Сегодня 26 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → защита от шпионов

Больше никаких 12345: в Великобритании запретят устройства со слабыми паролями

В Великобритании вступил в силу закон, обязывающий производителей гаджетов соблюдать минимальные стандарты кибербезопасности и защищать устройства от несанкционированного доступа. Одним из положений новый закон запрещает поставки гаджетов со слишком простыми стандартными паролями.

 Источник изображения: Copilot

Источник изображения: Copilot

В понедельник в Великобритании вступили в силу новые правила, направленные на повышение кибербезопасности интеллектуальных устройств. Согласно этим правилам, производители смартфонов, телевизоров, умных домофонов и других гаджетов обязаны обеспечивать защиту подключенных к интернету устройств от несанкционированного доступа, сообщает издание The Guardian.

В частности, теперь запрещается поставлять устройства со слабыми паролями по умолчанию, такими как «admin» или «12345». Пользователям также рекомендуется менять стандартные пароли при настройке гаджетов. Кроме того, производители должны четко указывать сроки выпуска обновлений безопасности и предоставлять потребителям контакты для сообщения об ошибках и уязвимостях.

Такие строгие меры призваны повысить уверенность покупателей и снизить риски хакерских атак, от которых в последнее время страдают как простые пользователи, так и компании. По словам министра науки и технологий Великобритании Джонатана Берри (Jonathan Berry), новые правила должны «обеспечить безопасность личных и банковских данных, и в целом конфиденциальность» британцев.

Организация по защите прав потребителей Which?, давно выступавшая за ужесточение стандартов кибербезопасности, приветствовала это решение и считает, что контролирующие органы также должны «жестко следить за исполнением новых правил производителями и принимать при необходимости немедленно принимать меры к нарушителям». По мнению Which?, это значительно повысит кибербезопасность для рядовых потребителей и бизнеса.

Однако есть те, кто раскритиковал новый закон. Так, некоторые эксперты полагают, что ответственность за обеспечение кибербезопасности несправедливо перекладывается только на производителей, потребители тоже должны проявлять бдительность и не использовать слабые пароли. Кроме того, как показывает практика, злоумышленники быстро адаптируются к новым мерам безопасности. Тем не менее, большинство людей положительно оценивают инициативу британского правительства, а повышенные требования к кибербезопасности могут стать новым глобальным стандартом для индустрии интеллектуальных устройств.

Исследователи придумали, как бороться с хакерами, имеющими физический доступ к системам

На конференции ISSCC 2024 среди прочих докладов прозвучало несколько интересных предложений для защиты электронных схем и компонентов от хакерских атак с физическим доступом к системе. Это наиболее уязвимая для оборудования ситуация, когда злоумышленник не ограничен временем и средствами.

 Источник изображения: spectrum.ieee.org

Источник изображения: spectrum.ieee.org

Самый действенный метод взлома системы — это набросить контакты для считывания сигналов на сигнальные линии процессора. Команда исследователей из Колумбийского университета во главе с ведущим инженером Intel Вивеком Ди (Vivek De) предложила решение, которое автоматически противодействует этому виду атак. Они создали чип, который измеряет ёмкостное сопротивление шины передачи данных от процессора. Чип откалиброван определять изменение ёмкости от 0,5 пФ в широком диапазоне температур. Попытка набросить щуп на контролируемую чипом линию сразу обнаруживает физическое вмешательство и запускает процесс автоматического шифрования данных.

Исследователи считают, что постоянное шифрование абсолютно всех данных — это перерасход процессорной мощности. Предложенный ими метод детектирования щупа, напротив, нагружает систему шифрованием только во время начала вмешательства злоумышленника.

Также данные можно похищать из системы с помощью регистрации электромагнитного излучения или по пульсациям потребления. Для этого физический контакт с атакуемой системой не нужен. Тогда для защиты данных можно использовать другую схему, предложенную исследователями Техасского университета в Остине. Поскольку по электромагнитному излучению можно получить данные о ключе AES, исследователи предложили размыть сигнал в процессе генерации ключа. В частности, они разбили алгоритм генерации на четыре вычислительных компонента, и запустили их параллельно с небольшим сдвигом друг относительно друга. Это сделало сигнал нечитаемым.

Для ещё более сильного запутывания злоумышленников на атакуемой системе запускались сигналы-обманки, имитирующие процессы генерации ключа. Всё вместе резко повысило защиту от атаки по побочным каналам, к которым также относится вид атак с чтением электромагнитных возмущений от вычислительных платформ. Это утверждение было проверено на практике. Попытки взломать ключ с помощью высокочувствительного электромагнитного сканера закончились ничем после 40 млн подходов, тогда как обычно на взлом требовалось около 500 попыток.

Наконец, было предложено решение для физического уничтожения электронных схем при попытке считать с них информацию тем или иным способом. Этим отметилась группа Вермонтского университета с привлечением технологии Marvell. Предложение группы опирается на два момента. Во-первых, разработан механизм определения компрометации электронной схемы. Во-вторых, предложены механизмы по физическому уничтожению электронных схем. Всё вместе обещает привести к самоуничтожению чипов при обнаружении вмешательства или попытки считать критически важные данные с электронных компонентов.

Для определения вмешательства исследователи воспользовались методологией слепков PUF или физически неклонируемой функции. Это своего рода дактилоскопический отпечаток чипа, который формируется на основе крошечных отклонений в характеристиках транзисторов. Все они по определению не могут быть идентичными с вполне детектируемыми отличиями в токовых характеристиках, по коэффициенту усиления и так далее. Если чип скомпрометирован, его характеристики, выраженные в PUF, также претерпят изменения и это станет сигналом для самоуничтожения защищённого блока чипа или всего чипа целиком.

Уничтожить чип исследователи предлагают двумя способами. Например, можно подать больше тока на самые длинные проводники защищаемого узла. Тогда в наиболее узких местах нагруженного участка произойдёт электромиграция — автоматическое повышение там уровня тока приведёт к физическому переносу атомов проводника и к образованию пустот или разомкнутых участков. Другой вариант предусматривает банальное повышение напряжения транзисторов в чипе с 1 В, например, до 2,5 В. Это вызовет пробой и выход электронных приборов из строя.


window-new
Soft
Hard
Тренды 🔥
Российский аниме-хоррор MiSide внезапно оказался хитом Steam — восторженные отзывы игроков, сотни тысяч проданных копий 37 мин.
Киберпанковый слешер Ghostrunner 2 стал новой бесплатной игрой в Epic Games Store — раздача доступна в России и продлится всего 24 часа 3 ч.
Activision сыграет в кальмара: новый трейлер раскрыл, когда в Call of Duty: Black Ops 6 стартует кроссовер со Squid Game 2 3 ч.
«К чёрту Embracer Group»: неизвестный устроил утечку исходного кода Saints Row IV 5 ч.
Отечественная платформа Tantor повысит производительность и удобство работы с СУБД на базе PostgreSQL 8 ч.
В Steam вышла новая демоверсия голливудской стратегии Hollywood Animal от авторов This is the Police 8 ч.
IT-холдинг Т1 подал иск к «Марвел-Дистрибуции» в связи с уходом Fortinet из России 9 ч.
Рождественское чудо: в открытый доступ выложили документы Rockstar начала 2000-х, включая планы на GTA Online от 2001 года 9 ч.
«Битрикс24» представил собственную ИИ-модель BitrixGPT 10 ч.
За 2024 год в Китае допустили к релизу более 1400 игр — это лучший результат за последние пять лет 11 ч.
NASA поручило частным компания обеспечить связь в радиусе 2 млн км от Земли 52 мин.
Китайский автопроизводитель GAC представил гуманоидного робота GoMate с 38 степенями свободы 3 ч.
Главный конкурент Tesla запустил разработку человекоподобных роботов 3 ч.
Omdia: быстрый рост спроса на TPU Google ставит под вопрос доминирование NVIDIA на рынке ИИ-ускорителей 4 ч.
Российскую игровую приставку собрались построить на процессоре «Эльбрус», для которого не существует игр 5 ч.
Equinix предложил ИИ-фабрики на базе систем Dell с ускорителями NVIDIA 6 ч.
NASA показало «рождественскую ель» галактического масштаба 6 ч.
Китайский оператор ЦОД Yovole может выйти на IPO в США — после неудавшейся попытки в Китае 7 ч.
Patriot представила SSD P400 V4 PCIe 4.0 — до 4 Тбайт и до 6200 Мбайт/с 7 ч.
OnePlus представила доступные флагманы Ace 5 и Ace 5 Pro со Snapdragon, большими экранами и до 16 Гбайт ОЗУ 8 ч.