Siber Güvenlik ve Altyapı Güvenliği Ajansı, güvenlik sorumluluğunu müşteriler yerine üreticilere ve satıcılara yükleme arayışında ilerlerken, geniş çapta ilgili tüm taraflardan makbuz istiyor.
Takip etme CISA’nın revize edilmiş kılavuzu CISA’nın kıdemli teknik danışmanı Bob Lord, teknoloji şirketlerini ürünlerine güvenliği ayrıntılı veri ve kayıtlarla dahil ettiklerini kanıtlamaya çağırarak, Perşembe günü bu sorumlulukların çeşitli donanım ve yazılım paydaşlarına nasıl düştüğünü açıkladı. Blog yazısı.
“Tüketici ve kurumsal ürünlerin güvenliği kaderin eseri değildir. Güvenlik, üreticiler tarafından daha ürünler tasarlanmadan önce yapılan birçok bilinçli ve sürekli tercihin sonucudur” dedi Lord.
Tanrı çerçeveli tasarım gereği güvenlik ilkeleri Kötü amaçlı yazılımların halka açık USB şarj istasyonları aracılığıyla cep telefonlarına yüklendiği “juice-jacking” bağlamında. Lord, her ne kadar hile yapıldığına dair kanıtlar eksik olsa ve raporlar doğrulanmamış olsa da, bunun imkansız olmadığını, çünkü herhangi bir kodun güvenlik kusurları ve güvenli olmayan varsayılanlar içerebileceğini söyledi.
Lord’a göre varsayımsal bazı temel soruları ortaya koyuyor:
- Telefon üreticileri bu saldırılarla bağlantılı güvenlik açıklarına nasıl yanıt veriyor? Sorunu çözmeyi taahhüt ettiler mi ve ne zamana kadar?
- Belirli donanım parçaları diğerlerinden daha mı savunmasız?
- Bu iddia edilen tehdit tüm mobil cihaz işletim sistemlerini etkiliyor mu?
- Kullanıcılar bu saldırıları önlemek için herhangi bir ayarı veya yapılandırmayı değiştirebilir mi? Üreticiler gelecek sürümlerde bu ayarları varsayılan yapabilir mi?
- Kullanıcılar telefonlarında güvenlik ihlali belirtileri olup olmadığını nasıl kontrol edebilir? Üreticiler, kullanıcıların daha uygun eylemler gerçekleştirmesine yardımcı olmak için diyalogları veya onay uyarılarını iyileştirebilir mi?
Lord, odak noktasının saldırganların kurbanlarına vereceği zarar değil, üreticilerin müşterilerini güvende tutmak için ne yaptığı olması gerektiğini söyledi.
Lord, “Çaresizliğimizi ima etmeye devam etmek yerine tartışmayı yetkilendirme çerçevesinde çerçevelemeliyiz” dedi. “Basitçe söylemek gerekirse, üreticiler güvenlik yükünü müşterilerin sırtına yüklemek yerine, tasarımı itibarıyla güvenli ürünler geliştirmelidir.”