导语:设备生产商需和行业协作制定漏洞协调和披露指南,允许研究员去发现产品漏洞并进行负责任披露,而不必担心“计算机欺诈和滥用法”(CFAA)和“数字千年版权法案”(DMCA)的指控。

美国参议院四位参议员Warner、Gardner、Wyden和Daines最近提交一项名为《物联网安全改进法案》(the Internet of Things Cybersecurity Improvement Act of 2017,简称IoT-CIA)的草拟法案,旨在加强物联网厂商对设备安全性的投入。

internet-of-things-iot-security-standards.png

这项法案不是针对所有物联网设备,只是适用于美国政府内部使用的设备,因此不大可能会有大的反对意见,通过立法几率很大。而通过之后,由于行业自身没有标准,它也可以成为既定事实的监督标准。

《物联网安全改进法案》的具体内容包括:

设备不能有硬编码密码,已知漏洞均已修复,软件更新有验证环节,使用标准协议,支持安装安全补丁。
设备生产商需和行业协作制定漏洞协调和披露指南,允许研究员去发现产品漏洞并进行负责任披露,而不必担心“计算机欺诈和滥用法”(CFAA)和“数字千年版权法案”(DMCA)的指控。设备生产商接收漏洞后必须及时修复或更换设备。
设备生产商发现或知晓漏洞后,必须向采购机构披露,给出漏洞存在原因、影响和修复方案。根据提供信息,采购机构CIO可以放弃采购设备。
……

硬编码密码和已知未修复漏洞是当前物联网设备面临的最大安全问题,也是最容易解决的问题。解决硬编码密码问题,只需改变默认密码创建规则,为每台设备生成一个密码印于标签之上。生产带已知漏洞的设备无疑是荒谬的,制造商应加强安全生产流程。

其次是要求对更新进行验证,以及支持安装安全补丁。一旦出货的设备出现漏洞,制造商可以有能力去修补。这对制造商来说是一种负担,但如果没有,设备安装后出现漏洞就立刻要过时废弃了。

CFAA、DMCA条款的豁免,则是为安全研究人员开了特例。它意味着研究人员对政府采购设备的负责任研究行为,不适用常规民事、刑事处罚,也就是说免受指控。当然,如果把范围扩大到所有物联网设备就更好了。

目前这项法案还不是很完善,比如没怎么提云端安全、数据安全。但总体而言,它还是一个很大的进步,至少我们很快会有一个规范了。

源链接

Hacking more

...