【左耳入右耳出】CISA要求生產商棄用預設密碼 口號式呼籲影響力有限
美國網絡安全和基礎設施安全局(CISA)再度發出呼籲,要求網絡產品供應商停止為推出的軟硬件產品採用預設密碼,因為該局發現不少 IT 人員將產品部署在企業的基礎設施後,並未有修改密碼而直接使用,導致黑客可以輕易入侵企業,造成機密技術被盜或遭受各類型網絡攻擊。其實過往已發生不少同類入侵個案,單靠一個呼籲,似乎影響力有限。
CISA 改為源頭解決問題
採用生產商的預設管理帳戶登入名稱及密碼有多危險,相信每個 IT 技術人員都非常清晰,例如最近伊朗黑客就採用了這種方法,入侵預設密碼值為 1111 的 Unitronics 可編程邏輯控制器(PLC),當中便包括美國一個供水設施,如被黑客惡意利用,便可在關鍵時刻造成斷水或惡意排洪,對政府的公信力可帶來重大打擊。過往美國 CISA 曾多次向企業及機構發出警告,指如果不更改這些預設設定,攻擊者便可以利用這些漏洞入侵內部網絡,從而危及企業整個網絡的安全。
不過,CISA 指出從多年經驗可見,依靠企業的管理員為網絡產品更改密碼並不足夠,無論有意或無意,管理員似乎並未在部署後修改密碼,只要簡單利用網絡掃描工具搜尋特定產品,黑客便能利用預設帳戶登入資料嘗試入侵,研究亦證實相關安全漏洞依然廣泛存在,因此官方這次便轉移方向,敦促生產商由源頭解決問題。
有國家就產品安全性展開立法程序
CISA 在呼籲中提供了不同的可行方案,包括建議生產商為客戶提供針對每部產品的獨特設置密碼,取代單一預設密碼的做法。其次是可以使用有時間限制的設置密碼,一旦系統發現管理員完成設置,密碼就會失效,並提示管理員啟用更安全的身份驗證方法,如多重因素身份驗證(MFA)等。
由於這次呼籲僅屬自願性質,因此要生產商主動推出,似乎並不容易,一來會加重他們的開發成本,二來亦會影響部署的簡易性,容易流失客戶。不過,其他國家政府已就 IoT 產品的安全性展開立法程序,如英國政府在今年 10 月完成了 Product Security and Telecommunications Infrastructure 法例條文的最終版本,明確列出生產商需要遵守的內容,當中便對預設出廠密碼、公布漏洞資訊及提供安全更新的時限作出規範,法例預計可在明年 4 月尾實施,如要將產品在英國境內發售,到時生產商便須滿足法例內容才能上架,有效保障企業及一般消費者的網絡安全性。
