Ask HN: Ich schlage als FCC-Kommissar Regulierung für IoT-Sicherheitsupdates vor

 (news.ycombinator.com)
1 Punkte von GN⁺ 2023-09-06 | 1 Kommentare | Auf WhatsApp teilen
  • Schwerwiegende Schwachstellen sind im IoT weit verbreitet, und es dauert zu lange, bis diese Probleme auf Endnutzergeräten gepatcht werden.
  • Oft wird beim Verkauf nicht mitgeteilt, wie lange Hersteller ihre Geräte mit Sicherheitsupdates unterstützen werden.
  • Die FCC hat kürzlich eine Notice of Proposed Rulemaking für ein Cybersicherheits-Kennzeichnungsprogramm für vernetzte Geräte veröffentlicht.
  • Ich habe mich nachdrücklich dafür eingesetzt, dass die Offenlegung des Zeitraums, in dem ein Produkt Sicherheitsupdates erhält, zu einem dieser Standards wird.
  • Viele Hersteller wehren sich dagegen, überhaupt Zusagen zu Sicherheitsupdates zu machen.
  • Wenn FCC und Weißes Haus nur die Sicht der Gerätehersteller hören, werden sie wahrscheinlich keine starke Position einnehmen.
  • Sie haben schreckliche Sicherheit erlebt, etwa unsichere Protokolle, offengelegte private Schlüssel und Ähnliches.
  • Mir wurde die Frage gestellt: „Warum gibt es für solche Dinge keine Regeln?“
  • Das ist Ihre Gelegenheit, Ihre Vorstellungen dazu zu äußern, wie die Regeln aussehen sollten, und sie aktenkundig zu machen.
  • Wenn Sie Einfluss nehmen möchten, müssen Sie bis zum 25. September 2023 (Mitternacht ET) eine Stellungnahme im Regelsetzungsverfahren einreichen.
  • Die FCC muss Ihre Argumente berücksichtigen.
  • Ich bin hier, um Ihre Meinungen zu hören und daraus zu lernen.
  • Mein Rechtsberater Marco Peraza wird ebenfalls Fragen beantworten.
  • Ich hoffe, dass auch meine Kollegen bei der FCC offen dafür sind, Ihre Ideen aufzunehmen und sogar einzuräumen, dass ich falschliege. Vielen Dank!```

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-06
Hacker-News-Diskussion
  • Ein FCC-Kommissar schlägt eine Regulierung für Sicherheitsupdates bei IoT-Geräten vor und tritt mit der Hacker-News-Community in den Austausch, um die Vorschläge zu diskutieren und Feedback einzuholen.
  • Die FCC nimmt bis zum 25. September online offizielle Stellungnahmen zu diesem Vorschlag entgegen. Alle eingereichten Kommentare sollen in die endgültige Regelung einfließen.
  • In der Diskussion kommen verschiedene Perspektiven zur Sprache, darunter die von Firmware-Ingenieuren, die Fragen zur Definition von Sicherheitslücken, zu den potenziellen Sicherheitsrisiken von Remote-Updates und zur Haftung von Herstellern für Schäden durch Angriffe auf verwundbare Geräte aufwerfen.
  • Einige Beiträge heben die Zunahme von Cyberkriminalität im Zusammenhang mit IoT-Geräten hervor, insbesondere in Konfliktgebieten, sowie die Möglichkeit, dass solche Geräte für illegale Überwachung oder zur Koordination von Angriffen verwendet werden.
  • Es gibt Bedenken hinsichtlich der Herausforderungen, vor denen Hersteller – insbesondere kleine Teams – bei der Identifizierung von Schwachstellen und der Aufrechterhaltung der Sicherheit stehen, sowie für den Fall, dass sie ihr Geschäft aufgeben oder ihre Website kompromittiert wird.
  • Vorgeschlagen wird, dass IoT-Geräte auch ohne Verbindung zu zentralen Diensten funktionsfähig bleiben sollten und dass Regeln eine minimale Funktionalität in isolierten oder selbstverwalteten Umgebungen verlangen sollten, um inhärente Sicherheitsrisiken zu vermeiden.
  • Gefordert wird außerdem, dass Hersteller ihre Geräte mindestens für einen festgelegten Zeitraum unterstützen und nach dem Ende des Supports den vollständigen Quellcode offenlegen, damit Verbraucher die Firmware kontrollieren können und Geräte nicht unbrauchbar werden.
  • Es gibt Bedenken hinsichtlich der Durchsetzbarkeit der vorgeschlagenen Regulierung, insbesondere gegenüber Herstellern im Ausland, sowie den Vorschlag, dass mächtige IoT-Plattformen Geräte auditieren und solche sperren sollten, die die Standards nicht erfüllen.