8 oct. 2018

Nueva legislación de IoT prohíbe las contraseñas predeterminadas (California)

En un intento por hacer más difícil que los bots se apoderen de la gran cantidad de dispositivos conectados que se venden en California, los legisladores estatales aprobaron la ley SB-327.

El proyecto de ley se promulgará el 1 de enero de 2020 y se aplica a los fabricantes de dispositivos, ya sea que lo hagan ellos mismos o contraten a otra persona para que fabrique el dispositivo en su nombre.

Requiere que los fabricantes de dispositivos conectados a internet vendidos en California "equipen el dispositivo con características de seguridad razonables"...
  • Apropiado a su naturaleza y función;
  • Adecuado a la información que puede recopilar, contener o transmitir;
  • Diseñado para proteger el dispositivo y cualquier información que contenga del acceso, la destrucción, el uso, la modificación o la divulgación no autorizados.
El proyecto establece que "Si un dispositivo conectado está equipado con un medio de autenticación fuera de una red de área local, se considerará una característica de seguridad razonable (...) si se cumple alguno de los siguientes requisitos: la contraseña preprogramada debe ser única para cada dispositivo fabricado, o el dispositivo debe contener una función de seguridad que requiera que un usuario genere un nuevo medio de autenticación antes de que se otorgue el acceso al dispositivo por primera vez"

También dice que "las personas privadas no pueden iniciar una demanda civil si un fabricante no cumple con la ley. El Fiscal General, un abogado de la ciudad, un abogado del condado o un fiscal de distrito tendrán la autoridad exclusiva para hacer cumplir este título".

Antes, Ken Munro de Pen Test Partners había señalado que hay algunos buenos estándares que deben seguir los fabricantes de IoT si desean garantizar la seguridad, pero que todavía faltan normas y legislación adecuadas. De este proyecto opina que "la ley es imprecisa, pero creo que ees algo bueno, ya que el mercado de productos inteligentes para el consumidor abarca muchas categorías de productos. Sin embargo, requerirá muchas pruebas más". Señala la falta de definición de lo que constituye "seguridad apropiada" y el hecho de que un dispositivo puede estar "diseñado para proteger" porque a menudo el diseño no considera un hack inesperado.

Hemos tenido este problema en los productos de IoT durante años. Hay otros problemas: no hay nada que especifique que una contraseña preprogramada deba ser segura, solo que es única. Otro problema es sobre la aleatoriedad o las fuentes de entropía: [la legislación] habla sobre un nuevo medio de autenticación antes del acceso por primera vez, pero no establece que deba ser aleatorio o impredecible".

Tampoco hay discusión de retiro, reemplazo o alguna compensación. Además, ¿la ley se aplica retrospectivamente una vez implementada? Eso tampoco está claro, por lo que se podría incentivar a los proveedores para que llenen el canal minorista con un año o más de acciones para evitar la factura, agrega.

Este es un gran comienzo hacia la regulación de IoT, uno de los primeros que se han visto. Pero es solo un comienzo.

Kieren McCarthy de The Register también observó que la ley no cumple con otra medida de seguridad que es vital para mejorar la seguridad a largo plazo de los dispositivos de IoT: deben poder actualizarse para mantenerse al tanto del descubrimiento de vulnerabilidades, y esta acción debe ser fácil de realizar para los usuarios.

Fuente: HelpNetSecurity

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!