดันกฎหมายควบคุมความมั่นคงปลอดภัยอุปกรณ์ IoT โดยผลักดันมาตรฐานอุตสาหกรรม ETSI TS 103 645 ให้มีสภาพบังคับ แต่ยังอาศัยกระบวนการรับรองตัวเอง (self assess)

ETSI TS 103 645 ระบุมาตรการรักษาความปลอดภัย ให้อุปกรณ์ทุกตัวไม่ใช้รหัสผ่านตรงกันแม้จะรีเซ็ตเครื่องแล้ว ส่วนผู้ผลิตเองก็ต้องมีจุดรับแจ้งปัญหาความมั่นคงปลอดภัยอย่างชัดเจน, มีกระบวนการอัพเดตและแก้ไขที่รวดเร็ว, ประกาศระยะเวลาซัพพอร์ตสินค้าอย่างชัดเจน, ห้ามใช้รหัสผ่านแบบฮาร์ดโค้ดไว้ในเครื่อง, เชื่อมต่อเซิร์ฟเวอร์โดยเข้ารหัส, ตรวจสอบความถูกต้องของซอฟต์แวร์, และยังต้องออกแบบให้ระบบทนทานเมื่อเข้าถึงเซิร์ฟเวอร์ไม่ได้

ก่อนหน้านี้สหราชอาณาจักรมีแนวปฎิบัติเพื่อการรักษาความมั่นคงปลอดภัยอุปกรณ์ IoT (Code of Practice for Consumer IoT Security) ที่เป็นคำแนะนำผู้ผลิตโดยไม่มีสภาพบังคับ แต่เนื้อหาโดยรวมคล้ายกับมาตรฐาน ETSI TS 103 645

รัฐแคลิฟอร์เนียร์เคย ผ่านกฎหมายคล้ายกันในปี 2018 และเพิ่งมีผลบังคับใช้เมื่อต้นปีที่ผ่านมา

ที่มา - ThreatPost

No Description

Get latest news from Blognone

Comments

By: KuLiKo
Contributor iPhone Windows Phone Android
on 28 January 2020 - 14:11 #1145544
KuLiKo's picture

เป็นผู้บริโภคในยุโรปนี่มันดีจริงๆ

By: crucifier
iPhone Android Ubuntu
on 28 January 2020 - 19:42 #1145576 Reply to:1145544

อยากย้ายไปเยอรมัน

By: KuLiKo
Contributor iPhone Windows Phone Android
on 29 January 2020 - 06:21 #1145609 Reply to:1145576
KuLiKo's picture

ไม่เกี่ยวแล้ว 1

By: hail_to_the_thief
iPhone
on 30 January 2020 - 00:46 #1145761 Reply to:1145544

ไม่ต้องมาหรอกครับ ยุโรปก็มีปัญหาของตัวเอง ไม่ได้ดีเลิศประเสริฐศรีไปทุกอย่างแบบที่คนไทยบางคนเชื่อแนะนำให้ทำตามระบบดีกว่า อยากได้กฎหมายอะไร ก็บอกผ่าน สส ที่คุณเลือก ให้เค้าไปเสนอในสภาฯ ดีกว่ามาบ่นในเน็ตครับ (จะบ่นก็ได้ ไม่ได้ว่านะครับ) ถ้า สส คุณเค้าใส่ใจประชาชนจริงแบบที่คุณเชื่ออะนะ ไม่ใช่คิดแต่เรื่องจะแก้ หรือ ไม่แก้ รธน.

By: McKay
Contributor Android WindowsIn Love
on 30 January 2020 - 02:04 #1145764 Reply to:1145761
McKay's picture

state การบริหารของประเทศเราตอนนี้เป็นแบบ top-down management/autocratic โดยเกือบสมบูรณ์ครับ(ดูวุฒิภาวะของนายกรัฐมนตรีได้และรัฐมนตรีต่างๆได้) ดังนั้นการจะทำ bottom-up แบบที่คุณบอกนั้นเป็นไปไม่ได้ยกเว้น จะแก้รัฐธรรมนูญให้ไม่มีการสืบทอดอำนาจ เพื่อให้ผู้ที่มาเป็นรัฐบาลรับฟังความต้องการ/ปัญหาของประชนหรืออย่างน้อยก็รับฟังฝ่ายค้านบ้างครับ ยกตัวอย่าง เรื่อง PM2.5 , อู่ฮั่น

อันนี้ต้องถามกลับว่า ถ้านั่งสืบทอดอำนาจเป็นรัฐบาลไปเรื่อยๆแต่บริหารอะไรไม่เป็น มองความต้องการ มองปัญหาไม่ออก แก้ปัญหาไม่ได้/ไม่ตรงจุด ได้แต่แถว่าไม่มีปัญหาๆ เอาอยู่ เราจะมีรัฐบาลไปทำไมครับ?

อ้อ เรื่องเดียวที่เร่งด่วนของรัฐบาลน่าจะเป็นเรื่องความมั่นคงนะครับ งานดีเชียว

Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)

By: trustme on 28 January 2020 - 19:06 #1145572

ตรวจสอบความถูกต้องของ software ก็เท่ากับว่า ห้าม flash custom ROM อีกต่อไปหรือไม่ครับ

By: lew
Founder Jusci's WriterMEconomics Android
on 28 January 2020 - 21:51 #1145584 Reply to:1145572
lew's picture

ไม่จำเป็นครับ ตามข้อความ

Provision 4.7-2 If an unauthorized change is detected to the software, the device should alert the consumer and/or administrator to an issue and should not connect to wider networks than those necessary to perform the alerting function.

The ability to remotely recover from these situations can rely on a known good state, such as locally storing a known good version to enable safe recovery and updating of the device. This will avoid denial of service and costly recalls ormaintenance visits, whilst managing the risk of potential takeover of the device by an attacker subverting update or other network communications mechanisms.

If an IoT device detects something unusual has happened with its software, it will be able to inform the right person. In some cases, devices can have the ability to be in administration mode - for example, there can be a user mode for a thermostat in a room that prevents other settings being changed. In these cases, an alert to the administrator is appropriate as that person has the ability to act on the alert.

บอกแค่ว่าต้อง "แจ้งเตือน" เท่านั้น และให้ผู้ใช้ตัดสินใจต่อ

ถ้าเทียบคงเทียบได้กับ Chromebook ที่เวลาเข้า Developer Mode แล้วจะเตือนทุกครั้งที่บูต หากต้องการใช้งานในโหมด Developer จริงๆ ก็ลำบากขึ้นพอสมควร แต่ใช้งานได้

lewcpe.com , @wasonliw

By: langisser
In Love
on 28 January 2020 - 23:28 #1145599

บางเจ้า รหัสผ่านไม่เหมือนกันแต่มีสูตรตายตัว เช่น 4 หลักท้ายของ mac

By: lew
Founder Jusci's WriterMEconomics Android
on 29 January 2020 - 01:04 #1145602 Reply to:1145599
lew's picture

ซึ่งก็ลดความเสี่ยงการ brute force จากอินเทอร์เน็ตไปได้มหาศาลแล้วนะครับ

บางรุ่นผมเห็นใช้ 6 ตัวสุดท้ายของ mac แค่นั้นก็ 24 บิตแล้ว (16 ล้านกรณี) การยิงทุกเครืองสร้าง botnet นี่ทำได้ยากขึ้นมากแน่ๆ ยิงตัวเดียวอาจจะใช้เวลาหลายวันแล้ว พร้อมกับ traffic แปลกประหลาดต่อเนื่องเป็นเวลานาน ถ้า ISP มีระบบ monitor ดีๆ ก็แทบไม่จะ brute force ไม่ได้เลย

lewcpe.com , @wasonliw