Nacionalni centar za cyber sigurnost Ujedinjenog Kraljevstva (NCSC) poziva proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabranjuje korištenje zadanih lozinki, koji stupa na snagu 29. aprila 2024. godine.
“Zakon, poznat kao Zakon o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi (ili zakon o PSTI), pomoći će potrošačima da odaberu pametne uređaje koji su dizajnirani da pružaju stalnu zaštitu od cyber napada”, rekao je NCSC .
U tom cilju, proizvođači su dužni da ne isporučuju uređaje koji koriste pretpostavljene podrazumijevane lozinke, da obezbjede kontakt za prijavu bezbjedonosnih problema i navedu vrijeme za koje se očekuje da njihovi uređaji dobiju važna bezbjedonosna ažuriranja.
Podrazumijevane lozinke ne samo da se mogu lako pronaći na mreži, one takođe djeluju kao vektor za hakere da se prijave na uređaje radi naknadne eksploatacije. Međutim, zakonom je dozvoljena jedinstvena zadana lozinka.
Zakon, koji ima za cilj da provede skup minimalnih sigurnosnih standarda u cijelosti i spriječi da ranjivi uređaji budu spojeni u DDoS botnet kao što je Mirai , primjenjuje se na sljedeće proizvode koji se mogu povezati na internet:
- Pametni zvučnici, pametni televizori i uređaji za striming
- Pametna zvona za vrata, bebi monitori i sigurnosne kamere
- Mobilni tableti, pametni telefoni i konzole za igrice
- Nosivi fitnes trackeri (uključujući pametne satove)
- Pametni kućni aparati (kao što su sijalice, utičnice, kuvalo za vodu, termostati, rerne, frižideri, sredstva za čišćenje i mašine za pranje veša)
Kompanije koje se ne pridržavaju pravila Zakona o PSTI podložne su opozivu i novčanim kaznama, privlačeći kazne do 10 miliona funti (12,5 miliona dolara) ili 4% njihovih globalnih godišnjih prihoda, u zavisnosti od toga šta je veće.
Ovaj razvoj čini UK prvom zemljom na svijetu koja je zabranila zadana korisnička imena i lozinke za IoT uređaje. Prema Cloudflare izvještaju o DDoS prijetnjama za prvi kvartal 2024., napadi bazirani na Miraiu i dalje prevladavaju uprkos tome što je originalni botnet uklonjen 2016.
“Četiri od svakih 100 HTTP DDoS napada i dva od svakih 100 L3/4 DDoS napada pokrenuti su botnetom u varijanti Mirai”, rekli su Omer Yoachimik i Jorge Pacheco . “Izvorni kod Miraija su javno objavljeni, a tokom godina bilo je mnogo permutacija originala.”
Takođe slijedi kaznu od 196 miliona dolara koju je izdala Američka Federalna komisija za komunikacije (FCC) protiv telekom operatera AT&T (57 miliona dolara), Sprint (12 miliona dolara), T-Mobile (80 miliona dolara) i Verizon (47 miliona dolara) zbog ilegalnog dijeljenja korisnika ‘ podatke o lokaciji u stvarnom vremenu bez njihovog pristanka agregatorima, koji su potom te informacije prodavali provajderima usluga baziranih na lokaciji trećih strana.
Izvor:The Hacker News
