GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-11-15) - page 1 of 10
 
___________________________________________________________________
Schneier: It's Time to Regulate IoT to Improve Cyber-Security
64 points by pwg
http://www.eweek.com/security/schneier-it-s-time-to-regulate-iot...
ulate-iot-to-improve-cyber-security
___________________________________________________________________
 
ttul - 1 hours ago
Yes it is. Importing a cheap Chinese WiFi access point that has an
exploitable default password should be as illegal as importing
Chinese fentanyl.
 
  watty - 1 hours ago
  That's ridiculous, why?  I'd understand some sort of
  certification process and requiring certified products to have
  ample warnings but why should it be illegal?If I want to buy
  cheap hardware or software that isn't certified I should be able
  to.
 
    maltalex - 59 minutes ago
    Same reason it's illegal to drive a car that's not certified
    for roads or build a building that don't meet safety
    standards.You have a right to pose a danger to yourself. You
    don't have a right to pose a danger to others.
 
      dfox - 46 minutes ago
      In my opinion you should be liable for any such danger you
      pose to others with the ability to shift that liability to
      whoever sold you source of such danger while assuring you
      that it is safe.In fact it is then inconsequential whether
      some device puts you in direct danger or in danger of
      somebody comming after you for putting them in danger.
 
    wyldfire - 58 minutes ago
    > I'd understand some sort of certification process and
    requiring certified products to have ample warnings but why
    should it be illegal?Maybe our current situation is what it
    might've been like when we had devices that could generate and
    receive RF emissions but before there was an FCC/global
    regulatory distribution of spectrum.If that analogy holds at
    all, perhaps that might be why it should be illegal to
    manufacture or import devices which don't conform.
 
    joe_the_user - 53 minutes ago
    The reason a static device connected to the Internet with
    terrible security should be prohibited is the same reason that
    devices not meeting FCC certification standards are
    prohibited.Both such devices do as much if not more harm to
    your neighbor as to you. An electrical appliance that
    interferes with TV broadcasts may not bother you but it bothers
    your neighbor. An IoT camera that's hacked to DoS a hospital
    may not bother you but it bothers the patients of the
    hospital.In some fictional Libertarian wonderland, these
    problems could be dealt with neighbors suing neighbors but in
    the real world we need the state to regulate products with
    serious cost "externalities".
 
    dfox - 52 minutes ago
    I think that EU's approach to this is in its idea the correct
    one: whoever imports and sells stuff (the legal term is AFAIK
    "introduces to common market") has to declare that it conforms
    to relevant safety regulations and is then held responsible
    should that declaration prove to be wrong. (Slight
    implementation problem is that the punishment incurred for that
    is usually too small, typically it boils down to ban of sale of
    the item involved without any punitive fines)
 
fareesh - 13 minutes ago
May end up in a situation where the network layer of hardware and
their respective wrappers/software is monopolized by a group of
compliance savvy folks who have done the necessary audits,
certifications, etc. In theory it is not necessarily bad, but
regulations have a bad reputation because of how poorly these
things are generally implemented.
 
libeclipse - 12 minutes ago
Ironic that the site with the article about improving cyber-
security doesn't utilize HTTPS.
 
cletus - 1 hours ago
Not that I'm a fan of government regulation for technology issues
like this but the security situation is beyond a joke.For one, it's
time to hold companies (and executives!) accountable for security
of the data they are charged with protecting, often without your
consent (eg Equifax).For another, insufficient product liability
for companies being lax--even negligent--with security. Honestly I
don't see an outcome like network-connected lightbulbs bringing
down the Internet as particularly far-fetched.Frankly I don't even
know what the market for IoT even is. Who needs $50 light bulbs
that will DDoS someone one day? Or, worse, compromise your network
to an attacker.And all for what? So you can turn the lights on
after you go through multiple steps to unlock your phone?
 
  thaumasiotes - 49 minutes ago
  > And all for what? So you can turn the lights on after you go
  through multiple steps to unlock your phone?I wanted network-
  connected lightbulbs so I could have them turn on at the time I
  needed to wake up, when that time was well before dawn.I never
  installed them because I didn't know how to secure them and my
  schedule got more reasonable, but I think the use case is pretty
  compelling.
 
    joe_the_user - 38 minutes ago
    Why would light bulbs need to be connected for the use case of
    being turned on a specific time? They'd just need to be
    connected to a timer for this.I mean, an Internet connected
    light bulb use-case would a bulb that flashed whenever a stock
    you owned down in price, which is ridiculous despite being the
    least ridiculous example I could think of.IoT security cameras
    and an automated kitchen you phone to, to prepared you dinner
    if you were coming home unexpected seems like the least crazy
    IoT device an individual could own - most IoT stuff seems more
    like what a global company would want rather than an
    individual.
 
      DanBC - 34 minutes ago
      > despite being the least ridiculous example I could think
      of.A lighbulb flashes when visitors ring the doorbell, which
      is useful for people with visual impairment. the doorbell has
      a hidden rfid reader, and certain guests have an rfid card.
      the doorbell flashes differently for each visitor.
 
        pdkl95 - 1 minutes ago
        That only needs a local wireless (or whatever) connection
        between the reader and the light. X10 et al did this over
        power lines over 20 years ago. Communicating over 802.11 -
        with or without the internet - adds complexity and exposes
        the device to the world.
 
        GrinningFool - 14 minutes ago
        That could also be done without network connectivity, even
        local. A microcontroller with a relay and rfid reader would
        do it. A fancier version might use bluetooth to let your
        phone set up new cards and disable/change others - still no
        need to talk to anything external beyond the phone
        itself.Take it one step further, and you could trigger it
        via an NFC read of your vistors' phones. This also would
        not need to connect to a network (beyond installing the app
        on the phones).Actually, sounds like it might be a fun
        project to play with :D
 
gtrubetskoy - 11 minutes ago
One simple way to improve your security at home is to have a
"guest" WiFi network which is separate from your real one and which
all these questionable IoT devices can use.
 
  kbenson - 5 minutes ago
  That doesn't necessarily prevent them from infecting each other
  and other people/devices on the internet, or being used in
  attacks.It's sort of like living in a neighborhood and having a
  rock pile you enjoy the aesthetics of, but know it's prone to
  having rattlesnakes move in, and instead of fixing the
  rattlesnake problem either as it happens or at the root, just
  putting a wall around your property excluding the pile.  Sure,
  you're mostly safe, but when animals/children get bit, your
  solution starts to look quite a bit worse.
 
    gtrubetskoy - 1 minutes ago
    Agreed, it's definitely not full-proof by any stretch. But it's
    amazing people how many people enter their WiFi password into
    devices they really have no control over that can then for
    example sniff your network, slowly but steadily crack your
    passwords, possibilities are endless.
 
[deleted]
 
herf - 35 minutes ago
This is also a business model problem. Consumer hardware companies
do not have the margin to make and support software that needs to
run for ten years or more.Before the iPhone, software and hardware
were often different and had different business models.
 
  Sophistifunk - 21 minutes ago
  This is the big problem, and regulation can not fix it. If
  companies are expected to pay programmers and testers and support
  staff to keep their devices up-to-date, that money needs to come
  from somewhere, and cloud "services" that don't provide any value
  but exist only for MRR and lock-in are only going to result in a
  bigger attack surface and a bricked device when the company folds
  or loses interest.
 
  AnimalMuppet - 15 minutes ago
  Then maybe there isn't the economic case for making non-premium
  stuff that connects to the internet.
 
mediocrejoker - 59 minutes ago
I always get nervous when governments create laws regarding
technology due to the relative speeds at which governments and
technology evolve (slow and fast, respectively).
 
leggomylibro - 58 minutes ago
Bullshit.What makes 'IoT' any different from an ordinary network-
connected computer? You're either saying "it's time to regulate
networked computing devices" or, "I want to carve out an easygoing
regulation-free niche for MY product[s] to artificially excel in."I
try not to be needleslly pessimistic, but this article has no
definition of 'IoT' beyond 'networked computer with sensor', so
three guesses as to which one it is.
 
  MBCook - 32 minutes ago
  I can easily update my Mac or my Windows PC. I also know that
  Apple and MS will be around for a while.How do I update my
  lightbulb? Who will make updates for? Maybe Phillips will for
  their product but what about smaller OEMs? What if the company
  quickly goes out of business like Juicero?Depending on what you
  buy and where you buy it do people even know who made it? Would
  you even know how to check for updates (assuming they exist)?
 
    leggomylibro - 14 minutes ago
    You can, but you very well might not. And your desktop computer
    is a far, far more valuable target in terms of computing power
    and network connectivity. Should we be regulating that device
    as protection against your choosing or forgetting to not follow
    best practices?
 
      MBCook - 4 minutes ago
      > And your desktop computer is a far, far more valuable
      target in terms of computing power and network
      connectivity.It?s also FAR more secure. IoT devices are often
      easy to hack. And while they may not have much horsepower
      they have a network connection. You won?t mine many Bitcoins
      but it doesn?t take a lot power to be part of a DDoS.And I
      have one computer, one tablet, one phone. I may have 5 smart
      lightbulbs, a DVR, a security camera or two, a indoor/outdoor
      thermometer....
 
jstewartmobile - 3 minutes ago
Always love Mr. Schneier, but I think torts would be a better way
of handling this.There are several problems with regulation: a)
Whack-a-mole, new ideas and business models arise faster than the
speed of government. b) Regulatory capture, like what happened to
our banking regulations. c) More often than not, penalties are
captured by the regulator, but compensation is not made to the
injured parties. d) International law / trade agreement
complications.  I'm sure there are many more.If manufacturers knew
they'd be on the hook for damages in a dollar-to-dollar way, they'd
put more engineering into their work, they would price it
accordingly, and personally I'd be fine with that.
 
[deleted]
 
  maltalex - 55 minutes ago
  Have you met users?
 
noonespecial - 49 minutes ago
On the surface, I agree with this.In practice I expect it to result
in fewer products on the market that are more expensive and no more
secure as this sort of regulation will simply select for large
companies who are experts at paperwork and soft bribes.I wish I had
a better idea.
 
  joe_the_user - 34 minutes ago
  ...this sort of regulation will simply select for large companies
  who are experts at paperwork and soft bribesWhat do you mean
  "this sort?" Schneier just says "we need regulation", that's
  pretty definitely all the article says.
 
    wmf - 9 minutes ago
    Any regulation tends to select for companies that can appear to
    comply at the lowest cost.
 
  5706906c06c - 45 minutes ago
  Agree, regulations could deter entrepreneurs from trying since
  the barrier to entry could be high. Then again, regulations like
  HIPAA haven't really stopped a slew of Digital Health shops from
  trying, so it might not be as bad.
 
  tehlike - 43 minutes ago
  Utopia, but marketplaces selling only the ones they consider
  secure would work maybe.Think costco, not selling products that
  they believe doesnt have the quality their customers deserve.
 
PatientTrades - 48 minutes ago
Of course Schneier would want regulation in Iot. That's literally
billions of tax dollars that would go to his and other tech
consulting and compliance companies. What we really should push for
is Open source regulation. Naturally government is always behind on
cutting edge tech issues. Open source regulation would improve the
efficiency of regulation while saving billions of dollars.
 
  [deleted]
 
  tonyarkles - 9 minutes ago
  Could you elaborate? I'm being genuine here when I say that I
  have no idea what you mean by Open Source Regulation.
 
rb808 - 22 minutes ago
One thing that should be happening is that ISPs should have to
monitor traffic to look for DoS agents, bad bots and perhaps some
common vulnerabilities, with the ability to throttle the pipe or
shut it off if problems aren't remedied.Regulating IoT is tougher,
but is analogous to licensing the airwaves.
 
ausjke - 20 minutes ago
Something similar existed called FIPS-140, though it is hard to
certify and not a good fit for IoT.IoT router/firewall might be one
of the solution here, i.e. adding IoT pattern into existing
routes/firewalls to protect IoT devices, in addition to your PCs
and sometimes BYODs(smart phones etc).It is very hard to make all
IoT devices secure due to limited resource they have, so the first
line of protection should be done on the router/firewall/gateway I
think.
 
hw - 18 minutes ago
As we move towards a more decentralized future, it's hard to see
governments controlling or regulating something like IoT.Sure, the
idea of billions of devices around the world connected somehow is
scary, but government regulation is not the answer. If anything,
regulation needs to be decentralized. More open source, community
involvement with reviews and discussions, more self regulation
 
maltalex - 43 minutes ago
I don't think that government certification is the answer here.
This will turn security into a check-mark. Companies will do the
bare minimum to get certified and won't invest a penny more. This
would solve some of the more extreme cases we see, but I doubt
it'll make a real impact.Instead, I feel that accountability would
work much better here. If you're selling an IoT device, and you
haven't taken industry standard precautions for securing it, then
you're on the hook for whatever your device is used for. The same
can be applies to companies storing personal information e.g.
Equifax.
 
  MBCook - 35 minutes ago
  I think Schneier is right. The market has utterly failed here and
  there is no reason to think it will start working. Class action
  lawsuits are very slow and you have issues of trying to prove
  actual harm. To use his example if my TiVo is part of a botnet
  but continues working perfectly, have I been harmed in a way
  that?s likely to let me sue someone?What happens when you want to
  sue a company for lack of updates when the company went out of
  business 6mo after it was created (like Juciero)? You can?t sue
  them, where a law could have forced them to be secure from the
  start or put up a bond to support the devices for a
  while.Companies will do the bare minimum to get certified? You
  realize that?s a massive jump compared to what happens now.
 
    orblivion - 9 minutes ago
    Make consumers liable. They're really the guilty (by
    negligence) party anyway, right? Okay, that would be a shock to
    the system. So grandfather in old devices and/or slowly phase
    it in.That's still quite a chilling effect though. Well, maybe
    it should be. Now we're really careful about what we buy. But
    maybe it's too much. Who wants to expose themselves to a small
    chance of high liability? Okay, so allow insurance against said
    liability. Wouldn't that defeat the purpose? Well, no.
    Insurance companies would only insure against liability for
    devices they've vetted and approved.Boom, market regulation. It
    works for cars (see IIHS).
 
    scoggs - 8 minutes ago
    From my POV all I can come up with that feels concrete is
    somehow trying to figure out a plan / system where we can
    ensure companies that should have a certain level of security
    can be held liable (no question) in a way that prevents things
    from being handled in a reactionary way. The problem I keep
    running into is that each and every scenario and company this
    type of system will effect will be a case-by-case basis.I can't
    brainstorm many simple solutions that blanket cover many
    different types of businesses, markets and scenarios.
 
    maltalex - 8 minutes ago
    You're right, and perhaps ideally we should have a mix of both
    accountability and certification. I don't know who could or
    would sue TiVo for the attack, and I don't know how to solve
    the problem of out of business companies. This approach has its
    drawbacks.However, give the certification process some thought
    too. I can see quite a few drawbacks here as well.First, a
    significant advantage for established, rich companies. We'll be
    swamped with IoT from Apple, Google, Facebook and Amazon while
    small competitors have a hard time getting their products to
    the market.Second, you'd need give the regulatory body access
    to both your software and your hardware. And what if the device
    is connected to some cloud server? That body may need to look
    at its code too to make sure that your control server is
    compliant? And what about the network? The database? Where does
    it end?Third, certification can't be a one-time deal. That
    protocol your lightbulb uses to talk to the microwave oven for
    whatever reason? Well, someone broke that and can now make both
    of them divulge your dirtiest secrets. The same regulatory body
    would have to keep track of such vulnerabilities and force
    manufacturers to update their devices - and what if the
    manufacturer has gone bankrupt? What if he doesn't want to
    update these devices? Are you going to force people to throw
    away their light bulbs? You'll have to, otherwise you're back
    to square one in which all devices are compromised, only now it
    takes a little bit longer.Imagine the bureaucracy all of this
    will require.
 
      MBCook - 1 minutes ago
      You?re right, it?s not easy. But even specifying hilariously
      trivial stuff like HTTPS, certificate pinning, no hardocded
      backdoors, and per-device random initial passwords would
      probably be a huge boon. Simple security without even talking
      about the problems on the service servers.I imagine a market
      would appear for some of the basic software (Linux diaries,
      etc) to help make things easy for small companies that do
      want to do it all themselves.I like the government idea
      because frankly I can?t think of anything else that would
      work (outside a rediculously improbable change in consumer
      behavior).
 
jstewartmobile - 16 minutes ago
IoT is a solution that has been looking for a problem for at least
20 years now.  It's like every EE department in existence feels
compelled to cram micros and ethernet into every toaster,
thermostat and lightbulb.I guess it only took this long for enough
people to become insane enough to justify a market for it.Preach on
brother Bruce!
 
Asdfbla - 40 minutes ago
Even though many people scoff at the idea of government
regulations, the economic incentives in IoT security are really all
messed up and it's not really clear that the market will fix itself
because so much of the damage can be externalized somehow. Does the
manufacturer of a cheap and outdated IoT device care if it's
participating in some ddos attack? Or like Schneier said, does the
consumers care if they don't notice?There seem to be some soft
mechanisms that governments could explore. Maybe something like
demanding opening the source code once security updates for the
device stop, so consumers could help themselves. Or at least, an
even more modest regulation, simply allowing all consumers to hack
their own devices without fear of violating any laws.One thing that
could hurt the market is maybe making manufacturers liable for the
damages caused by security holes in their devices, but regulation
doesn't have to go that far to make an impact.
 
  wmf - 10 minutes ago
  demanding opening the source code once security updates for the
  device stopThey probably don't even have the (usable) source
  code.
 
  maltalex - 29 minutes ago
  > opening the source code once security updates for the device
  stop, so consumers could help themselvesThat might help the
  readers of HN, but not users in general. Most users won't bother
  installing security updates for their PC if it's not forced on
  them. Updating one's light bulbs with something off github is a
  non-starter.
 
    kbenson - 13 minutes ago
    It could help the market.  It wouldn't be that hard to scan
    your local network and gather devices and firmware versions (if
    supported) or fingerprint them if all else fails, and compare
    against a database of known bad versions and provide weekly or
    monthly reports by email.  I could see this being offered as a
    selling point of routers.  AT&T and Comcast would almost
    definitely include support in their modem routers just for the
    extra protection it provides for their networks (and the extra
    data it gives them about every customer...  I'm sure Comcast
    would love to know the number and types of Rokus and Fire
    sticks people had, if they aren't already doing this).
 
  AnimalMuppet - 17 minutes ago
  > One thing that could kill the market is maybe making
  manufacturers liable for the damages caused by security holes in
  their devices, but regulation doesn't have to go that far to make
  an impact.What reasonable case is there for making them not
  liable for the damages caused?