Με έναν νέο νόμο που ψηφίστηκε στην Καλιφόρνια, θα απαγορεύεται σε κατασκευαστές IoT συσκευών, να πουλάνε τις συσκευές τους με προεπιλεγμένα passwords, αλλά οι ειδικοί θέλουν και κάτι παραπάνω. Ο νέος αυτός νόμος θα ισχύσει από τον Ιανουάριο του 2020, και έχει ως στόχο την μεγαλύτερη ασφάλεια των IoT συσκευών, αποτρέποντας επιθέσεις σαν αυτές που έγιναν τα τελευταία χρονιά, όπως είναι το Mirai botnet.
Ο νόμος προορίζεται για τους κατασκευαστές συσκευών που μπορούν με οποιονδήποτε τρόπο να έχουν πρόσβαση στο internet, ή έχουν δυνατότητες Bluetooth, και θα αναγκάζει τους κατασκευαστές να έχουν διαφορετικό προεπιλεγμένο κωδικό για κάθε συσκευή που πουλάνε, ή θα ζητάνε από τον χρήστη να αλλάξει τον κωδικό της συσκευής την πρώτη φορά που την ενεργοποιεί. Με αυτόν τον τρόπο δεν θα είναι δυνατή η παραβίαση όλων των συσκευών που θα χρησιμοποιούν το ίδιο password.
Η τεχνική αυτή πρωτοεμφανίστηκε το 2016 με το botnet Mirai, αλλά από τότε έχουν κυκλοφορήσει πολλές παραλλαγές, και η πιο πρόσφατη εντοπίστηκε την περασμένη εβδομάδα, με όνομα “Torii”.
Οι ειδικοί όμως πιστεύουν ότι αυτό δεν είναι αρκετό. “Ενώ αυτή η αλλαγή μπορεί να σώσει αρκετές συσκευές, δεν προστατεύει τους χρήστες από άλλες ευπάθειες, όπως είναι ένα SQL injection ή phishing attacks. Ακόμα και αν ο χρήστης χρησιμοποιεί ένα strong password, κακόβουλοι hackers μπορούν και πάλι να παραβιάσουν την συσκευή. Στην περίπτωση που ο χρήστης χρησιμοποιεί τους ίδιους περίπλοκους κωδικούς σε όλες του τις συσκευές και online υπηρεσίες, τώρα θα έχει να ανησυχεί για ένα ακόμα τρωτό σημείο.
Τέλος, ερευνητές ασφαλείας προτείνουν να τροποποιηθεί ο νόμος, και να διαμορφωθεί κατάλληλα ώστε οι κατασκευαστές να είναι υποχρεωμένοι να παρέχουν patches και security fixes για τις συσκευές τους για κάποιο χρονικό διάστημα.
