PSTI: WIRD ES DIE IOT-SICHERHEIT VERBESSERN?

The new Produktsicherheit und Telekommunikationsinfrastruktur (PSTI) Gesetzentwurf, der derzeit durch das Parlament geht, besteht aus zwei Teilen. Das erste zielt darauf ab, Sicherheitsvorkehrungen zu treffen, um das sichere Design des Internets der Dinge (IoT) zu regulieren, während das zweite sicherstellen wird, dass Breitband- und 5G-Netzwerke Gigabit-Qualität haben. Es ist der erste Teil, der für Aufsehen gesorgt hat, weil er zum ersten Mal die Einführung einer durchsetzbaren Regulierung sehen wird.

Die Vorschriften gelten für Verbraucherprodukte wie Smartphones, vernetzte Kameras, Fernseher und Lautsprecher, Fitnesstracker, Spielzeug, Haushaltsgeräte wie intelligente Waschmaschinen und Kühlschränke sowie Haushaltsgeräte wie Rauchmelder und Türschlösser, Hausautomation und Alarmsysteme Hersteller müssen:

  • Verwenden Sie keine Standardkennwörter
  • Haben Sie eine Richtlinie zur Offenlegung von Schwachstellen
  • Geben Sie offen an, wie lange das Produkt mit Sicherheitsupdates unterstützt wird

Doch während der Schritt zur Regulierung des IoT als längst überfällig gilt, wurde das PSTI dafür kritisiert, nicht weit genug zu gehen, insbesondere angesichts der Anzahl gut dokumentierter Sicherheitslücken, die intelligente Technologien aufweisen.

WARUM IST DAS IOT SO UNSICHER?

Die Hauptursache für die meisten Probleme, die Consumer-Hardware geplagt haben, ist, dass Hersteller kostenorientiert sind und darauf abzielen, schnell auf den Markt zu kommen, und in vielen Fällen führte dies zu Abkürzungen oder einem völligen Mangel an Informationssicherheit während des Designprozesses. Dies hat zu häufigen Sicherheitsschwächen geführt, die in ausgereifteren Software- und Hardwareprodukten längst behoben wurden, wie z. B. Standard-Benutzernamen und -Kennwörter oder einfache Kennwortumgehungen, schwache Verschlüsselung (Hashes) für die Kennwortspeicherung und eine fehlende Verschlüsselung für die Datenübertragung über offene Netzwerke für Verwaltungszwecke Datenverkehr, der im IoT weit verbreitet ist.

Darüber hinaus hat der Sektor unter anderen Problemen gelitten. wie mangelnde Sicherheit rund um die Firmware-Aktualisierungsprozesse (z. B. fehlende Signierung) und auch Hardware-Schnittstellenrisiken, die einen direkten Zugriff auf Low-Level-Funktionen des Geräts oder seiner Komponenten (z. B. Speicher) ermöglichen. Und obwohl gehofft wurde, der Sektor würde sich selbst regulieren, scheint dies nicht geschehen zu sein, denn ein Bericht der Internet of Things Security Foundation aus dem Jahr 2020 ergab, dass nur 1 von 5 Herstellern einen Offenlegungsprozess hatte, was bedeutet, dass die Mehrheit dies nicht konnte auf eine Sicherheitslücke aufmerksam gemacht werden.

WO FÄLLT DER PSTI ZU KURZ?

Der Gesetzentwurf befasst sich derzeit mit den wichtigsten und am leichtesten auszunutzenden Schwachstellen in IoT-Geräten: der Verwendung von Standardkennwörtern, jedoch wurden viele andere häufige Sicherheitsschwächen in diesem Stadium nicht behandelt. Allerdings ist die Verwendung von Standardkennwörtern bei weitem die häufigste Methode, mit der ein IoT-Gerät kompromittiert wird, und es ist ein wichtiger erster Schritt zur Verbesserung der Sicherheit dieser Produkte.

Wenn Sie sich auf die Standardeinstellungen konzentrieren, können Sie auch leicht feststellen, ob der Hersteller gegen das Gesetz verstößt, während andere Maßnahmen (z. B. die Gewährleistung eines strengen Codeüberprüfungsprozesses zur Identifizierung von Umgehungen der Zugriffskontrolle oder Schwachstellen bei der Eingabevalidierung) nicht so einfach festzustellen sind.

Der Gesetzentwurf schreibt auch keinen Mindestsupportzeitraum für Sicherheitsupdates für Verbraucher vor, sodass Hersteller weiterhin Produkte veröffentlichen können, ohne sich zur Unterstützung zu verpflichten, und diese Entscheidung den Verbrauchern überlassen, die die Risiken möglicherweise nicht unbedingt verstehen.

Es ist vielleicht verständlich, dass es nicht rückwirkend bereitgestellt wird und daher nicht für die Armee von Geräten gilt, die derzeit auf dem Markt sind, und obwohl die Hersteller einen Offenlegungskanal haben müssen, gibt es keine Bedenken oder Zeitrahmen für sie, ihre Benutzer über gemeldete Schwachstellen zu informieren. Auch das Patch-Management steht nicht im Fokus: Benutzer finden es oft schwierig, dieses zu implementieren, sodass ein Schritt in Richtung Over-the-Air- oder automatisiertes Patchen willkommen gewesen wäre.

Wie oben erwähnt, gibt es viele andere Schwachstellen, die zum Ausnutzen von IoT-Geräten verwendet werden können, darunter das Unterbrechen des Verwaltungsdatenverkehrs, das Identifizieren und Ausnutzen von Fehlern in Web- oder Dateiübertragungsdiensten, die auf dem Gerät ausgeführt werden, das Verursachen von Denial-of-Service, das Eingreifen in den Aktualisierungsprozess und die Bereitstellung Rogue-Firmware oder Ausnutzung der Geräte mit physischem Zugriff.

ALSO IST DAS PSTI ZU WENIG ZU SPÄT?

Das PSTI schlängelt sich immer noch durch das Parlament und wird voraussichtlich nicht vor 2023 in Kraft treten, aber dann markiert es einen wichtigen ersten Schritt in der Regulierung einer Branche, die zuvor als schnell und locker angesehen wurde. Es wird Anbieter von IoT-Produkten auf der ganzen Welt zwingen, die mit ihren Verbrauchergeräten verbundene Sicherheit zu berücksichtigen, und wird eine Basislinie für den Schutz von Geräten bieten, die in Großbritannien an die Öffentlichkeit verkauft werden. Und es werden erstmals auch säumige Anbieter zur Rechenschaft gezogen, wenn sie sich nicht an die Artikel dieses Gesetzes halten.

Es ist wichtig, sich daran zu erinnern, dass der Gesetzentwurf zwar nicht so viele der erhofften Sicherheitsprobleme abdeckt, aber die Schwachstelle mit der höchsten Wahrscheinlichkeit und den höchsten Auswirkungen einer Ausnutzung abdeckt. Andere wichtige Anforderungen wie die Sicherstellung einer Richtlinie zur Offenlegung von Schwachstellen und die Gewährleistung einer transparenten Beratung zum Zeitpunkt der Veröffentlichung von Sicherheitsupdates sind ebenfalls willkommene Maßnahmen und unterstützen die Verbesserung der Produktsicherheit im Laufe der Zeit.

Zu wissen, wie lange ein Produkt unterstützt wird, hilft den Verbrauchern, eine fundierte Entscheidung zu treffen, und wird wahrscheinlich von Verbraucherunterstützungsorganisationen wie which? Angebote zu differenzieren. In vielerlei Hinsicht setzt es Maßstäbe, an denen Anbieter gemessen werden können, und könnte zur Entstehung von Kitemarks für Verbraucher führen, sodass Sicherheit nicht zu versunkenen Kosten, sondern zu einem Differenzierungsfaktor wird, den Hersteller nutzen können, um den Umsatz anzukurbeln.

IoT-Geräte wirken sich natürlich auch auf die Unternehmensumgebung aus, entweder weil Benutzer versuchen, diese im Netzwerk zu verwenden, oder weil sie als potenzielle Kanäle für Angriffe wie Ransomware oder die groß angelegten DDoS-Angriffe fungieren, die wir vom Mirai-Botnet durchgeführt haben Tausende von IoT-Geräten versklavt. Folglich wird das PSTI auch Unternehmen betreffen und je nach Entwicklung der Verordnung sogar direkte Auswirkungen auf die Arbeitsbelastung der Sicherheitsteams haben, insbesondere wenn es darum geht, das Patch-Management in Zukunft anzugehen.

Phil Robinson

Phil Robinson ist seit über 25 Jahren in der Informationssicherheit tätig und ist der Gründer von Prism Infosec, das hochmoderne Penetrationstests, Red Teaming und Sicherheitsberatungsdienste für Cloud- und traditionelle On-Prem-Architekturen und Unternehmensanwendungen anbietet. Phil war maßgeblich an der Entwicklung zahlreicher Standards und Zertifizierungen für Penetrationstests beteiligt. Er war an der ursprünglichen Gründung des Council for Registered Ethical Security Testers (CREST) ​​beteiligt, leitete den Verwaltungsausschuss des Tiger-Programms und etablierte wichtige Rollen als CESG Certified Professional (CCP) im Auftrag der British Computer Society (BCS). trug auch zum Open Source Testing and Security Manual (OSSTMM) bei. Als assoziiertes Mitglied der IVSS, (ISC)2 CISSP, ISACA CISA und CHECK-Teamleiter hat Phil als CLAS-Berater / Senior CCP-Sicherheits- und Informationsrisikoberater gearbeitet und in dieser Funktion Cybersicherheitsratschläge und -anleitungen für HMG-Abteilungen bereitgestellt und Agenturen. Er spricht regelmäßig über Penetrationstests und E-Kriminalität, um das Bewusstsein für Cybersicherheit und Best Practices der Branche zu fördern.

WAICF – Tauchen Sie ein in die KI und besuchen Sie eines der ...

Delia Salinas • 10. März 2022

Cannes veranstaltet jedes Jahr eine internationale Technologieveranstaltung namens World Artificial Intelligence Cannes Festival, besser bekannt unter dem Akronym WAICF. Eine der luxuriösesten Städte der Welt, an der französischen Riviera gelegen und Gastgeber der jährlichen Filmfestspiele von Cannes, der Midem und des Cannes Lions International Festival of Creativity. 

Die Evolution von VR und AR

Amber Donovan-Stevens • 28. Oktober 2021

Wir sehen uns an, wie sich die Extended-Reality-Technologien VR und AR vom reinen Gaming zu einer langsamen Integration in andere Aspekte unseres Lebens entwickelt haben.