Ask HN: Estoy proponiendo regulaciones sobre actualizaciones de seguridad para IoT como comisionado de la FCC

 (news.ycombinator.com)
1 puntos por GN⁺ 2023-09-06 | 1 comentarios | Compartir por WhatsApp
  • Las vulnerabilidades graves son comunes en IoT, y toma demasiado tiempo que estos problemas se solucionen con parches en los dispositivos de los usuarios finales.
  • A menudo, al momento de la venta no se informa durante cuánto tiempo el fabricante dará soporte al dispositivo con actualizaciones de seguridad del producto.
  • La FCC publicó recientemente un Aviso de Propuesta de Reglamentación para un programa de etiquetado de ciberseguridad para dispositivos conectados.
  • He defendido firmemente que uno de esos criterios sea divulgar durante cuánto tiempo el producto recibirá actualizaciones de seguridad.
  • Muchos fabricantes se oponen a asumir cualquier tipo de compromiso respecto a las actualizaciones de seguridad.
  • Es poco probable que la FCC y la Casa Blanca adopten una postura firme si solo escuchan la versión de los fabricantes de dispositivos.
  • Ustedes han experimentado seguridades terribles, como protocolos inseguros, claves privadas expuestas y similares.
  • Me han preguntado: '¿Por qué no hay reglas sobre estas cosas?'
  • Esta es su oportunidad de decir qué creen que deberían establecer esas reglas y dejarlo asentado en el registro.
  • Si quieren influir, deben presentar comentarios en el proceso de reglamentación antes del 25 de septiembre de 2023 (medianoche, hora del Este).
  • La FCC debe considerar sus argumentos.
  • Estoy aquí para escuchar sus opiniones y aprender.
  • Mi asesor legal, Marco Peraza, también responderá preguntas.
  • ¡Espero que mis colegas en la FCC también estén abiertos a acoger sus ideas e incluso a reconocer que yo estaba equivocado. ¡Gracias!```

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-06
Opinión de Hacker News
  • Un comisionado de la FCC está proponiendo una regulación sobre actualizaciones de seguridad para IoT y se está comunicando con la comunidad de Hacker News para debatirla y recibir comentarios.
  • La FCC está recibiendo comentarios oficiales sobre esta propuesta en línea hasta el 25 de septiembre. Todos los comentarios se reflejarán en la regla final.
  • La discusión incluye diversas perspectivas, entre ellas las de ingenieros de firmware, quienes plantean preguntas sobre la definición de fallas de seguridad, los posibles riesgos de seguridad de las actualizaciones remotas y la responsabilidad de los fabricantes por daños causados por ataques a dispositivos vulnerables.
  • Algunos comentarios destacan el aumento de los delitos cibernéticos relacionados con dispositivos IoT, especialmente en zonas de conflicto, y la posibilidad de que estos dispositivos se utilicen para vigilancia ilegal o coordinación de ataques.
  • Existen preocupaciones sobre los desafíos que enfrentan los fabricantes, especialmente los equipos pequeños, para identificar vulnerabilidades y mantener la seguridad, así como sobre qué ocurrirá si cierran el negocio o si sus sitios web son comprometidos.
  • Hay una propuesta de que los dispositivos IoT deban poder funcionar sin contactar a un servicio central y que deba existir una regla que exija una funcionalidad mínima en entornos aislados o autogestionados para evitar riesgos de seguridad inherentes.
  • Se pide que los fabricantes den soporte a sus dispositivos durante un período mínimo y que, cuando ese soporte termine, publiquen todo el código fuente, de modo que los consumidores puedan controlar el firmware y evitar que el dispositivo quede inutilizable.
  • Hay preocupaciones sobre la posibilidad de hacer cumplir la regulación propuesta, especialmente frente a fabricantes extranjeros, y también se propone que las plataformas de IoT con gran poder auditen los dispositivos y prohíban aquellos que no cumplan los estándares.