美国加州首个“物联网安全法案”已经被放到了州长办公桌上等待签字,但其本身遭到了安全研究人员的大量批评。专家指出,该法案明显是基于对此类问题的肤浅理解。该法案(SB-327)于2017年2月推出,比向美国参议院提出的《物联网网络安全改进法案》还要早半年。虽然后者已经蒙尘,但加州仍在积极推进,并于8月28-29日两天通过了州会和议院的批准。
如果没有公众或私营企业对其表示强烈反对,那在州长签署通过后,新法案将于2020年1月1日起生效。该法案主要规定了“连接设备的制造商们,应该为设备附上合理的安全功能”。
与大多数立法工作一样,该法案对于“合理安全性”的定义相当模糊,但在认证程序方面给出了详细说明。其写到——“若设备配备了局域网外的认证手段”,就必须满足两个标准之一:
(1)如果设备使用默认密码,则密码必须对每个设备是唯一的;
(2)当首次配置设备时,都必须提示用户设置自己的密码。
显然,法案为避免制造商对所有设备使用相同的默认凭证,而给出了硬性的规定。不过信息安全研究专家罗伯特˙格雷厄姆指出:
新法案的初衷是好的,但在当前的物联网市场下,它并不是特别有用、也无法解决困扰物联网设备的任何问题。
这是基于对‘增强安全功能’的误解,就像节食一样——人们要求你坚持多吃蔬菜,但无力解决你正在吃薯片的问题!
格雷厄姆在昨日的《法案分析》一文中写到:
节食的关键不是多吃,而是少吃一点,网络安全也是如此。其重点不在于增加‘安全特性’,而是移除‘不安全的功能’。
对物联网设备来说,这意味着在网络管理中删除侦听端口和跨站点/注入问题。
我们不希望在这些产品中增加防火墙和防病毒等任意功能,那样只会增加攻击面,是情况变得更加糟糕。
总而言之:“这项法律基于对问题明显肤浅的理解。它不会解决真正的威胁,反而会给消费者带来巨大的‘创新’成本”。
