Ask HN: ผมในฐานะกรรมาธิการ FCC กำลังเสนอข้อบังคับเกี่ยวกับการอัปเดตความปลอดภัยของ IoT

 (news.ycombinator.com)
1 คะแนน โดย GN⁺ 2023-09-06 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ช่องโหว่ร้ายแรงในโลก IoT เป็นเรื่องที่พบได้บ่อย และปัญหาเหล่านี้ใช้เวลานานเกินไปกว่าจะได้รับการแพตช์บนอุปกรณ์ของผู้ใช้ปลายทาง
  • หลายครั้งเมื่อมีการขายสินค้า ก็ไม่ได้แจ้งให้ทราบว่าผู้ผลิตจะสนับสนุนอุปกรณ์นั้นนานแค่ไหนในด้านการอัปเดตความปลอดภัยของผลิตภัณฑ์
  • เมื่อไม่นานมานี้ FCC ได้เผยแพร่ประกาศเสนอการออกกฎสำหรับโครงการติดฉลากความมั่นคงปลอดภัยไซเบอร์สำหรับอุปกรณ์ที่เชื่อมต่อ
  • ผมได้ผลักดันอย่างหนักให้การเปิดเผยระยะเวลาที่ผลิตภัณฑ์จะได้รับการอัปเดตความปลอดภัยเป็นหนึ่งในเกณฑ์เหล่านี้
  • ผู้ผลิตจำนวนมากกำลังคัดค้านการให้คำมั่นใด ๆ เกี่ยวกับการอัปเดตความปลอดภัย
  • หาก FCC และทำเนียบขาวได้ฟังแต่เรื่องจากผู้ผลิตอุปกรณ์ ก็มีโอกาสน้อยที่จะยืนจุดยืนที่เข้มแข็ง
  • คุณอาจเคยประสบกับความปลอดภัยอันย่ำแย่ เช่น โปรโตคอลที่ไม่ปลอดภัย คีย์ส่วนตัวที่ถูกเปิดเผย เป็นต้น
  • และอาจเคยถามว่า 'ทำไมถึงไม่มีกฎสำหรับเรื่องพวกนี้?'
  • นี่คือโอกาสของคุณที่จะบอกว่าคุณคิดว่ากฎควรเป็นอย่างไร และทำให้มันถูกบันทึกไว้
  • หากคุณต้องการสร้างผลกระทบ คุณต้องส่งความเห็นต่อกระบวนการออกกฎภายในวันที่ 25 กันยายน 2023 (เที่ยงคืนตามเวลา ET)
  • FCC จำเป็นต้องพิจารณาเหตุผลของคุณ
  • ผมมาอยู่ที่นี่เพื่อรับฟังและเรียนรู้จากความคิดเห็นของคุณ
  • Marco Peraza ที่ปรึกษากฎหมายของผม ก็จะช่วยตอบคำถามด้วยเช่นกัน
  • ผมหวังว่าเพื่อนร่วมงานที่ FCC จะเปิดรับแนวคิดของคุณ และแม้กระทั่งพร้อมยอมรับว่าผมอาจเป็นฝ่ายผิดได้ ขอบคุณครับ!```

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-09-06
ความคิดเห็นจาก Hacker News
  • กรรมาธิการ FCC กำลังเสนอข้อบังคับเกี่ยวกับการอัปเดตความปลอดภัยของ IoT และสื่อสารกับชุมชน Hacker News เพื่อหารือและรับข้อเสนอแนะ
  • FCC เปิดรับความคิดเห็นอย่างเป็นทางการเกี่ยวกับข้อเสนอนี้ทางออนไลน์จนถึงวันที่ 25 กันยายน และความคิดเห็นทั้งหมดจะถูกนำไปพิจารณาในกฎฉบับสุดท้าย
  • การอภิปรายครอบคลุมมุมมองที่หลากหลาย รวมถึงความเห็นจากวิศวกรเฟิร์มแวร์ ซึ่งตั้งคำถามเกี่ยวกับนิยามของช่องโหว่ด้านความปลอดภัย ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากการอัปเดตระยะไกล และความรับผิดของผู้ผลิตต่อความเสียหายที่เกิดจากการโจมตีอุปกรณ์ที่มีช่องโหว่
  • ความคิดเห็นบางส่วนเน้นถึงการเพิ่มขึ้นของอาชญากรรมไซเบอร์ที่เกี่ยวข้องกับอุปกรณ์ IoT โดยเฉพาะในพื้นที่ความขัดแย้ง และความเป็นไปได้ที่อุปกรณ์เหล่านี้จะถูกใช้เพื่อการสอดแนมที่ผิดกฎหมายหรือประสานการโจมตี
  • มีความกังวลเกี่ยวกับความท้าทายที่ผู้ผลิต โดยเฉพาะทีมขนาดเล็ก ต้องเผชิญในการระบุช่องโหว่และรักษาความปลอดภัย รวมถึงกรณีที่พวกเขาปิดกิจการหรือเว็บไซต์ถูกเจาะระบบ
  • มีข้อเสนอว่าอุปกรณ์ IoT ควรสามารถทำงานได้โดยไม่ต้องติดต่อกับบริการส่วนกลาง และควรมีกฎที่กำหนดให้มีฟังก์ชันขั้นต่ำในสภาพแวดล้อมแบบแยกขาดหรือจัดการเอง เพื่อหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยที่มีอยู่ในตัว
  • มีข้อเรียกร้องให้ผู้ผลิตสนับสนุนอุปกรณ์ของตนอย่างน้อยเป็นระยะเวลาขั้นต่ำ และเมื่อการสนับสนุนสิ้นสุดลงควรเปิดเผยซอร์สโค้ดทั้งหมด เพื่อให้ผู้บริโภคสามารถควบคุมเฟิร์มแวร์ได้และป้องกันไม่ให้อุปกรณ์กลายเป็นของใช้การไม่ได้
  • มีความกังวลเกี่ยวกับความสามารถในการบังคับใช้ข้อบังคับที่เสนอ โดยเฉพาะกับผู้ผลิตในต่างประเทศ และมีข้อเสนอว่าแพลตฟอร์ม IoT รายใหญ่ควรตรวจสอบอุปกรณ์และแบนอุปกรณ์ที่ไม่ผ่านมาตรฐาน