Ponedeljek, 8. 10. 2018, 17.15
6 let, 1 mesec
Ali ste po nakupu naprave, povezane v internet, spremenili njeno privzeto preprosto geslo?
Kje bo geslo 0000, 1234 ali admin protizakonito in zakaj je to dobro tudi za nas
Uporabniki prevečkrat pozabijo na skrb za svojo računalniško varnost, zato nepridipravom ponekod poskušajo (vsaj malo) otežiti njihovo nečedno ravnanje z novimi zakoni. Toda - ali je to dovolj?
Živimo v obdobju, ko je vedno več naprav povezanih v internet. Mnogi proizvajalci na te naprave postavijo preprosta gesla, kot so 0000, 1234, admin, password, in od uporabnikov pričakujejo, da jih bodo ob začetku uporabe spremenili v nekaj bolj varnega.
Preprosto kot 1234
Toda naprave spremembe gesla ob prvi uporabi praviloma ne zahtevajo, zaradi česar velikokrat uporabniki privzetega gesla ne spremenijo. S tem, da takšno preprosto privzeto geslo uporabljajo še naprej, se gotovo ne zavedajo, kakšnemu tveganju se s tem izpostavljajo.
Ta privzeta gesla so praviloma preprosta in jih zato tudi kdo drug zlahka ugane. Še huje je, ko imajo vse naprave istega modela enako geslo - takrat je pot za vdor računalniških nepridipravov še bolj na stežaj odprta.
Ko nepridiprav enkrat pride v omrežje, še lažje vdira naprej
Vdor v napravo, ki je povezana v omrežje, hkrati pomeni veliko lažji dostop tudi do drugih naprav in storitev - tako so namreč prek preprostih gesel na spletnih kamerah in drugih omrežnih napravah v drugi polovici leta 2016 padle tudi velike svetovne storitve, kot so Twitter, Spotify in Reddit, poroča britanska medijska hiša BBC.
Na enak način, torej prek preprostih gesel, ki so jih nepridipravi zlahka uganili, so računalniški kriminalci kradli tudi osebne in bančne podatke ter pozneje tudi denar marsikatere nič hudega sluteče žrtve računalniških vdorov.
Dovolj varno geslo najpozneje pred prvo uporabo
Ravno zato so v ameriški zvezni državi Kalifornija sprejeli zakon o informacijski zasebnosti povezanih naprav. Tako bo tam od prvega dneva leta 2020 nezakonito, če bo proizvajalec neke naprave, povezane v internet, postavil preprosto geslo.
Zakon bo zahteval, da proizvajalci v internet povezanih naprav bodisi na vsako posamezno napravo že pred nakupom nastavijo edinstveno in dovolj varno geslo bodisi vgradijo programske zagonske postopke, ki bodo od uporabnika zahtevale, da še pred prvo uporabo naprave sami nastavijo takšno primerno geslo.
Če proizvajalci omrežne opreme ne bodo poskrbeli za takšne "razumne varnostne nastavitve" in uporabnik zato utrpi škodo, zakon predvideva, da bo za to odškodninsko odgovoren prav proizvajalec, kar bo uporabnik dokazoval na sodišču.
Brez sprotnih varnostnih nadgradenj in popravkov varnosti ni
Strokovnjaki računalniške varnosti opozarjajo, da je omenjeni zakon, čeprav gotovo velik korak v pravo smer, hkrati tudi zamujena priložnost.
Veliko večje tveganje kot preprosta gesla namreč predstavljajo številne naprave, ki ne omogočajo varnostnih popravkov in nadgradenj, kar je prav gotovo zelo vabljiva vstopnica za računalniške kriminalce.
Kako kalifornijski zakon lahko dobro vpliva tudi na nas?
Kalifornija je zelo pomemben in velik trg. Proizvajalci povezanih naprav gotovo ne bodo tvegali, da bi bile njihove naprave protizakonite.
Ker pa najbrž ni ekonomsko smotrno, da bi imeli varno programsko opremo (firmware) samo za Kalifornijo in da bi vztrajali pri varnostno pomanjkljivih geslih kjerkoli drugje (ceneje jim je, da gre vse "po istem tekočem traku"), nas naprave z varnejšimi varnostnimi nastavitvami lahko prijetno presenetijo tudi pri nas.