La California promulga la primer ley contra passwords inseguros

kcdtv · 10-10-2018 13:55:47

El estado californiano promulga la primera ley que pone explícitamente los industriales frente a sus responsabilidades

La California está conocida por ser un estado de inspiración liberal (progresista) con unas leyes bastante fuertes que defienden la "neutralidad de la red".
Dichas leyes son el objeto de una polémica nacional ya que son radicalmente opuestas a lo preconizado por la administración de Donald Trump.
Él sueña más bien con una red controlada al modo de China... O de Corea del Norte ya que ahora es el amiguete de kimy... big_smile
La Ley ha finalmente sido aprobada pero el Departamento de Justicia Federal va a demandar el Estado Califarnio por ella.

Justice Department Sues to Stop California Net Neutrality Law by Cecilia Kang @ The New York Time

La lucha es feroz porque se inscribe en este contexto de fractura.
Fractura entre entre una América moderna, cosmopolita, progresista y que ha sacado partido de la revolución tecnológica.
Y la América más "profunda", los dejados por cuenta de la revolución numérica, la América que he votado Trump.
El gran problema para trump es que todos los grandes actores del sector, GAFA, fabricantes, tienen su sed en California y se someten a su legislación estatal.
Las leyes californianas pueden tener un impacto a nivel mundial
Es más que un simple contra-poder frente la administración Trump: Puede también "marcar una diferencia" si se lo propone.

Se prohíben las contraseñas por defecto débiles a partir de 2020

Los legisladores constatan que, a pesar de ser un problema recurrente desde muchos años, el nivel de seguridad por defecto no ha mejorado.
Observan incluso que el problema "de la seguridad por defecto" ha ido incrementando con la llegada de los dispositivos del "Internet Of Things"
Con lo cuál han decidido penalizar a los fabricantes que entregan un dispositivo con una configuración de seguridad por defecto débil.
Para cumplir con la ley los industriales tienen dos opciones:

Entregar el dispositivo con unas llaves por defecto únicas
Configurar el dispositivo de tal forma que obliga el usuario a configurar-lo con llaves personales antes de poder usarlo

El texto deja claro que incluye también la seguridad wifi por defecto, se refiere a todo lo que puede conllevar un riesgo para los usuarios

"require a manufacturer of a connected device… to equip the device with a reasonable security feature or features that are appropriate to the nature and function of the device… and designed to protect the device and any information contained therein from unauthorized access, destruction, use, modification, or disclosure, as specified."

California cracks down on Internet of Crap passwords with new law to stop the botnets by Kieren McCarthy @ The Register

'
Los consumidores podrán demandar a partir de 2020 cualquier empresa que no cumple la ley.
Si encuentras una cuenta root:toor telnet habilitada por defecto en un router netgear o d-link quizá te vale la pena mudarte ahí para hacer un juicio y hacerte rico,.
Es el "consejo wifi-libre" del día, el sueño californiano. big_smile

Sin embargo se ha dejado pasar una gran oportunidad

Desgraciadamente la ley promulgada solo se centra a una parte del problema: La configuración por defecto.
El otro gran asunto es la falta de soporte por parte de los fabricantes, especialmente en el mundo del IOT.
Se encuentran vulnerabilidades y brechas cada días, algunas muy fáciles de explotar. La ausencia de actualizaciones es igual de nefasta que una mala configuración por defecto.
Incluso más: Una configuración por defecto se puede modificar. Si sale una brecha critica el usuario no puede hacer nada,
El texto de ley se refiere muchas veces a los botnets hechos con objetos IOT.
Gran parte de estos dispositivos están comprometidos por brechas de seguridad muy viejas y muy conocidas.
Todo esto se podría evitar muy fácilmente si se obligaba a un mínimo de soporte. Tampoco requeriría muchos esfuerzos por parte del fabricante.
Estos dispositivos tiran de linux y las actualizaciones de seguridad se hacen por la comunidad,
La única pega técnica es que los fabricantes hacen chapuzas sobre le kernel linux con códigos cerrados y son bomba de reloj el día que no se da soporte.
Lo qué está claro, y por esto está esta nueva ley, es que no se puede confiar en el "mercado" para regular el tema.
Se ha tenido que obligar por ley a los fabricantes para que se tenga un nivel de configuración por defecto correcto.
Si no hay una ley para obligar a dar un mínimo de soporte sobre brechas de seguridad las cosas no van cambiar.
La ley californiana solo aplaza los problemas: El dispositivo será seguro el día de su entrega pero nada dice que lo será el día siguiente.
¿El vaso medio lleno o medio vacío?

josep345 · 14-10-2018 21:19:52

Se prohíben las contraseñas por defecto débiles a partir de 2020

Deberian estar prohibidas desde hace mucho tiempo jjjjjjjj..Xd! roll

Ultima edición por josep345 (14-10-2018 21:24:16)

kcdtv · 15-10-2018 12:11:10

El vaso está más bien medio vacío que medio lleno big_smile

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7673	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3753	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63508	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	405	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258448	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 10-10-2018 13:55:47