Ask HN: FCC Komiseri olarak IoT güvenlik güncellemelerini düzenlemeyi öneriyorum

 (news.ycombinator.com)
1 puan yazan GN⁺ 2023-09-06 | 1 yorum | WhatsApp'ta paylaş
  • IoT'de ciddi güvenlik açıkları yaygındır ve bu sorunların son kullanıcı cihazlarında yamalanması çok uzun sürüyor.
  • Üreticinin bir cihazı ürünün güvenlik güncellemeleri için ne kadar süre destekleyeceği, satış anında çoğu zaman bildirilmez.
  • FCC yakın zamanda bağlantılı cihazlar için bir siber güvenlik etiketleme programına yönelik Önerilen Kural Yapımına İlişkin Bildirim yayımladı.
  • Bir ürünün ne kadar süre güvenlik güncellemesi alacağının açıklanmasının bu standartlardan biri olması için güçlü biçimde savundum.
  • Birçok üretici, güvenlik güncellemeleri konusunda herhangi bir taahhütte bulunmaya karşı çıkıyor.
  • FCC ve Beyaz Saray yalnızca cihaz üreticilerinin anlattıklarını dinlerse güçlü bir tutum alma olasılığı düşüktür.
  • Güvensiz protokoller, açığa çıkmış özel anahtarlar ve benzeri korkunç güvenlik sorunları yaşadınız.
  • "Bunlar hakkında neden kurallar yok?" sorusuyla karşılaştınız.
  • Bu, kuralların nasıl olması gerektiğine dair düşüncelerinizi söyleme ve bunları kayda geçirme fırsatıdır.
  • Etki yaratmak istiyorsanız, kural yapım sürecine 25 Eylül 2023 (ET gece yarısı) tarihine kadar görüş sunmanız gerekir.
  • FCC argümanlarınızı dikkate almak zorundadır.
  • Sizi dinlemek ve sizden öğrenmek için buradayım.
  • Hukuk danışmanım Marco Peraza da soruları yanıtlayacak.
  • FCC'deki meslektaşlarımın da fikirlerinize açık olmasını ve hatta benim yanıldığımı kabul etmeye istekli olmasını umuyorum. Teşekkürler!```

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-06
Hacker News görüşü
  • Bir FCC komiseri, IoT güvenlik güncellemelerine yönelik düzenleme öneriyor ve tartışma ile geri bildirim için Hacker News topluluğuyla iletişim kuruyor.
  • FCC, bu öneri hakkında 25 Eylül'e kadar çevrimiçi resmî görüş kabul ediyor. Tüm görüşler nihai kurala yansıtılacak.
  • Tartışma, ürün yazılımı mühendislerinin görüşleri de dahil olmak üzere çeşitli bakış açılarını içeriyor; bu kişiler güvenlik açığının tanımı, uzaktan güncellemelerin olası güvenlik riskleri ve savunmasız cihazlara yönelik saldırılardan doğan üretici zarar sorumluluğu hakkında sorular gündeme getiriyor.
  • Bazı görüşler, özellikle çatışma bölgelerinde IoT cihazlarıyla bağlantılı siber suçlardaki artışı ve bu cihazların yasa dışı gözetim veya saldırı koordinasyonu için kullanılma olasılığını vurguluyor.
  • Üreticilerin, özellikle küçük ekiplerin, zafiyetleri tespit etme ve güvenliği sürdürmede karşılaştıkları zorluklara ve işletmelerini kapatmaları ya da web sitelerinin ele geçirilmesi durumunda ne olacağına dair endişeler var.
  • IoT cihazlarının merkezi hizmetlerle iletişim kurmadan da çalışabilmesi gerektiği ve doğuştan gelen güvenlik risklerinden kaçınmak için izole veya kendi kendini yöneten ortamlarda asgari işlevsellik gerektiren kurallar olması gerektiği yönünde bir öneri var.
  • Üreticilerin cihazlarını en az belirli bir süre boyunca desteklemesi ve destek sona erdiğinde tam kaynak kodunu yayımlaması gerektiği, böylece tüketicilerin ürün yazılımını kontrol edebilmesi ve cihazların kullanılamaz hale gelmesinin önlenmesi gerektiği talep ediliyor.
  • Önerilen düzenlemenin uygulanabilirliğine, özellikle de yurt dışındaki üreticiler açısından, dair endişeler var; ayrıca güçlü IoT platformlarının cihazları denetlemesi ve standartları karşılamayanları yasaklaması gerektiği öne sürülüyor.