Tags:
Node Thumbnail

รัฐบาลสหราชอาณาจักรเตรียมผลักดันกฎหมายควบคุมความมั่นคงปลอดภัยอุปกรณ์ IoT โดยผลักดันมาตรฐานอุตสาหกรรม ETSI TS 103 645 ให้มีสภาพบังคับ แต่ยังอาศัยกระบวนการรับรองตัวเอง (self assess)

ETSI TS 103 645 ระบุมาตรการรักษาความปลอดภัย ให้อุปกรณ์ทุกตัวไม่ใช้รหัสผ่านตรงกันแม้จะรีเซ็ตเครื่องแล้ว ส่วนผู้ผลิตเองก็ต้องมีจุดรับแจ้งปัญหาความมั่นคงปลอดภัยอย่างชัดเจน, มีกระบวนการอัพเดตและแก้ไขที่รวดเร็ว, ประกาศระยะเวลาซัพพอร์ตสินค้าอย่างชัดเจน, ห้ามใช้รหัสผ่านแบบฮาร์ดโค้ดไว้ในเครื่อง, เชื่อมต่อเซิร์ฟเวอร์โดยเข้ารหัส, ตรวจสอบความถูกต้องของซอฟต์แวร์, และยังต้องออกแบบให้ระบบทนทานเมื่อเข้าถึงเซิร์ฟเวอร์ไม่ได้

ก่อนหน้านี้สหราชอาณาจักรมีแนวปฎิบัติเพื่อการรักษาความมั่นคงปลอดภัยอุปกรณ์ IoT (Code of Practice for Consumer IoT Security) ที่เป็นคำแนะนำผู้ผลิตโดยไม่มีสภาพบังคับ แต่เนื้อหาโดยรวมคล้ายกับมาตรฐาน ETSI TS 103 645

รัฐแคลิฟอร์เนียร์เคยผ่านกฎหมายคล้ายกันในปี 2018 และเพิ่งมีผลบังคับใช้เมื่อต้นปีที่ผ่านมา

ที่มา - ThreatPost

No Description

Get latest news from Blognone

Comments

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 28 January 2020 - 14:11 #1145544

เป็นผู้บริโภคในยุโรปนี่มันดีจริงๆ

By: crucifier
iPhoneAndroidUbuntu
on 28 January 2020 - 19:42 #1145576 Reply to:1145544

อยากย้ายไปเยอรมัน

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 29 January 2020 - 06:21 #1145609 Reply to:1145576

ไม่เกี่ยวแล้ว 1

By: hail_to_the_thief
iPhone
on 30 January 2020 - 00:46 #1145761 Reply to:1145544

ไม่ต้องมาหรอกครับ ยุโรปก็มีปัญหาของตัวเอง ไม่ได้ดีเลิศประเสริฐศรีไปทุกอย่างแบบที่คนไทยบางคนเชื่อ
แนะนำให้ทำตามระบบดีกว่า อยากได้กฎหมายอะไร ก็บอกผ่าน สส ที่คุณเลือก ให้เค้าไปเสนอในสภาฯ ดีกว่ามาบ่นในเน็ตครับ (จะบ่นก็ได้ ไม่ได้ว่านะครับ) ถ้า สส คุณเค้าใส่ใจประชาชนจริงแบบที่คุณเชื่ออะนะ ไม่ใช่คิดแต่เรื่องจะแก้ หรือ ไม่แก้ รธน.

By: McKay
ContributorAndroidWindowsIn Love
on 30 January 2020 - 02:04 #1145764 Reply to:1145761
McKay's picture

state การบริหารของประเทศเราตอนนี้เป็นแบบ top-down management/autocratic โดยเกือบสมบูรณ์ครับ(ดูวุฒิภาวะของนายกรัฐมนตรีได้และรัฐมนตรีต่างๆได้) ดังนั้นการจะทำ bottom-up แบบที่คุณบอกนั้นเป็นไปไม่ได้ยกเว้นจะแก้รัฐธรรมนูญให้ไม่มีการสืบทอดอำนาจ เพื่อให้ผู้ที่มาเป็นรัฐบาลรับฟังความต้องการ/ปัญหาของประชนหรืออย่างน้อยก็รับฟังฝ่ายค้านบ้างครับ ยกตัวอย่าง เรื่อง PM2.5, อู่ฮั่น

อันนี้ต้องถามกลับว่า ถ้านั่งสืบทอดอำนาจเป็นรัฐบาลไปเรื่อยๆแต่บริหารอะไรไม่เป็น มองความต้องการ มองปัญหาไม่ออก แก้ปัญหาไม่ได้/ไม่ตรงจุด ได้แต่แถว่าไม่มีปัญหาๆ เอาอยู่ เราจะมีรัฐบาลไปทำไมครับ?

อ้อ เรื่องเดียวที่เร่งด่วนของรัฐบาลน่าจะเป็นเรื่องความมั่นคงนะครับ งานดีเชียว


In Soviet Warcraft, Argus comes to you.

By: trustme on 28 January 2020 - 19:06 #1145572

ตรวจสอบความถูกต้องของ software ก็เท่ากับว่า ห้าม flash custom ROM อีกต่อไปหรือไม่ครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 28 January 2020 - 21:51 #1145584 Reply to:1145572
lew's picture

ไม่จำเป็นครับ ตามข้อความ

Provision 4.7-2 If an unauthorized change is detected to the software, the device should alert the consumer and/or administrator to an issue and should not connect to wider networks than those necessary to perform the alerting function.

The ability to remotely recover from these situations can rely on a known good state, such as locally storing a known good version to enable safe recovery and updating of the device. This will avoid denial of service and costly recalls or
maintenance visits, whilst managing the risk of potential takeover of the device by an attacker subverting update or other network communications mechanisms.

If an IoT device detects something unusual has happened with its software, it will be able to inform the right person. In some cases, devices can have the ability to be in administration mode - for example, there can be a user mode for a thermostat in a room that prevents other settings being changed. In these cases, an alert to the administrator is appropriate as that person has the ability to act on the alert.

บอกแค่ว่าต้อง "แจ้งเตือน" เท่านั้น และให้ผู้ใช้ตัดสินใจต่อ

ถ้าเทียบคงเทียบได้กับ Chromebook ที่เวลาเข้า Developer Mode แล้วจะเตือนทุกครั้งที่บูต หากต้องการใช้งานในโหมด Developer จริงๆ ก็ลำบากขึ้นพอสมควร แต่ใช้งานได้


lewcpe.com, @public_lewcpe

By: langisser
In Love
on 28 January 2020 - 23:28 #1145599

บางเจ้า รหัสผ่านไม่เหมือนกันแต่มีสูตรตายตัว เช่น 4 หลักท้ายของ mac

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 January 2020 - 01:04 #1145602 Reply to:1145599
lew's picture

ซึ่งก็ลดความเสี่ยงการ brute force จากอินเทอร์เน็ตไปได้มหาศาลแล้วนะครับ

บางรุ่นผมเห็นใช้ 6 ตัวสุดท้ายของ mac แค่นั้นก็ 24 บิตแล้ว (16 ล้านกรณี) การยิงทุกเครืองสร้าง botnet นี่ทำได้ยากขึ้นมากแน่ๆ ยิงตัวเดียวอาจจะใช้เวลาหลายวันแล้ว พร้อมกับ traffic แปลกประหลาดต่อเนื่องเป็นเวลานาน ถ้า ISP มีระบบ monitor ดีๆ ก็แทบไม่จะ brute force ไม่ได้เลย


lewcpe.com, @public_lewcpe