Σε μια προσπάθεια να αποτρέψει άλλη μια μαζική ηλεκτρονική επίθεση, όπως εκείνη που σχετιζόταν με το malware Mirai, η Μεγάλη Βρετανία γίνεται η πρώτη χώρα που απαγορεύει τους αδύναμους προεπιλεγμένους κωδικούς πρόσβασης στις IoT συσκευές.
Ο σχετικός νόμος, ο οποίος τέθηκε σε ισχύ τη Δευτέρα, απαγορεύει στους κατασκευαστές IoT συσκευών να θέτουν προεπιλεγμένους κωδικούς πρόσβασης όπως «admin» ή «12345» στις συσκευές τους, μια πρακτική που τις καθιστά εύκολη λεία για τους hackers.
Η ευπάθεια που στοχεύει ο νέος βρετανικός νόμος άνοιξε την πόρτα στο διαβόητο Mirai hack το 2016. Εκείνη την εποχή, μεγάλο μέρος των ανατολικών Ηνωμένων Πολιτειών και μέρος της Ευρώπης υπέστησαν σημαντική πτώση της ποιότητας του Διαδικτύου.
Εκτός από την απαγόρευση των αδύναμων προεπιλεγμένων κωδικών πρόσβασης, ο νόμος περί ασφάλειας προϊόντων και τηλεπικοινωνιακών υποδομών του 2022 επιβάλλει στους κατασκευαστές Internet of Things συσκευών να δημοσιεύουν τα στοιχεία επικοινωνίας τους, ώστε να είναι ευκολότερη η αναφορά σφαλμάτων και άλλων προβλημάτων.
Ο νόμος αναφέρει, επίσης, ότι οι κατασκευαστές συσκευών smart home πρέπει να είναι «ανοιχτοί» με τους χρήστες, σχετικά με το πότε θα γίνονται οι σχετικές ενημερώσεις ασφαλείας.
Οι κατασκευαστές που δεν ακολουθούν τους κανόνες θα μπορούσαν να υποστούν πρόστιμα έως και 10 εκατομμυρίων λιρών ή το 4% των παγκόσμιων εσόδων τους. Οι εταιρείες ενδέχεται, επίσης, να αναγκαστούν να ανακαλέσουν προϊόντα που δεν συμμορφώνονται με τον νέο νόμο.
Αν και πολλοί κατασκευαστές έξυπνων συσκευών έχουν ενισχύσει την ασφάλεια των κωδικών πρόσβασης με υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων και παρόμοια μέτρα, πολλά routers, κάμερες ασφαλείας και άλλες συσκευές IoT εξακολουθούν να αποστέλλονται με αδύναμους προεπιλεγμένους κωδικούς πρόσβασης, όπως «0000», «12343» ή «admin».
Αυτοί οι αδύναμοι κωδικοί διευκολύνουν τους χρήστες να αποκτήσουν αρχική πρόσβαση στις νέες συσκευές IoT. Το πρόβλημα, βέβαια, είναι ότι πάρα πολλοί χρήστες δεν μπαίνουν ποτέ στον κόπο να αλλάξουν τους κωδικούς πρόσβασης.
Στην περίπτωση της επίθεσης Mirai, ένα «αυτοαναπαραγόμενο» malware έκανε ping σε συσκευές IoT σε όλο το διαδίκτυο, αναζητώντας προϊόντα που προστατεύονταν μόνο με τον πιο αδύναμο από τους προεπιλεγμένους κωδικούς πρόσβασης.
Οι ένοχοι πίσω από το hack τελικά συνελήφθησαν, αλλά όσο οι κατασκευαστές IoT συνεχίζουν να κυκλοφορούν προϊόντα με αδύναμους προεπιλεγμένους κωδικούς πρόσβασης, η ευπάθεια που έκανε δυνατή την επίθεση Mirai θα παραμείνει απειλή.
Όπως σημειώνει το The Register, η ΕΕ εξετάζει νομοθεσία που περιλαμβάνει παρόμοιες διατάξεις με το νέο νόμο του Ηνωμένου Βασιλείου, αλλά προς το παρόν, οι ΗΠΑ δεν διαθέτουν τις δικές τους διατάξεις κατά των αδύναμων προεπιλεγμένων κωδικών πρόσβασης IoT.
Χρήστος Κοτσακάς – infocom.gr