美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复

最新推荐文章于 2024-06-05 16:39:16 发布
最新推荐文章于 2024-06-05 16:39:16 发布
阅读量144 收藏
点赞数
文章标签: 嵌入式
原文链接:https://yq.aliyun.com/articles/215335
版权
本文讲的是 美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复美国参议院四位参议员Warner、Gardner、Wyden和Daines最近提交一项名为《物联网安全改进法案》(the Internet of Things Cybersecurity Improvement Act of 2017,简称IoT-CIA)的草拟法案,旨在加强物联网厂商对设备安全性的投入。

美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复

这项法案不是针对所有物联网设备,只是适用于美国政府内部使用的设备,因此不大可能会有大的反对意见,通过立法几率很大。而通过之后,由于行业自身没有标准,它也可以成为既定事实的监督标准。

《物联网安全改进法案》的具体内容包括:

设备不能有硬编码密码,已知漏洞均已修复,软件更新有验证环节,使用标准协议,支持安装安全补丁。
设备生产商需和行业协作制定漏洞协调和披露指南,允许研究员去发现产品漏洞并进行负责任披露,而不必担心“计算机欺诈和滥用法”(CFAA)和“数字千年版权法案”(DMCA)的指控。设备生产商接收漏洞后必须及时修复或更换设备。
设备生产商发现或知晓漏洞后,必须向采购机构披露,给出漏洞存在原因、影响和修复方案。根据提供信息,采购机构CIO可以放弃采购设备。
……

硬编码密码和已知未修复漏洞是当前物联网设备面临的最大安全问题,也是最容易解决的问题。解决硬编码密码问题,只需改变默认密码创建规则,为每台设备生成一个密码印于标签之上。生产带已知漏洞的设备无疑是荒谬的,制造商应加强安全生产流程。

其次是要求对更新进行验证,以及支持安装安全补丁。一旦出货的设备出现漏洞,制造商可以有能力去修补。这对制造商来说是一种负担,但如果没有,设备安装后出现漏洞就立刻要过时废弃了。

CFAA、DMCA条款的豁免,则是为安全研究人员开了特例。它意味着研究人员对政府采购设备的负责任研究行为,不适用常规民事、刑事处罚,也就是说免受指控。当然,如果把范围扩大到所有物联网设备就更好了。

目前这项法案还不是很完善,比如没怎么提云端安全、数据安全。但总体而言,它还是一个很大的进步,至少我们很快会有一个规范了。




原文发布时间为:2017年8月3日
本文作者:星辰
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34203426
关注
物联网安全概述
悦分享
07-02 9423
什么是物联网?在你学习有关IPv6的时候,你的老师或许说过,有一天在你的房子每个设备都会有一个IP。物联网基本上就是处理每天的事务,并把它们连接到互联网上。一些常见的物联网设备:如灯光,窗帘,空调。也有像冰箱这样的不太常见的设备,甚至一个卫生间。物联网的定义是:“提出了互联网的发展,日常物品有网络连接,允许,发送和接收数据。”物联网体系结构,通常有这五个部分:物联网环境本身的控制传感器和执行器通常使用这些无线协议(还有更多的):每个协议都有其优缺点,也有很多的限制。当谈到选择哪种协议时,最大的问题是兼容性。
Centos7系统安全漏洞修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚化。 Docker swarm 是一个将docker集群变成单一虚的docker host工具,使用标准的Docker API,能够方便docker集.
新加坡《网络安全法》原文 Cybersecurity Act 2018.pdf
04-19
CSDN论坛有专业法律团队翻译好的中文资料,这是法条(英文),方便大家学习、参考、借鉴,相对于中国、日本、俄罗斯的法律,新加坡的法律更细致,更像是法规,不太像上位法。
硬编码密码仍是一项关键性安全缺陷
weixin_33985679的博客
07-04 839
从瞻博到Fortinet再到思科,众多企业的在售解决方案都包含着硬编码通行码,而这或将给企业客户带来严重的安全风险。 这项常见的开发者漏洞不仅广泛存在,而且在短时间内似乎也不太可能被彻底解决,Immunity公司威胁情报负责人Alex McGeorge指出。 遗憾的是,硬编码密码属于一项难以解决的内在问题,McGeorge指出。“目前还没有一种理想的解...
安全漏洞通告】Gitlab 硬编码漏洞解决方案
bocco的博客
04-08 2165
近日,安全狗应急响应中心监测到Gitlab官方发布安全通告,披露了其Gitlab产品存在硬编码漏洞漏洞编号CVE-2022-1162。
Goby漏洞更新 Atlassian Confluence 硬编码用户登陆漏洞 (CVE-2024-26138)
2401_84247505的博客
04-17 566
Atlassian Confluence Server 存在安全漏洞,该漏洞源于使用硬编码密码,攻击者可登录查看团队空间成员等敏感信息。Atlassian Confluence Server 存在安全漏洞,该漏洞源于使用硬编码密码,攻击者可登录查看团队空间成员等敏感信息。T行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
CVE-2022-1162 Gitlab 硬编码漏洞分析
m0_60732362的博客
04-18 2358
漏洞描述 GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。 在GitLab CE/EE版本14.7(14.7.7之前)、14.8(14.8.5之前)和14.9(14.9.2之前)中使用OmniAuth提供商(如OAuth、LDAP、SAML)注册的帐户设置了硬编码密码,允许攻击者潜在地控制帐户。 漏洞版本 Gitlab CE/EE >=14.7,<14.7.7 Git...
消费者物联网漏洞披露实践“低得无法接受”
qq_40234985的博客
12-03 6290
物联网安全基金会的一份新报告强调,近 80% 的消费者物联网 (IoT) 公司没有使用漏洞披露来报告安全问题。这项措施被视为供应商对安全性的重视程度的代表,这清楚地表明,要帮助消费者在设备连接到互联网时保持安全,还有很长的路要走。 该报告是 2018 年开始的系列报告中的第四份,研究了消费者物联网漏洞披露的实践——扩展到企业和 B2B 模型。它通常被视为该行业的网络安全进度晴雨表,因为漏洞披露 - 或在公共渠道宣传可以报告并修复安全漏洞 - 被认为是任何公司向互联市场销售产品的基本卫生机制。 然而,报告称
工业物联网:平台架构、关键技术与应用实践
华章IT官方博客
04-07 2234
工业物联网物联网在工业领域的应用,是物联网与传统产业的深度融合。随着中国智能制造、德国工业4.0、美国先进制造伙伴计划等一系列国家战略的提出和实施,工业物联网成为全球工业体系“创新驱动、转型升级”的重要推手。将工业物联网应用于研发设计、生产制造、运营管理及服务运维等全流程各个环节,用工业物联网改造传统产业,实现企业数字化转型、资源高效利用,促进产业结构调整,推动经济发展...
医疗设备物联网安全报告
weixin_40344166的博客
02-10 7083
过时的物联网医疗设备构成重大安全威胁 根据Cynerio的研究,勒索软件已成为医疗保健和医院设备中最糟糕的噩梦,这些设备运行在过时的Windows版本或Linux开源软件上,很容易成为攻击目标。 根据Cynerio对美国300多家医院,超过1000万台物联网物联网设备进行的报告显示,医疗保健中使用的物联网和医疗物联网(IoMT)设备中,一半以上(53%)存在严重的网络安全风险。 Cynerio为医疗保健提供者制造物联网安全系统。在报告中,Cynerio的做法是,使用一个连接器,连接到网络核心交..
Atlassian 修复严重的Confluence 硬编码凭据漏洞
smellycat000的专栏
07-21 401
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Atlassian 修复了Confluence Server and Data Center 中一个严重的硬编码凭据漏洞 (CVE-2022-26138),它可导致远程未认证攻击者登录到易受攻击的未修复服务器。该硬编码密码是在安装 Questions for Confluence app(版本2.7.34、2.7.35和...
什么叫硬编码?如何避免硬编码
qq_35374791的博客
06-04 4349
硬编码(Hardcoding或Hard-coding)是指在编写程序时,直接将具体的值(如字符串、数字、路径等)写入源代码中,而不是通过变量、配置文件、数据库查询或其他动态方法来获取这些值。通过上述方法,可以提高软件的可维护性、可读性和灵活性。
Apereo cas 密钥硬编码反序列化漏洞
m0_71745258的博客
01-12 2542
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。单点登录定义单点登录(Single signon),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
硬编码与信息泄漏
最新发布
ershuiyan的博客
06-05 883
什么事硬编码硬编码的风险与风险避免
某些厂商防火墙存在硬编码漏洞复现
qq_17754023的博客
02-28 591
一、漏洞背景 硬编码漏洞简单的说就是密码以加密的形式存在于页面中,如base64 cmd5等形式,我们可以直接通过对应的解密软件进行界面 二、漏洞复现 祭出fofa大法,fofa语法如下 body="var dkey_verify = Get_Verify_Info(hex_md5)" 比如这种 我们直接查看源代码 然后拿去解密 然后利用解密出的密码登录 其他厂商 锐捷 中科网威 ...
Java代码漏洞检测-常见漏洞修复建议
晨港飞燕的专栏
11-19 7844
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
D-Link 修复多个硬编码密码漏洞
smellycat000的专栏
07-19 734
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士D-Link 发布固件热修复方案,解决了基于 DIR-3040 AC3000 的无线互联网路由器中的多个漏洞。如成功利用这些漏洞,...
代码审计——硬编码口令/弱口令详解
Boom!脑洞大爆炸的博客
06-17 629
代码审计之硬编码/弱口令的审计思路
物联网安全:威胁与对策
"物联网安全技术综述" ...总结,物联网安全技术是物联网健康发展的重要保障,需要持续研究和改进,以应对不断变化的安全挑战。未来,物联网将更加深入人们的日常生活,而其安全性将成为公众关注的焦点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值