研究人员敦促IOT安全立法 Xen Hypervisor面向第三个高度关键的VM逃生错误10个月 为什么AT&T的5G演变不是真的5G 微软:过去的补丁地址泄露了NSA漏洞利用 来自新兴科技的首席执行官速率生产力“非常低” Gov.uk验证的麻烦传奇 CityFibre背带泵2.5亿英镑进入全纤维宽带 如何观看今晚的Nintendo Direct 我们正在玩《战锤40,000》:Twitch上的“太空狼”在BST下午5点/ PDT上午9点 神奇宝贝:让我们去省钱会在Smash Bros.Ultimate中为您带来巨大的收益 《动物穿越》中所有海洋生物的完整列表:新视野[更新] 本周热门Nintendo Switch和3DS游戏-(12月7日) 3款适用于Super Smash Bros.Ultimate的新GameCube控制器可以预订 形状移位机器人可能是行星勘探的关键 机器人为荷兰邮政服务提供节省 Quantumum Coctptocte一项重大挑战,专家 中小企业使用金融气对抗在线巨人,但担心仍然存在 每周包装:三星希望将页面与Galaxy S8转动 IBM和Red Hat Mega-Merger:谁能受益最多? DHS的ICS-Cert警告Brickerbot:IOT Malware将拨打易位设备 kimble推出a.i.-启用的psa - 流行语或创新? 政府尚未招聘首席数据官 Linux基金会为构建区块链商业网络开发工具 Elon Musk的下一个冒险可以用电脑链接人体大脑 面试:米奇斯泰纳,董事总经理,Innogy Innovation Hub以色列 十大东盟故事2018年 修补程序将基于英特尔的PC与Enterprise Bug推出下周 报告发现,威尔士NHS IT计划是“过时”,并将患者放在风险上,发现 McAfee研究人员发现“重要”间谍活动 在《最终幻想水晶编年史》中需要朋友吗?在这里分享您的密码并免费玩完整版游戏! BAFTA得主Spectrum Retreat下周来到Switch 神奇宝贝口袋妖怪:皮卡丘,走吧!伊芙,走吧! 完整的行尸走肉系列即将登陆Nintendo Switch Simogo令人惊叹的Sayonara Wild Hearts赛车明年将转向 McAfee研究人员发现“重要”间谍活动 Facebook启动了捕获360视频内部VR内部的工具 148个应用汇总Sisyphos,Best Fiends等 动物穿越每天要做的10件事:新视野 迪迪·孔将于今年9月加入马里奥网球王牌 2020年8月的6大最佳Switch游戏 官方《刺猬索尼克》原声带背后的编码器发布了《 Sonic 3&Knuckles》概念验证 这项免费的Overcooked 2内容更新可为假期加油 吸血鬼来到Nintendo Switch时可以杀死骗子并抽血 如何拆开Switch底座并构建一个较小的底座 十月动物穿越中的所有新近和现存的鱼类,虫子和海洋生物:新视野 新的《口袋妖怪盾牌和剑》详细信息包括加拉利形式和对手 Oceanhorn 2完整演练第5部分-所有功率范围,地下Prita信标,Firebird老板解决方案 关键Xen虚拟机管理程序漏洞危及虚拟化环境 Micron今年晚些时候发货英特尔Optane竞争对手 为什么亚波柱管理员和邮局在高等法院争取它
您的位置:首页 >数据库 >

研究人员敦促IOT安全立法

根据笔在线测试合作伙伴的安全研究员Ken Munro的说法,大多数供应商都在他们的智能产品中通知其智能产品中的安全和隐私问题,并没有任何努力,这是笔在线测试合作伙伴的高级伙伴,专门从事事物互联网(IOT)设备的安全性。

“我已经花了过去五年的炫耀智能产品制造商,并试图影响行为,使产品更安全,但是,我已经失败了,因为智能设备的安全性实际上变得更糟,”他告诉EEMA在布鲁塞尔的ISSE 2018网络安全会议。

Munro和他的同事在包括三星智能电视,包括三菱外地车辆,Cayla互动娃娃,ikettle和Theswann家庭安全摄像头的门锁,包括三星智能电视,门锁,包括Samsung Smart TV。

虽然一些较大的品牌,如魔戒现在拥有的戒指和迪斯尼许可的BB-8玩具制造商Sphero,但是Munro表示,Munro表示,大多数供应商都是第三次购买的初创公司或更大的品牌购买-Party产品。

“这些组织通常没有资源,它从未达到过雷达做安全 - 这就是为什么我认为我们需要有一些大棍子来确保制造商处于一些非常基本的安全性,”他说。

当发现安全漏洞时,笔测试合作伙伴遵循负责任披露的政策,给制造商提供有机会在与调查结果公开之前修复它。

“我对几乎每一个物联网供应商的经验我们曾披露过 - 我们在过去的四年里每周做两到三个披露 - 这是他们只是忽略了我们,没有任何事情发生,他们继续销售产品,利于他们的产品让人们脆弱,“Munro说。

虽然IOT通常在消费产品方面被认为,但他指出,一些物联网系统被广泛用于商业环境中,例如控制加热,冷却,门锁和火警的建筑管理系统。

“企业介绍他们在其环境中的IOT设备非常重要。IT和服务之间的差距通常会为技术造成问题的机会,因此有一些关键问题企业需要询问供应商,零售商,硬件制造商,以便您知道您是否正在购买良好的产品或充满安全漏洞的产品。“

Munro表示,他能够在线购买企业管理系统的控制器,并能够找到漏洞,可以利用嵌入式服务器的密码,使攻击者能够完全控制建筑物管理系统。

“根据Shodan的说法,互联网上的嵌入式设备的搜索引擎,数百个这些控制器已被第三方安装程序投入组织,并直接在互联网上进行远程访问和控制,这意味着攻击者可以做像解锁一样的事情他说,门并掀起了火灾警报,以强迫建筑物疏散。“

Munro甚至发现,一些设备已被感染了Cryto-Mining Malware,以为网络犯罪分子生成加密货币。

最近,他说笔测试合作伙伴一直在努力第三方汽车警报。“到目前为止,我们认为,超过五万辆汽车可以定位,解锁和发动机开始并赶走,所以一般来说,物联网安全是一场火车残骸,”他说。

Munro表示,在发生的一些好事中,Munro表示,Cayla娃娃已被禁止在德国被禁止,因为该设备违反了电信隐私法,并受到几个消费者保护组织的行动。

“挪威消费者委员会有几个零售商禁止的娃娃,这表明你可以通过商业伤害他们的伤害供应商来表现,而英国的一些大型信誉额度零售商开始拒绝拒绝易受伤害的产品,而在美国,他们是他说,望着阻止美国政府和机构购买不安全的产品,“他说。

虽然这是一个很好的开始,但Munro说还有很长的路要走,他希望看到一些基本的监管。

到目前为止,英国迄今已停止监管,选举由2018年10月的设计自愿惯例(COP)的设计自愿守则(COP)发布安全,由数字,文化,媒体和体育(DCMS)和国家网络安全中心开发(NCSC)。

虽然缔约方会议的最终版本在主要不变的版本中,但已经修订,以确保遵守欧盟一般数据保护规例(GDPR)和英国新的GDPR-SengetData保护部门将来促进监管实施。

Munro表示,与COMPER表示,他对缔约方会议的初步草案感到不舒服,因为如果拒绝遵守指导方针,它就没有解决执法。

“然而,最终的实践准则表明,可以将诸如GDPR等现有立法如何抵御稳定稳定的智能产品。

“警察是一个伟大的开始,但还有更多的要做,”他说。“我希望在英国的IOT竞技场中看到新的主要立法,但这需要时间。让HOP指导与制造商一起睡觉也是合理的。如果他们没有开始改变行为,那就是规则的时间。“

Munro认为消费者返回易受培养的智能产品的权利将为制造商创造财务激励,以提高安全性,因为促进弱势群体的零售商将通过交易标准立法支持的零售商。他还希望看到制造商提供产品安全更新的产品的可预见的产品。

“我认为在产品中展示安全性实际上会推动销售,因为如果有人可以购买智能恒温器并知道它是安全的,那将增加市场销售,”Munro告诉ISSE与会者。

然而,拟议的欧洲网络安全法仅涵盖公司和医疗器械,包括关键的国家基础设施,但目前是消费者设备的自愿,他说。

“这是一个真正的耻辱,因为消费者设备与威胁一样多,因为我们已经显示了攻击者如何聚合智能恒温器并采取电网。我认为我们必须引入规定 - 我们别无选择。“

MUNRO表示,联邦政府目前经过参议院购买的联邦政府购买的IOT设备的BIPARTISAN账单是一个“明亮指南”,列出了七种基本要求,“甚至定义固件”。

“这很简单,我们可以从中学习这么多,”他说。“它会让我们说这就是我们想要的,然后我们可以开始建立下一层的认证和下一层法规 - 但是让我们先做基础。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。