Cyber Security Raad: verban onveilige iot-apparaten van Europese markt

De Cyber Security Raad adviseert de minister van Justitie en Veiligheid om keurmerken en certificering voor internet of things-apparaten vast te stellen. Apparaten die onveilig zijn, zouden zo van de Europese markt geweerd kunnen worden.

De Cyber Security Raad is bezorgd om de beheersbaarheid van internet of things wat betreft beveiliging en privacy en heeft de minister van Justitie en Veiligheid daarom een aantal adviezen gestuurd. De raad is van mening dat de bedreigingen van de techniek op Europees niveau aangepakt moeten worden, maar dat er desnoods een wetsvoorstel moet komen met eisen waar de iot-producten aan moeten voldoen.

De raad denkt daarbij onder andere aan minimumeisen wat betreft de periode waarop de fabrikant ondersteuning biedt met beveiligingsupdates en de manier waarop die updates worden gedistribueerd, bijvoorbeeld automatisch of niet. Daarnaast noemt de adviesraad de eis dat het apparaat basaal moet kunnen blijven functioneren, ook als er geen internetverbinding is.

Als niet aan de eisen voldaan wordt, dan zou zo'n iot-product niet op de Europese markt mogen komen. Voor de certificering zou de overheid het EU Cybersecurity Certification Framework en eventueel de CE-markering in kunnen zetten, is de suggestie.

In het advies staat daarnaast dat fabrikanten met bijvoorbeeld stickers op de verpakking consumenten dienen te informeren over het beveiligingsniveau, het al dan niet ontvangen van automatische updates en de ondersteuningsperiode. De invoering van zo'n labellingsysteem zou gepaard kunnen gaan met een voorlichtingscampagne van de ministeries van Economische Zaken en Klimaat en van Justitie en Veiligheid. De overheid zou consumenten op deze manier meteen kunnen informeren over de risico's van iot.

Internetproviders zouden ten slotte iot-apparaten die besmet zijn met malware, moeten aanpakken, net zoals nu met botnets gebeurt. De Cyber Security Raad heeft het advies opgesteld omdat bij het uitblijven van maatregelen naar eigen zeggen 'het iot ingrijpende gevolgen kan hebben in de fysieke en digitale wereld en daarmee voor de digitale toppositie van Nederland'.

IT-banen

Reacties (80)

CAPSLOCK2000

Netwerk en systeembeheer

11 januari 2018 18:03

De raad denkt daarbij onder andere aan minimumeisen wat betreft de periode waarop de fabrikant ondersteuning biedt met beveiligingsupdates en de manier waarop die updates worden gedistribueerd, bijvoorbeeld automatisch of niet.

Sodeju, er lijkt daadwerkelijk iemand na te denken.
Dit is precies wat we in dit stadium nodig hebben. Een wet die voorschrijft dat er updates komen en dat je die (zelf) moet kunnen toepassen.

Hoe die apparaten precies beveiligd moeten worden en hoe het patchen moet verlopen hoeven we nu nog niet te bespreken; dat is toch een snel veranderend doel. Eerst maar eens zorgen voor goede update-mechanismen, dan wordt het vanzelf makkelijker om snel nieuwe patches uit te brengen en te verspreiden.
Voorlopig mogen bedrijven dan zelf bedenken wat "goed genoeg" is.
Als we eenmaal wat ervaring (en een paar rechtszaken) hebben gehad dan kunnen we nadenken over wetten die meer in detail treden.

Verwijderd @CAPSLOCK2000 • 11 januari 2018 18:21

[...]

Sodeju, er lijkt daadwerkelijk iemand na te denken.
Dit is precies wat we in dit stadium nodig hebben. Een wet die voorschrijft dat er updates komen en dat je die (zelf) moet kunnen toepassen.

Jouw tante Truus die elke Zaterdag alle dingen met een IP afgaat en update? In mijn huishouden zijn 52 IP addressen actief en al mijn huisautomatisering gaat zonder IP (op Z-Wave)! Niet vergeten je koelkast en wasmachine te updaten want die van mij (Samsung) hebben deze week security updates gekregen!

Het is absoluut onmogelijk om handmatig al je apparaten te updaten. In mijn mening is beveiliging van veel apparatuur (waar je geen data op hebt etc) een onmogelijkheid.

Damn wanneer heb ik voor de laatste keer gekeken of de twee routers updates nodig hadden? Oh crap en heeft de Mac van mijn vrouw wel de nieuwe BIOS voor de recente Intel hacks? Ook niet vergeten deze week Tessie ergens te parkeren waar 2G netwerk is want die heeft vast ook wel weer eens een update nodig.

CAPSLOCK2000

Netwerk en systeembeheer

@Verwijderd • 11 januari 2018 19:57

Jouw tante Truus die elke Zaterdag alle dingen met een IP afgaat en update?

<knip>

Het is absoluut onmogelijk om handmatig al je apparaten te updaten. In mijn mening is beveiliging van veel apparatuur (waar je geen data op hebt etc) een onmogelijkheid.

Volgens mij focus je op het verkeerde deel van die zin. Het gaat er om dát het mogelijk is om updates toe te passen. Of de gebruiker in kwestie dat ook wil en doet is stap twee. Als het gewoon onmogelijk is om apparaten te updaten dan zal het ook niet gebeuren.

Als we dan toch een verplichting hebben dat apparaten onderhoudbaar zijn dan is de volgende stap dat we gaan nadenken hoe we het makkelijk maken voor gebruikers. Zonder de eerste stap heeft dat echter geen zin.

Dat veel (hedendaagse) apparatuur niet te beveiligen is ben ik met je eens, maar dat proberen we nu net aan te pakken.

Ik verwacht dat we vroeg of laat allemaal een computer in onze meterkast hebben hangen die alle IT in ons huis centraal beheert. Één plek waar alle patches verzameld worden en worden uitgerold naar de rest van je huis, en/of alarm slaat als het nodig is. Met alle domotica, alexa's en HTPC's van tegenwoordig hebben de meeste mensen al zo'n centrale computer.

_Zedd_ 11 januari 2018 18:11

Laten we eerst beginnen met betere wetgeving tav het bijhouden/updaten van software. De versnippering van Android is een goed voorbeeld hoe het niet moet want de meeste fabrikanten stoppen na 1 a 2 jaar (uitzonderingen daargelaten) met het updaten. Dit probleem is groter dan alleen IoT.

Updaten van software zou je mogelijk kunnen verdelen in twee categorien: standaard updates of nieuwe releases en critical/key-updates die gevolgen hebben op beveiliging en dergelijke (zoals SSL library voor routers). De laatste categorie moet verplicht langer worden ondersteund door de fabrikant.

Daarna beter wetgeving hoe beter om te gaan met EOL hardware/software. Dit moet een realistische periode zijn en niet afhankelijk van de fabrikant. In dit opzicht heeft Europa al een paar stappen gezet.

Als je dan een device hebt dat zowel EOL en EOS volgens deze nieuwe wetgevingen, dan moet er ook nog een manier zijn om de eigenaar te waarschuwen van het gevaar. Als de eigenaar dan besluit om niets te doen (zaken als netwerk segregatie, van internet afhalen enz), dan is de eigenaar verantwoordelijk.

Het probleem hiervan is wel dat de innovatie hierdoor lastiger wordt. Immers een klein bedrijf dat via crowdfunding een smart-iot-iets verkoopt krijgt dan met zwaardere wetgeving te maken als het gaat om ondersteuning op langere termijn.
Daarnaast heb je nog de import van devices uit landen (zoals China) waarbij deze wetgeving niet is doorgevoerd.

bbob

Netwerk en systeembeheer

@_Zedd_ • 11 januari 2018 18:30

Dat is een een goed voorbeeld, minimaal updates.

Maar goed in het artikel lees ik onderdeel van de CE markering. Dat is een vrijwillige markering, c.q label dat je zegt te voldoen aan bepaalde eisen. Probleem is dat er daarop geen controle is, alleen steekproef of pas na klacht wordt het onderzocht.

De importeur van buiten de eu is dan aansprakelijk. Grote kans dat je dan met polf bv's te maken krijgt of dat import via een eu land komt dat het minder nauw neemt.
Daarnaast hoe voorkom je dat mensen dan bij aliexpress bestellen en de order rechtstreeks verstuurd wordt. In dat geval kun ej de verkoper in china helemaal niet aanspreken.

totaalgeenhard @bbob • 11 januari 2018 18:35

Bij CE is entiteit binnen de EU verantwoordelijk dat het conform Europese regels is.

En ja, rechtspersonen kunnen omvallen.

Echter bestuursaansprakelijkheid (mits aantoonbaar) kan bescherming door rechtspersoon (BV/Limited/SARL/BVBA etc..) opheffen.

guapper @totaalgeenhard • 11 januari 2018 23:20

Leg dat maar eens uit in China; daar staat het gewoon voor 'China Export'.

totaalgeenhard @guapper • 12 januari 2018 05:03

De verkoper aan deze kant is verantwoordelijk. Zodra je het hierheen haalt en in verkoop gooit ben je verantwoordelijk.

Moet je niet simpel over denken want als je iets verkoopt als importeur en CE staat erop en iemand raakt arbeids ongeschikt door product zal je WA niets dekken als je geen test resultaten kunt overleggen van gerespecteerde en gecertificeerde partijen.

The Zep Man

Netwerk en systeembeheer
Beveiliging

@totaalgeenhard • 12 januari 2018 07:59

De verkoper aan deze kant is verantwoordelijk.

Steeds meer mensen kopen via AliExpress, Gearbest en andere partijen die het direct bestellen uit China faciliteren. Er is dan geen verkoper 'aan deze kant'.

Je kan in zo'n situatie stellen dat de importeur (=de consument) dan verantwoordelijk is voor de updates/het veilig gebruik van het apparaat.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:42]

totaalgeenhard @The Zep Man • 12 januari 2018 16:21

Douane zou het tegen moeten houden.

Maar als jezelf voor eigen gebruikt importeert moet je nergens over zeuren.

Als je rechtstreeks bij de boer verse melk zou halen en er eens ziek door worden ivm e.a. uier ziekte (ik noem maar wat) zeur je toch ook niet.

Verwijderd @bbob • 12 januari 2018 07:45

Als een consument bewust buiten de EU iets koopt dat vervolgens rotzooi veroorzaakt, dan kan je die persoon toch persoonlijk aansprakelijk stellen? In feite is die persoon dan de importeur.

Soldaatje @_Zedd_ • 11 januari 2018 18:54

Ik zou dan ook graag zien dat alle hardware open wordt in zoverre dat de eindgebruiker zijn eigen software erop kan zetten. Dat maakt de weg naar meer geupdate systemen makkelijker.
Kijk naar Linux op de pc, dat werkt prima wat updates betreft.

_Zedd_ @Soldaatje • 11 januari 2018 19:40

Dat is een nobel idee maar zal nooit gebeuren voor alle hardware. Als gebruiker/koper en tweaker let ik hier wel op maar een tweaker is uitzondering op de regel.

Neemt niet weg dat IoT, op dit moment, meer open is dan de hardware van meer dan 10 jaar geleden.

Verwijderd 11 januari 2018 19:08

Beste raad, graag ook bedrijven verplichten om hun updates pas te installeren nadat er een cryptografische check is gedaan op de te installeren binaries.

Ik ben al bij véél bedrijven geweest (te veel, veel te veel) waar er een bende amateurs zit die er heilig van overtuigd zijn dan ze een eigen package management moeten uitwerken. Ik heb er zelfs al hun eigen FTP server zien implementeren (vol met security fouten, natuurlijk).

Meestal doen die mensen dat omdat ze dan werk voor zichzelf kunnen creëren. Vooral in slechte tijden proberen die mensen hun management van zulke onzinnige projecten te overtuigen.

Maar vrijwel geen enkel van die zelf uitgevonden misbaksels komen zelfs maar in de buurt van standaard package management systemen. Zo heeft Windows .msi files en NuGet, Debian (en Ubuntu, en zo) .deb files, en RedHat (en OpenSuse, en zo) RPM files. Helaas heeft OpenWRT ervoor gekozen het .deb formaat gehandicapt te maken (doet dacht ik geen cryptografische check) hoewel ik dacht dat je er ook met .deb kan werken.

Daarin zit reeds alle nodige voorziening (inclusief public/private key trust tooling om mogelijk te maken dat je enkel packages van een betrouwbare bron installeert). Bedrijven krijgen er dan ook meteen een set server-software bij die op schaalbare manier (gedistribueerd, met mirrors bv.) updates kan distribueren. Dus dat zelf bedenken is vrij dwaas. Maar ok. Stel dat ze het toch zelf willen doen, dan hoor je als "Cyber Security Raad" te verplichten dat ze één en ander cryptografisch nakijken volgens bepaalde standaarden (m.a.w. enkel packages installeren die gesigned zijn met een private key waarvoor er eerst een public key op het toestel werd geïnstalleerd).

Want anders, als men adviseert te gaan verplichten dat updates moeten gedistribueerd worden (of dat dit mogelijk moet zijn), dan is de volgende stap van incompetentie die bedrijven aan de dag zullen leggen dat ze die updates slecht en onveilig zullen gaan distribueren.

Wat dan gaat gebeuren is dat het idioot slecht en door amateurs bedachte update mechanisme zal aangevallen worden. M.a.w. gewoon MiTM op de lijn tussen de server met updates en het toestel, en we laten het toestel zichzelf met malware updaten. Dat is bijna kinderspel dan.

Vergeet niet dat de securityincompetentie bij veel bedrijven (zeker de gemiddelde IoT softwareboerderij) door merg en been kan gaan. En dat terwijl er een bende jongeren zal zitten die bij hoog en laag van zichzelf zullen beweren super goddelijk goed in security te zijn. Dat zijn degene wiens "oplossingen" binnen de minuut gekraakt worden. Dat zijn ze bijna zeker niet, en oplossingen voor vrijwel alle problemen, gerelateerd aan systemen veilig te updaten, bestaan reeds. Allemaal. Dus dat moeten ze niet zelf heruitvinden. Maar maak het maar best moeilijk voor als ze dat dan toch willen doen.

Skit3000

11 januari 2018 17:56

Of een goed standaardcommunicatieprotocol ontwikkelen (en opdringen) waarbij je data in principe in eerste instantie in je woning blijft, behalve als je zelf kiest dat er met een bepaalde leverancier verbinding gemaakt mag worden. Een apparaat kan nog zo veilig zijn, als de server waar die verbinding mee maakt dat niet is (en je kunt niet voor een ander kiezen!) dan weet je nog niet wat je in huis haalt.

Verwijderd @Skit3000 • 11 januari 2018 19:51

Een veilig standaardcommunicatieprotocol met een slechte implementatie maakt de implementatie nog steeds onveilig.

Fouten zitten overigens meestal in de implementatie.

En om het even welk communicatieprotocol veilig maken doe je door, het te encrypteren. M.a.w. HTTPS ipv HTTP, SMTPS ipv SMTP, POPS ipv POP, FTPS ipv FTP en IMAPS ipv IMAP.

Als je de server niet kan vertrouwen, dan heb je public/private key infrastructuur nodig. Ieder stukje content (ook een binary) kan nagekeken worden a.d.h.v. een public key op het toestel: enkel een private key kan een signature maken die de public key op het toestel zal accepteren. Die private key blijft dus bij de leverancier van de content. De public key staat op alle toestellen.

Geen private key? Dan maak jij geen content die het toestel zal accepteren.

Daarna hoef je de server niet meer te vertrouwen: de server kan enkel maar content aanleveren die te vertrouwen en dus gesigned is (met de private key). ALLE andere content verwerpt je toestel.

Dus zelfs al is zo'n server op ingebroken? Als ze de private key niet hebben (hoeft niet op de server te staan), kunnen ze geen content maken die toestellen zullen accepteren.

Dit is nb. hoe Debian en RedHat packages gesigned worden. Zo ver ik weet ook hoe Microsoft hun eigen MSI packages signed.

Verwijderd @Skit3000 • 11 januari 2018 18:11

Of een goed standaardcommunicatieprotocol ontwikkelen (en opdringen)

Dat bestaat. Z-Wave.

Tassadar32 @Verwijderd • 11 januari 2018 19:33

En Z-wave apparaten hebben vaak ook updatable firmware dus in de toekomst kan de beveiliging gepatched worden indien nodig.

Snake @Skit3000 • 11 januari 2018 17:58

Dat gaat nooit werken, want dan kunnen de bedrijven geen vendor lock-in meer doen. Wat ze net willen is dat de data zo snel mogelijk op HUN servers staat, zodat ze jouw kunnen aanrekenen om jouw data te kunnen zien.

Gamebuster @Snake • 11 januari 2018 18:05

natuurlijk gaat dat wel werken

dat bedrijven het willen, betekent niet dat ze altijd krijgen wat ze willen. Bedrijven willen ook geen verplichte retourrecht, of wettelijke garantie.

Ik ben er voorstander van: Vrijheid in cloud functionaliteit. Verplicht open protocol. Wat doe je anders met die hardware wanneer de servers down gaan? Kan je je hardware weggooien... lekker voor het milieu! Zie je het al voor je dat je een 1998 Volkswagen Golf hebt, en dat Volkswagen besluit de servers uit te schakelen, waarna je auto nutteloos is? Dat is IoT.

Verwijderd @Snake • 12 januari 2018 07:47

is dat bij jouw werk het eerste waar jullie aan denken als je iets gaat maken? Er zijn ook bedrijven met een andere mindset.

slowdive @Snake • 11 januari 2018 18:04

Dus je gaat er bij voorbaat van uit dat men niet kan beslissen dat de data niet het huis uit gaan? Ik vind de suggestie van Skit3000 een prima suggestie.

Dat gedachte dat bedrijven onbeperkt met onze data kunnen verdienen, mag wel aan wat restricties gebonden zijn.

Skit3000

@Blokker_1999 • 11 januari 2018 18:14

Als iemand specifiek achter jou aan zit en ze willen echt iets van je hebben, komen ze je huis ook wel in. Het gaat juist om wie jouw huis niet in komt maar dat via onveilige apparaten nu wel kan.

slowdive @Blokker_1999 • 11 januari 2018 18:16

Als je zo redeneert kun je die commissie veel opheffen. We gaan natuurlijk wel uit van goed versleuteld communicatie die alleen wordt verstuurd naar plekken die jij als eigenaar bepaald.
Dan mag het wifi-signaal beste buiten de muren komen.

Luinwethion @Skit3000 • 11 januari 2018 18:08

Dat probeerde men met Zigbee en Z-wave voor communicatie tussen hub en IoT devices.

Echter werkt dat nauwelijks, vooral als we over grote bedrijven hebben.

De lampen van IKEA bijvoorbeeld, werken nu in principe met de Hub van Philips, maar dat is basic, en IKEA kan geen firmware update voor hun producten pushen via de Hue hub.

Leuke idee die protocollen, niet alle IoT apparaten hoeven via WiFi verbonden te worden, maar ook Zigbee en Z-wave kunnen beveiligings lek hebben, daarom zijn die firmware updates ook zo belangrijk.

Stoelpoot @Skit3000 • 12 januari 2018 09:50

Oh, een nieuwe standaard?

Zodra dit soort wetten er zijn, zullen bestaande standaarden in de spotlight komen en aansluiten op de eisen en wensen van gebruikers.

Verder is het opdringen van een standaardprotocol een heel erg slecht idee, omdat je dan de innovatiekracht weghaalt. De concurrentie is dan weggenomen. Bovendien is er dan de kans dat een Amerikaans bedrijf zich op 1 protocol richt, en dat de Europese markt een ander protocol voorschrijft wat niet correct wordt ondersteunt. Of dat Apple er voor kiest om dat protocol niet e ondersteunen. Of dat China dat protocol verbiedt vanwege de sterke privacywaarborg.

Krokant 11 januari 2018 18:06

En wat met alle IoT apparaten die verbonden zijn met een netwerk dat niet eens firmware updates toelaat? Denk aan LoRaWAN of SigFox devices waar je at best met een hondertal berichten per dag zit van enkele bytes. Mijn insziens zal dit soort apparaten, die op LPWAN netwerken werken net om 10 jaar batterijlevensduur te halen, zeer snel het overgewicht halen in deployment aantallen (Smart Cities/Smart Buildings volgestouwd met sensoren die je heus niet elke maand een batterijcharge kunt gaan geven!)... en zullen de "smart consumer brol" apparaten die eigenlijk gewoon een Linux SBC in vermomming zijn, toch maar een "randfenomeen" in de consumentenmarkt blijven.

Het lijkt me dat de Cyber Security Raad een zeer enge visie op IoT heeft en vooral blijft steken in alles wat "consumer" is. Er bestaat echter een veel grotere B2B en industrial IoT wereld waar je om manageability en security redenen heus geen 100.000 Linux's in disguise gaat uitrollen

Vizzie @Krokant • 11 januari 2018 19:28

B2B en industrie hebben zelf de kennis (of geld voor kennis) en de drijfveer (zorgen dat het spul waarmee je je geld verdient blijft werken) om dit goed te organiseren. Consumenten kunnen wel een beetje hulp gebruiken. Terecht dat de focus daar ligt.

Krokant @Vizzie • 11 januari 2018 23:09

...en de drijfveer (zorgen dat het spul waarmee je je geld verdient blijft werken) om dit goed te organiseren.

Ik heb het niet over verkoopstruuks/ingebouwde veroudering die proberen je elke 2 jaar een nieuw product aan te smeren - dat is bij consumenten en bij bedrijven hetzelfde overigens. Ik heb het over IoT oplossingen waar het technologisch onmogelijk is om een remote update te doen.

Dan maar 100 euro voor een fysieke interventie betalen aan een device dat 10 euro kost om toch een update geinstalleerd te krijgen? Dat bedoel ik met niet realistisch en een foute focus. Ik ben heel blij dat 1% van alle IoT apparaten veilig zal zijn (de consumenten devices), wat met de 99% andere?

World Citizen 11 januari 2018 18:30

Dit was een prima voorstel in 1990 geweest... maar we leven in het aliexpress tijdperk... dus hoe dit dan zou moeten?

Anonymoussaurus @World Citizen • 11 januari 2018 18:44

Geen goedkope, merkloze AliExpress producten kopen, tenzij het een bekend merk is wat via AliExpress verkocht wordt.

Verwijderd @Anonymoussaurus • 11 januari 2018 19:11

Het gemiddelde Xiaomi IoT device krijgt 1 software installatie. Daarna geen updates. Toch (inmiddels) best een bekend merk.

Anonymoussaurus @Verwijderd • 11 januari 2018 20:26

Hoe kom je daar bij? De meeste krijgen 1 Android-upgrade misschien, en dat zijn super goedkope toestellen, dus wat verwacht je? Bovendien krijgt de Mi A1 3 Android-upgrades, omdat het een Android One toestel is.

Verwijderd @Anonymoussaurus • 11 januari 2018 20:27

Een android telefoon =/ IoT device

Helium-3

@Anonymoussaurus • 11 januari 2018 20:16

Precies, maar de mensch in het algemeen verkiest gemak boven veiligheid, mileuvriendelijkheid of ethische verantwoording.

Verwijderd @totaalgeenhard • 11 januari 2018 19:40

Zelfs als zelf opensource fanaat zou ik hierop reageren met een Whataboutism over dat er in bv. Linux ook security fouten zitten. En in Apple producten trouwens ook. AMD en Qualcomm hadden ook CPU producten die vatbaar zijn voor Spectre (niet voor Meltdown, maarja, Spectre is ook een groot probleem).

M.a.w. dat lost structureel niets op. Wetgeving moet ook niet de één verkiezen boven de andere. Wetgeving is vormgeven. Je geeft vorm wat je van de samenleving verwacht. Je verlegt de lat.

Daarna is het aan iedereen om daaraan te voldoen. Ook voor Microsoft en Intel dus.

Voor Linux heb ik geen schrik, zolang wij maar opensource en freesoftware kunnen blijven maken en draaien (m.a.w. maak het niet onmogelijk om onze eigen rommel te blijven gebruiken, we hebben die mogelijkheid namelijk nodig om onze rommel te kunnen blijven maken). Voor Apple heb ik extreem veel schrik. Want die voelen zich véél te goed in hun vel, terwijl ze ook massa's security fouten hebben. Microsoft en Intel kunnen een hogere lat heus wel aan. Ze scoren nu zo slecht omdat de overheidsstok hun nek niet breekt. Dus waarom zouden ze?

Security brengt niet op. Zie je? Dus waarom the hell zouden ze er in investeren? De consument begrijpt het niet en is machteloos. Die koopt de rommel toch.

M.a.w. moet de overheid een grote stok nemen. En slaan. Zeer hard slaan. En de nek breken van een paar bedrijven. Zodat de overgebleven bedrijven zien én leren dat security (voor de consument, niet voor zichzelf) kan betekenen dat ze failliet gaan door overheids-tussenkomst én dat juridisch bv. de CEO een gevangenisstraf krijgt én dat de aandeelhouders aangepakt worden én én én. Toch blijf je slaan tot ze het ook echt door hebben. Daarna dreig je om nog meer te slaan in de toekomst. Zo blijven ze het doorhebben.

Microsoft en Intel kunnen echt wel veilige producten maken. Dat doen ze enkel maar niet omdat ze geen slaag krijgen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:42]

totaalgeenhard @Verwijderd • 11 januari 2018 19:56

Voor Linux heb ik geen schrik, zolang wij maar opensource en freesoftware kunnen blijven maken en draaien (m.a.w. maak het niet onmogelijk om onze eigen rommel te blijven gebruiken, we hebben die mogelijkheid namelijk nodig om onze rommel te kunnen blijven maken).

Waar denk je dat iot en vrijwel alle blackboxen gebruikt.

99% GNU Linux/xBSD

Dat scripts lek zijn, password hardcompiled zijn menselijke tekortkomingen waar jij als consument ondanks dat het opensource is (zou moeten zijn maar veel publiceren code niet) niet oplossen.

Ik zie ook ervaren linux coders niet iets patchen en compilen voor busybox of andere embedded compressed linux oplossingen.

Verwijderd @totaalgeenhard • 11 januari 2018 20:03

Het probleem van IoT is niet dat ze Linux gebruiken, het is dat ze daarna geen updates mogelijk maken én omdat ze niet de standaard packages gebruiken.

Bijna altijd is de software al jaren gepatched. Zou dat IoT toestel standaard packages gebruiken en gewoon standaard zichzelf laten updaten (als een Debian-based, bv. Ubuntu, of een Redhat based) dan zouden ze heel eenvoudig en absoluut zeker terug veilig zijn na één commandootje.

Voor de rest inderdaad, er zit een bende incompetenten bij de groep die zich "Linux programmeur" noemt. Het ergste van al is dat ze zich vaak beter voelen dan bv. Apple of Windows programmeurs. Want incompetentie begint bij zich beter te voelen uit ideologie. En dus hardcoden die incompetenten passwords, SSH private keys, en zo verder.

Ach ik heb ook al vrijwel-zeker opzettelijke backdoors in softwares van routers gevonden tijdens het werken aan software ervoor. Dus soms is het gewoon opzettelijk verborgen als incompetentie. En soms is de backdoor een opdracht van of hun bedrijf of de overheid. Zo gek is dat helemaal niet.

Maar de opensource wereld heeft de overgrote meerderheid van haar security problemen extreem snel opgelost. Zeker in vergelijking met closed-source vendors. Vaak ben ik nog niet gedaan met m'n mailbox met security-advisories door te nemen, of mijn apt-get update && apt-get upgrade installeerde de patches al.

Die IoT vendors sluiten echter DIE updates af van hun eigen consument.

totaalgeenhard @Verwijderd • 11 januari 2018 20:11

Google eens op busybox en linux from scratch.

Je zult dan zelf ook gaan begrijpen waarom je geen standaard distro en package manager kunt gebruiken.

Verwijderd @totaalgeenhard • 11 januari 2018 20:20

Ik ben zelf (zelfstandig) embedded software ontwikkelaar. Wees gerust dat ik het allemaal al gezien heb. In 98% van de gevallen kunnen de fabrikanten wel degelijk een standaard distro en package manager gebruiken.

De gemiddelde embedded computer is ongeveer 1000 keer sneller (op alle vlakken, disk I/O, netwerk I/O en CPU) als dat het 100den keer meer geheugen heeft (zowel disk als RAM) dan de computers hadden toen distributies zoals Debian en RedHat ontwikkeld werden. Op hun basis zijn die distributies nog steeds niet erg veel veeleisender geworden (let wel, op hun basis). Om de package manager te gebruiken heb je enkel maar het absolute minimum van een Linux distributie nodig.

OpenWRT heeft het Debian package management systeem gehandicapt gemaakt om routers uit de jaren negentig met zo'n 30MB ram ofzo te kunnen ondersteunen. Zelfs toen was dat niet nodig. De gemiddelde router van vandaag heeft een stuk meer dan 100MB RAM nodig. De Debian package manager heeft zo'n 12 MB ram nodig en hoeft niet continue te draaien. Weliswaar moet ook de Linux kernel draaien. Dat gebruikt ook een tiental MB ram de dag van vandaag.

Ik hoop dat je dat wat perspectief geeft. Ik geloof dat het duurder is, tegenwoordig, om een toestel te produceren met minder dan met meer dan 50MB RAM. Je moet nl. al wat gaan zoeken om minder te ondersteunen. Plus zullen je ontwikkelkosten een stuk hoger zijn.

Busybox wordt heel veel gebruikt maar is eigenlijk ook niet echt meer nodig. Busybox tracht meer "embedded" te zijn door de shell z'n binary (bash, m.a.w.) niet te hoeven fork() en daarna execv()-en wanneer scripts uitvoeren (m.a.w. die # !/bin/sh lijn bovenaan). Met systemd (hoe erg de religieuze anti-systemd mensen ook zijn) is dat een bullshit-argument geworden.

Op termijn gaan de leveranciers die Linux-From-Scratch doen, en/of BusyBox gebruiken, eruit gaan. Dat heeft eigenlijk geen zin meer.

totaalgeenhard @Verwijderd • 11 januari 2018 21:59

Ik ben zelf (zelfstandig) embedded software ontwikkelaar. Wees gerust dat ik het allemaal al gezien heb. In 98% van de gevallen kunnen de fabrikanten wel degelijk een standaard distro en package manager gebruiken.

Ik kan het haast niet geloven omdat je jezelf ZO tegenspreekt in deze zin.

Ik ben geen embedded software ontwikkelaar, ja als tiener PLC's geprogrammeerd en software aangepast voor TV decoders en e.a. NAS'sen moeten hacken ( recovery, clone, fixen etc..)

Maar CPU + RAM + FLASH /EEPROM storage (alleen bij NAS kan je disk gebruiken) is STERK gelimiteerd en heeft directe relatie met KOSTPRIJS. Een IPCAMERA van een paar tientjes zit geen krachtige CPU die naast codecs en IP veel meer kan, heeft geen overschot aan memory etc...

Ja je kunt alles booten en van een NAS gebruik laten maken, maar dan nog is RAM en CPU gelimiteerd.

Je moet eens rond gaan kijken wat doorsnee IOT / huis/tuin/keuken Internet device aan cpu/ram/storage heeft.

Verwijderd @totaalgeenhard • 11 januari 2018 22:16

Op termijn gaan de leveranciers die Linux-From-Scratch doen, en/of BusyBox gebruiken, eruit gaan. Dat heeft eigenlijk geen zin meer.

Luinwethion 11 januari 2018 17:59

de periode waarop de fabrikant ondersteuning biedt met beveiligingsupdates en de manier waarop die updates worden gedistribueerd,

Dat is vooral het belangrijkste, want wat gisteren veilig was, kan morgen onveilig zijn, en dan begint het gehele update drama weer, sommige apparaten worden te laat geüpdatet, en andere krijgen helemaal geen update.

Iblies @Luinwethion • 11 januari 2018 18:06

Ik vind het ook een beetje nodeloze kreet. ICT gaat gruwelijk snel.

Wat wel gedaan kan en moet worden,
is een publieke database aanhouden waar alle achterhaalde hardware/software wordt vermeld.

Dan heb je in ieder geval de serieuze verkoopkanalen mee dat die iig niet geen hardware gaan verkopen met geen serieuze support.

Gertje97 11 januari 2018 18:18

De CE markering heeft geen enkele betekenis aangezien de meeste consumenten het verschil niet weten tussen de certificering van Europa en het logo van China export

Kiswum @Gertje97 • 11 januari 2018 18:57

Als je niet met een voorbeeld komt, dan weten veel lezers van jouw reactie ook niet wat het verschil is.

Ik vermoed dat je deze bedoelt:
https://siloscordoba.com/...CE-and-China-Export-1.jpg

https://nl.m.wikipedia.org/wiki/CE-markering

Snake 11 januari 2018 18:00

Wie gaat bepalen wat veilig is? Wie gaat bepalen wat er gebeurd als een bedrijf failliet gaat?
Wat gaat er gebeuren als een bepaald algoritme onveilig blijkt, en de IOT devices niet krachtig genoeg zijn om het nieuwe encryptie-algoritme toe te passen?

En dan krijgen we dezelfde situatie als met telefoons: Je koopt een hagelnieuwe S8 die 2 jaar updates krijgt, maar je koopt die 1 jaar na de release, dus eigenlijk heb je nog maar 1 jaar updates...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (80)

Sorteer op:

Weergave: