كاليفورنيا تصدر قانون يحظر كلمات المرور الافتراضية

أصدرت ولاية كاليفورنيا الأمريكية قانونًا يحظر استخدام كلمات المرور الافتراضية مثل “admin” و “123456” و “password” في الأجهزة المتصلة بالإنترنت وجميع الأجهزة الإلكترونية الإستهلاكية الجديدة ابتداءً من عام 2020، ويأتي ذلك كجزء من حملة الولاية ضد الهجمات السيبرانية، ويتطلب القانون من الشركات المصنعة منح كل جهاز جديد يصنع أو يباع في الولاية من أجهزة التوجيه إلى أجهزة المنازل الذكية كلمة مرور فريدة من نوعها ومعقدة مبرمجة مسبقًا إلى جانب ميزات أمان معقولة تتلاءم مع طبيعة الجهاز ووظيفته.

كما ينص قانون ولاية كاليفورنيا على أن أي جهاز جديد يحتوي على ميزة أمان تتطلب من المستخدم إنشاء وسيلة جديدة للمصادقة قبل منح الوصول إلى الجهاز لأول مرة، مما يجبر المستخدمين على تغيير كلمة المرور الفريدة إلى شيء جديد بمجرد أن يتم تم تشغيله لأول مرة.

ويعني هذا أن العملاء الذين يمتلكون أجهزة تم اختراقها يمكنهم مقاضاة الشركة المصنعة إذا لم تلتزم بهذه التغييرات الجديدة، حيث غالبًا ما يستخدم المصنعون كلمة مرور واحدة نظرًا لأنها أسهل بالنسبة لهم، كما أن الكثير من المستهلكين لا يهتم بتغيير كلمة المرور أو وضع كلمة مرور قوية خاصة بهم.

واستفادت شبكات البوت نيت Botnet لسنوات عديدة من قوة الأجهزة المتصلة المحمية بشكل سيئ في هجمات استهداف المواقع الإلكترونية بكميات هائلة من حركة الإنترنت، فيما يسمى هجمات الحرمان من الخدمة الموزعة DDoS، حيث تعتمد شبكات البوت نت Botnet عادةً على كلمات المرور الافتراضية التي يتم وضعها ضمن الأجهزة عند تصنيعها والتي لم يتم تغييرها لاحقًا بواسطة المستخدم.

كما يتم اختراق العديد من الأجهزة وزرع البرمجيات الضارة تبعًا إلى استخدامها كلمات المرور الافتراضية العامة المتاحة للجميع، مما يتيح للمخترقين استخدامها لإجراء هجمات إلكترونية بدون علم المستخدم، واستخدمت قبل عامين شبكة البوت نت الشهيرة المسماة ميراي Mirai الآلاف من الأجهزة معًا لاستهداف داين Dyn، وهي شركة شبكات تقدم خدمات اسم النطاق للمواقع الرئيسية.

وأدت تلك الهجمات إلى جعل شركة Dyn خارج نطاق الخدمة لساعات، مما جعل عشرات المواقع الرئيسية التي تعتمد على خدماتها مثل تويتر وسبوتيفاي Spotify وساوند كلاود SoundCloud خارج نطاق الخدمة، وكانت شبكة ميراي بدائية إلى حد ما، واعتمدت قوتها على عدد الأجهزة غير المحمية بشكل جيد عبر استخدام كلمات المرور الافتراضية.

وقالت هانا بيت جاكسون Hannah-Beth Jackson، عضو مجلس الشيوخ التي كتبت مشروع القانون في بيان صحفي: “الافتقار إلى ميزات الأمان الأساسية ضمن الأجهزة المتصلة بالإنترنت يقوض خصوصية وأمن المستهلكين في كاليفورنيا ويسمح للقراصنة بتحويل الإلكترونيات الاستهلاكية اليومية ضدنا، ويضمن هذا القانون أن التكنولوجيا تخدم شعب كاليفورنيا، وأن الأمن ليس أمر ثانوي بعد الآن، بل مكون أساسي في عملية التصميم”.

ويعتبر قانون كاليفورنيا الجديد، الذي تم تمريره من قبل المجلس التشريعي للولاية في شهر أغسطس/آب ووقعه الحاكم جيري براون Jerry Brown في الأسبوع الماضي، خطوة في الاتجاه الصحيح لمنع هذه الأنواع من الشبكات، لكنه ما يزال بعيدًا عن المسائل الأمنية الأوسع نطاقًا، إذ لا تحتاج شبكات البوت نت الأخرى الأكثر تطورًا إلى تخمين كلمات المرور لأنها بدلاً من ذلك تستغل نقاط ضعف معروفة في أجهزة إنترنت الأشياء مثل المصابيح الذكية وأجهزة الإنذار والإلكترونيات المنزلية.

كما أن القانون لا يفرض على صانعي الأجهزة تحديث برمجياتهم الثابتة عند العثور على خلل، إذ بغض النظر عن قيام العديد من صانعي الأجهزة الكبار مثل جوجل وآبل وأمازون بتحديث برمجياتهم الثابتة بشكل دوري لتصحيح الأخطاء والثغرات الأمنية وإضافة ميزات جديدة أحيانًا، فإن هناك العديد من العلامات التجارية الأقل شهرة التي لا تفعل ذلك.