A gyártókat emellett a hatóság arra is kötelezi, hogy a firmware-frissítések kapcsán teljes kontrollt adjanak a felhasználóknak, akik számára manuálisan, illetve online frissítéssel is lehetővé kell tenni az új firmware telepítését. A gyártóknak emellett ajánlott az automatikus frissítés opcióját is elérhetővé tenni – alapértelmezetten bekapcsolt állapotban. Természetesen az új firmware eredetiségét minden esetben ellenőrizni kell, a megfelelő digitális aláírásokkal. Ez persze nem jelenti, hogy Németország hamarosan tiltólistára teszi az egyedi router firmware-eket, mint a népszerű OpenWrt, DD-WRT vagy a Tomato, azok telepítését továbbra is engedhetik a gyártók, ugyanakkor az eszköz kezelőfelületén egyértelműen tájékoztatniuk kell a felhasználót az aláírás nélküli firmware-ek jelentette veszélyekről. Fontos továbbá, hogy az aktuális firmware verziót jól látható helyen, az admin panelen is fel kell tüntetni, illetve az eszköz támogatásának várható lejártáról is egyértelműen értesíteni kell a felhasználót.
Ami a jelszavakat illeti, a BSI a Wi-Fi esetében legalább 20 karakteres jelszóhosszúságot ajánl, amelyekben nem lehet magához a routerhez kapcsolódó információ, mint a gyártó vagy az adott modell neve – ez utóbbi vonatkozik az adminfelülethez tartozó jelszavakra, és az ESSID-re (Extended Service Set Identifier) is. Jelszóváltoztatáskor a rendszer köteles figyelmeztetni a felhasználót, ha az túl gyenge jelszót próbálna megadni. Mindezek mellett a jelszavas beléptetést el kell látni megfelelő brute-force támadások elleni védelemmel is.
Fontos megkötés továbbá, hogy minden routernek támogatnia kell a WPA2 biztonsági protokollt – amelyet alapértelmezetten be is kell kapcsolnia. Emellett amennyiben a router tartalmaz vendég Wi-Fi üzemmódot, abból nem szabad hogy elérhető legyen a készülék konfigurációs interfésze. Ha a gyártó ez utóbbi felületet WAN-on keresztül elérhetővé teszi, azt csak TLS titkosítással teheti meg. A BSI ezen felül még számos ajánlást és megkötést is összegyűjtött a BSI TR-03148 névre hallgató dokumentumban – bár a kezdeményezés kifejezetten előremutató, főleg a routerek hagyományosan botrányos biztonságát és alig létező frissítéseit tekintve, a ZDNet szerint Németországban az ismert CCC (Chaos Computer Club) hackerközösség, illetve a fentebb is említett, nyílt forrású OpenWrt projekt képviselői is találtak benne kifogásolnivalót – a CCC egyenesen “komolytalannak” nevezte a készülő szabályozást.
Kritikák
A csoportok két fő kritikát fogalmaztak meg, elsőként hogy a hatóság továbbra sem kötelezi a gyártókat, hogy már a vásárlás előtt egyértelműen tájékoztassák az ügyfeleket az egyes routerek támogatásának várható lejártáról, a második bírálat pedig azért érte a szabályozót, mert nem gyakorol nagyobb nyomást a vállalatokra, hogy az egyes készülékek támogatásának lejártával tegyék lehetővé az egyedi firmware-ek telepítését a készülékekre.
Noha a kritika jogos, a fenti tervezetet a hatóság még nem véglegesítette, így nem kizárt, hogy a közeljövőben a két kifogásolt pont is bekerül a szabályozásba. Mindenesetre határozottan pozitív lépésről van szó, amelyet globálisan egyre több helyen láthatunk, nemrég például Kalifornia tett fontos lépést a nagyobb router- és általános IoT-biztonság felé, mikor az állam októberben bejelentette, törvényben tiltja az alapértelmezett jelszavak használatát a “connected” eszközökön.
Forrás: hwsw.hu
Kapcsolódó cikkek: