Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
By signing up, you agree to our Terms & Conditions and agree that Teknologiens Mediehus and the IDA Group may occasionally contact you regarding events, analyzes, news, offers, etc. by telephone, SMS and email. Newsletters and emails from Teknologiens Mediehus may contain marketing from marketing partners.
phloggen

Stop skydningen i det muntre køkken

Verden har lige set det hidtil største og mest grelle eksempel på de "miljøskader" som ansvarsfriheden i IT branchen medfører.

Millioner af billig kinesisk elektronik-skrammel er blevet brugt til at angribe og bringe en af verdens største og mest kompetente DNS operatører i knæ.

Den bedste og mest præcise måde at billedsætte angrebet på i den virkelige verden, er hvis en stor supermarkedskæde blev angrebet af en tilsyneladende uendelig mængde lastvogne, kofanger mod kofanger hver læsser 15 tons grus af foran alle døre, porte, indkørsler, parkeringspladser, nødudgange og postkasser på alle firmaets addresse, butikker, lagre, kontorbygninger og hovedkvarter, samt alle ledende medarbejderes privataddresser, sommerhuse osv.

Analogien halter i den forstand at det kræver en rigtig god fantasi at forestille sig at der ud af børneværelset eller kopirummet kan vælte lastvogne kofanger mod kofanger i en uendelig strøm.

Men bits ingenting vejer og kan laves for nogle få picoWatt så på internettet er det helt normalt.

Det er faktisk den eneste årsag til det virker til at begynde med.

I danske hjem og virksomheder står der - skud i tågen - omkring en million stykker elektronik med hullet software, dårlig sikkerhed og uden opmærksomhed, som med et kompetent angreb kan overtages og bruges til at deltage i den slags angreb.

Det er alt muligt skrammel, web-cams, gamle PC'er, legetøj, babyalarmer, printere, fjernsyn, webradioer, set-top boxe, vejrstationer, solcelleinvertere, tekedler, krøllejern osv. osv.

De fleste danske webservere, herunder Folketingets, vil vælte som et korthus, hvis blot 10000 af disse stykker elektronik koordineres i et angreb.

Hvis der havde været tale om skrivebordslamper der blev for varme, vandhaner med for meget tungmetal, babystole der kan vælte, biler der kan gå ild i og stort set et hvilket som helst andet eksempel man kan komme i tanke om, er svaret at Sikkerhedsstyrelsen ville kalde produkterne tilbage.

For stort set alt hvad man køber nu om dage stilles der desuden minimumskrav til sikkerheden, krybeafstande, tyngdepunktshøjder, berøringssikkerhed, temperaturer, skarpe kanter, støj osv. osv. osv.

Men IT sikkerhed er helt gratis skydning i det muntre køkken.

Kun to produkter nyder den helt specielle særstatus at de kan markedsføres 100% ansvarsfrit: Religion og software.

Uanset hvilke skadelige virkninger disse to produktgrupper må have, kan producenten stikke profitten i lommen og koncentrere sig om at lave næste års skodprodukt, med de præcist samme fejl og mangler.

Teknologihistorien har et helt klart budskab: Det nytter ikke at forstandige fagfolk eller jeg advarer i god tid, der skal lig på bordet før der sker noget.

Sådan var det med brandtrapper, isolerede elledninger, bly, sikkerhedsseler og sådan bliver det også med IT.

Der er næppe nogen der er døde af at Spotify og New York Times hjemmesider var svære at få fat på, men det var heller ikke hensigten.

Angrebet var en salgs- eller magtdemonstration, mod et af de største, bedst udrustede og mest kompetente aktører på det globale internet.

De næste budskaber bliver på formen "Sød lille sundhedsplatform I har der, man må ikke håbe der sker noget med den."

Selvfølgelig er afpresning og hærværk en opgave for politiet, (meget gerne med assistance fra EuroPol), men bliver lige så effektivt som at sende dem på muldvarpejagt på stylter, med bind for øjnene og bevæbnet med en fluesmækker.

Den eneste løsning der nogen chance for at virker, er at politikerne stille lovkrav til IT-sikkerhed, pålægge softwareproducenterne produktansvar og tilbagekalde og destruerer alt det skrammel der allerede er spredt over hele verden.

Tag ikke mit ord for det: Lyt til Dan Geer.

phk

Poul-HenningKamp
er selvstændig open source-softwareudvikler. Han skriver blandt andet om politik, hysteri, spin, monopoler, frihedskampe gør-det-selv-teknologi og humor.
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

... hvis ISP'erne tvinges til at lukke for forbindelsen til de kunder som beviseligt har hijacked crapware koblet på nettet. (og ja, der bliver sikkert god plads på internettet er stykke tid(

  • 7
  • 1

Kun to produkter nyder den helt specielle særstatus at de kan markedsføres 100% ansvarsfrit: Religion og software.

Politik? Hvis man bare er påståelig nok, vil man altid have en vælgerbase.

  • 8
  • 2

De næste budskaber bliver på formen "Sød lille sundhedsplatform I har der, man må ikke håbe der sker noget med den."

Netop sådanne eksempler viser jo
1. Software skabes uden funktionalitet og brugervenlighed
2. Sikkerheden er en mulighed, ingen garanti (herunder datasikkerhed)
3. Service er ingen garanti

Den ledelsesmæssige del halter også. Eller fortsætter ufortrødent, med 130 km/t med digitaliseringen af alt. Talte med en sundhedsmedarbejder, der skulle overgå til digital indberetning. Svært at logge på, under indtastning bliver "smidt" af, data går tabt så der skal startes forfra. Resultat bliver ikke så underligt, det modsatte af tidsbesparelse. Gæt hvem der betaler og hvem der "vasker hænder".

  • 8
  • 3

Jeg tror der skal mere til. For sikkerhed betyder noget forskelligt for alle. Hvad der er uacceptabelt i Danmark er normalt i Indien (og sikkert også omvendt i andre situationer).

Det kunne være et koncept vi kaldte "Secure by design" og hvor der var klart definerede krav. Sådan lige fra hoften kunne det f.eks. være:

Krav om foruddefineret minimum levetid for produktet.

Klart definerede krav til en vulnerability management process hos producenten. Bruger producenten f.eks. open source komponenter forpligter de sig til at opdatere firmware hver gang der findes en sikkerheds fejl i en komponent indenfor den definerede levetid.

Reserver 1/3 plads på produkt indpakning til at oplyse om produkt levetid m.m. Lidt efter forbillede fra tobaks industien.

Alle sikkerheds settings i højeste setting som standard.

Inden standard kodeord - default password skal være unikt for hver enhed.

Minimum protokoller slået til som standard. Kun nok til at konfigurere produktet.

Tvungen opsætnings guide der tvinger password skifte m.m.

Automatisk firmware update slået til som standard.

.... og listen kan fortsættes ....

Naturligvis fulgt op med risiko for bøder i 4% af global omsætnings størrelsen - for det skabt opmærksomhed indenfor persondata at det kom med :)

  • 7
  • 1

Krav om foruddefineret minimum levetid for produktet.


Det kræver jo at firmaet fortsat eksisterer, for at kravet kan håndhæves.

Klart definerede krav til en vulnerability management process hos producenten. Bruger producenten f.eks. open source komponenter forpligter de sig til at opdatere firmware hver gang der findes en sikkerheds fejl i en komponent indenfor den definerede levetid.

Det vil gøre det mindre attraktivt at bruge sådanne komponenter, og der er intet belæg for at closed source komponenter har færre sårbarheder. Det vil blot være mørklagt hvordan rettelser kan finde vej til installerede produkter.

En bedre model vil være krav deklaration på en eller anden facon (med passende detaljereingsgrad) af hvilke ikke-egenudviklede komponenter, der indgår

Inden standard kodeord - default password skal være unikt for hver enhed.
---- snip ----
Tvungen opsætnings guide der tvinger password skifte m.m.

Hvis password skift er tvunget, er default passwordet ligegyldigt.
Evt. kan man deaktivere enheden, hvis passwordet stilles tilbage til default

  • 2
  • 0

Det kræver jo at firmaet fortsat eksisterer, for at kravet kan håndhæves.

´Nu var det som skrevet - et skud fra hoften - så der er naturligvis mere i det.

Det kunne f.eks. være en escrow løsning (hvor source/build miljø altid deponeres hos 3. part, så i tilfælde af konkurs tvinges alt source ud i det åbne.

Det vil gøre det mindre attraktivt at bruge sådanne komponenter, og der er intet belæg for at closed source komponenter har færre sårbarheder. Det vil blot være mørklagt hvordan rettelser kan finde vej til installerede produkter.

Det er heller ikke intentionen. Det var et eksempel og det udelukker ikke at closed source skal være underlagt det samme krav. Det samme kan være omkring 3. part .biblioteker, dll'er og hvad udviklerne ellers bruger af komponenter.

Farerne ved henholdsvis open source og closed source har mange ligheder, men også forskellige på nogle punkter. Open source bruges meget bredt og en fejl (som vi f.eks. har set i OpenSSL) rammer nærmest alle producenter. Hvis alle fabrikanter havde hver deres SSL implementering ville det måske ikke ramme så mange enheder samtidig - Omvendt ville hver eller en del implementering(er) formodemligt være af langt ringere kvalitet. Så man skal tænke sig grundigt om.

Et andet eksempel til at fortsætte listen kunne f.eks. være en foruddefineret dødsdato for alle produkter. Det gør dog virkeligt ondt på mig ud fra et miljø mæssigt perspektiv og jeg ville foretrække andre alternativer - hvis nogen kan drømme dem op. Men igen skal man tænke sig grundigt om fordi der er konsekvenser.

  • 2
  • 1

Det giver ikke mening at påtvinge en lang række sikkerhedsmæssige og garanti krav på software over een kam.

Der er klart situationer hvor software skal certificeres og overholde en masse krav, for eksempel til medicinsk brug, eller hvor liv kan komme i fare, f.eks. ved industri robotter m.m.
Men at kræve at enhver software skal pålægges krav om garanti og certificeringer, og skal kunne tilbagekaldes, er helt ude i hampen.

Det ville svare til at en forfatter pålægges krav om garanti for at hans roman er "sikker" og at fejl i den (som jo i de absolut fleste tilfælde må betegnes som subjektive) skal rettes, alternativt at bogen skal kunne forlanges trukket tilbage.

Det svarer direkte til censur.
- Hvad er definitionen af en fejl?
- Hvornår er en fejl graverende nok til at noget skal trækkes tilbage?
- Hvis der er garanti krav, er der også et potentielt økonomisk krav. Det vil helt automatisk medføre at kun de pengetunge virksomheder har en minimal chance for at udvikle nyt software.

Det vil totalt stoppe enhver form for innovation.

  • 4
  • 1

Det er ikke tekniske løsninger der mangler, det er juridiske og økonomiske encitamenter til at bruge dem.

Der mangler virkelig også en forandring af forbrugernes/politikkernes kultur og uddannelse og som du siger regulering af området. For mens de fleste gladeligt giver mange tusinde kroner ekstra for sikkerhed i en bil, og vi tvinges til at køre med sikkerhedssele i sikkerhedens navn, så skal deres hjemmerouter altså ikke koster over 200 kroner før den er alt for dyr.
Og så har den manglende brugervenlighed også en del af skylden. Hvis hjemmerouteren (eller andre embedded produkter) skal opdateres med ny firmware der lukker sikkerhedshuller, så ved 99% af danskere ikke engang hvad firmware er, og slet ikke hvordan man går ind på fabrikantens hjemmeside og downloader og installere den. Og det kan man heller ikke forlange.
Eller hvis man ønsker at bruge gode produkter som pfsense, så er opsætningen og forklaringen i dens omfangsrige dokumentation på et niveau, hvor man skal være router/netværks ekspert for være sikker på at man har sat den korrekt op. Selv i deres markedsførte produkt, hvor pfsense kommer i en boks, der er klar til at køre, føler man sig ikke sikker på at default opsætningen er sikker nok.

  • 3
  • 0

Helt enig med PHKs ovenstående betragtninger. Når det gælder noget så gammeldags infrastruktur som vores el-systemer eller kloak, så kræver det faktisk at man har bestået en eksamen som godtgør at man ved hvad man laver, inden man må tilslutte noget til de fælles kloakker. Dette er netop udfra den fornuftige betragtning, at fusk og klamp kan komme os alle til skade.

Når det kommer til IT, så virker det som om enhver auto-didakt fusker slippe afsted med hvad som helst. Enhver router eller andet netværksudstyr er testet og certificeret med hensyn til at man ikke kan få stød (lav-spændings direktivet), den indeholder ikke giftige materialer (RoHS,...), er ikke brandbar (UL,...) men IT sikkerhedsdelen virker det ikke som om der er nogen som helst krav til udover hvad designeren lige syntes var en god ide på det pågældende tidspunkt.

IT autorisation - på høje tid :-)

  • 9
  • 0

Jeg vil gerne lige anholde din kommentar om "autodidakt fusker", som jeg faktisk finder ganske stødende, al den stund at jeg er autodidakt, ligesom en lang række IT specialister fra min tid.

Faktisk forekommer det mig at der hvor der rigtig går ged i den, er når ikke auto-didakte non fuskere udvikler store projekter... veluddannede universitets folk med alskens teoretiske viden, så går projekterne ofte ikke særligt godt :)

Der er en hel spandfuld af fejlede projekter at vælge imellem. Og fælles for dem alle, er at det har været velskolede folk der har stået i spidsen for dem.

Jeg har mødt mange skolede IT folk som er meget dygtige, men jeg har altså også mødt rigtig mange som virkelig ikke har begreb om IT udover hvad de har læst sig til, og så derailer projekter da de får mere magt end de burde have.

  • 9
  • 1

Det er fint... så skal du nok bare forvente at prisen går væsentlig op, hvis det i praksis betyder dimserne (og softwaren) skal kunne leve på et mil'specet niveau.

Så skal de hver især gennemgå nøje tests, og al kode skal dokumenteres, unittestes, funktionstestes, integration testes m.m. og alt dette skal selvf. automatiseres for at holde mandetimer og fejl tests nede.

Det er konsekvensen af at holde en høj leverance kvalitet.

Hvis du accepterer et lavere niveau, hvor er grænsen så for niveauet? Det er tydeligt at selv mil spec'et udstyr kører på libraries som indeholder fejl og som udnyttes til indbrud.

De fleste malicious hacking forsøg der er sket, er enten på mil spec'et udstyr, eller på udstyr som burde være underlagt sikring pga. det indgår i financielle transaktioner.

Så det forekommer mig ikke at løse problemet, men bare give ekstra administration på toppen af det der allerede er.

Jeg er enig med en anden debattør, at det afhænger af hvad folk er villige til at betale. Man kan ikke forvente dimser til 200 kr at have samme sikkerhed som dimser til 2000 kr, og igen dimserne til 2000 kr er heller ikke sikre.

Hvor lang tilbage i tiden skal dimserne opdateres, og indbrudssikring gives?

Der er stadig mange systemer der kører på PC DOS udstyr den dag idag, eller W2K eller XP eller lign. Skal en lille udvikler stadig føle sig ansvarlig for levering af opdateringer til dette udstyr, 20 år efter?

Det MÅ altså være et ansvar der ligger hos den enkelte, at sikre at udstyr holdes up to date.

En bil er også et farligt redskab.... En fabrik forventes ikke at levere opdateringer til bilen i hele bilens levetid... så ville Ford da have nogle problemer mht. at leve op til nutidig standard for deres Ford A.
Jeg gad godt se en sikkerheds indkaldelse på Ford A, fordi der skal eftermonteres ABS bremser.

Så kunne man indbygge en automatisk forældelses funktion i dimsen, så den ikke virker længere efter 2 år.... det ville vel være i orden i forhold til ønsket om højnet sikkerhed?

Men det vil så medføre andre problemer er jeg sikker på. De fleste synes ikke om syntetiske begrænsninger.

  • 3
  • 3

Både software og hardware. Mindre splid, bedre software, ja nok også lidt dyrere for den enkelte forbruger, men næppe for samfundet. Det vil nok være hardware der ikke vil være rigtigt brugbart i alle 5 år, men rigtigt meget vil være, hvis det ikke dør for tidligt pga billige kondensatorer.

Open source hvis man ikke kan/vil understøtte gammelt. Og ja, det vil kræve 3. parts escrow af software.

  • 0
  • 0

Hvordan synes du det går med 2 års garantien der findes idag, på f.eks. mobil telefoner, eller PC'ere?
Hvis der er noget som ikke fungerer som forbrugeren havde forventet, så er det oftest forbandet svært at få medhold.
Og det er der rigtig mange gode grunde til.

Det der mangler er forventnings afstemning.

Man vil nok få medhold hvis ens 7 dage bil taber et hjul, med mindre det kan påvises at det er fordi bilen har været brugt til at nedlægge næsehorn, netop med den side og det hjul.

Det samme gør sig gældende med software. Det er designet til brug indenfor visse grænser. Disse grænser kan være veldefinerede, men i praksis er kombinationerne af grænserne uendelige, og derfor næsten umulige at kombinations validere.

De fleste Open Source projekter ville i praksis være fuldstændigt døde i fremtiden i den form de har idag. Der er nemlig ingen der påtager sig et økonomisk ansvar, hvis de indeholder fejl.

Og fejl, det indeholder de. Ofte vil jeg påstå, for rigtig mange af projekterne, i langt højere grad end et closed source project ville.

Det forekommer typisk, når der ikke er en meget rigid indcheck procedure af ny kode fra det potentielt
store antal frivillige udviklere der er på projektet.

Forskellen til et closed source projekt, er at der er et begrænset antal højt specialiserede udviklere på, hvor der typisk er en bedre overvågning og implicit peer review af det indcheckede.

Jeg medgiver at et closed source projekt sagtens kan indeholde selvudviklet eklatant bras, men da det direkte påvirker leverendøren selv, har denne en direkte interesse i at højne kvaliteten, eller se virksomheden dø.

Der er ikke nødvendigvis det samme incitement i Open Source.

  • 1
  • 2

Jeg synes ikke at de 2 års reklamationsret er gode nok. Men det skal heller ikke være carte blanche til at få ombytte mobil fordi man har behandlet den udover hvad man kan forvente.

Jeg har fået byttet en router der døede efter 22 måneder. Version 2 holder stadig efter efter en tilsvarende periode. Så det kan også virke.

Bilfabrikanter giver nu både 5-10 års rustgaranti efter at have levereret lort igennem mange år. Så man kan få ændret verdens producenter.

  • 0
  • 0

Jeg føler mig som gidsel, når diverse programmer siger at det er helt nødvendigt at opdatere.
Truslen er diffus og afhjælpningen er lige så diffus.
Det er sjældent der følger en begrundelse med, og i værste fald kan opdateringen vel være et angreb.

  • 3
  • 0

Eller ...

                    ... hvis ISP'erne tvinges til at lukke for forbindelsen til de kunder som beviseligt har hijacked crapware koblet på nettet. (og ja, der bliver sikkert god plads på internettet er stykke tid(  

Fantastisk, så kan vi da ikke lave andet.....

I forvejen opdager vi mange kunder der er inficerede. Selvom de bliver orienteret, så sker der som regel ikke noget fra deres side.
Årsag: De ved enten ikke hvad de skal gøre eller også er det for dyrt for dem....

  • 1
  • 1

Problemet med passwords er at ingen kan huske dem. Vi har brug for en bedre måde at lave authentikation. En hvor jeg ikke skal huske 50 forskellige passwords til alle mine forskellige IoT'er og forskellige internet services.

Men det er ikke det vigtigste. Vi har også brug for en anden måde at lukke IoT'er ud på nettet. Hvorfor er det at min BluRay afspiller har adgang til hele internettet når nu Panasonic for længe siden har besluttet ikke at opdateret den?

Hvis jeg nu kunne partitionere mit lokaltnet i en segment til dimser der blot skulle på nettet, et andet til dimser som jeg skal kunne tilgå fra min computer men ikke den anden vej, et tredje til enheder som jeg stoler på, etc. Så vil hacking af en IoT kun have begrænset impact på mig. Hvis jeg samtidigt kunne fortælle min router at en given IoT, kun måtte få adgang en lille del af nettet. På en nem måde. Sådan at moster Oda også kan klare det.

Så kunne man lave krav til leverandører om at man kun må sælge enheder der har adgang til hele nettet, hvis man samtidigt har en fornuftig opdateringspolitik og har fået lavet et uafhængigt sikkerhedsaudit. Alle andre enheder skal kun have adgang til en lille del af nettet.

  • 1
  • 0

Jeg er enig med en anden debattør, at det afhænger af hvad folk er villige til at betale. Man kan ikke forvente dimser til 200 kr at have samme sikkerhed som dimser til 2000 kr, og igen dimserne til 2000 kr er heller ikke sikre.

Du må for min skyld godt køre i en skrammelkasse uden sikkerhedssele, og en ratstamme, der går igennem brystet på dig, når du kører galt.

Men hvis din skrammelkasse ikke kan bremse, og gør det nødvendigt for mig at køre i PMV for at komme sikkert igennem vores by, er det ikke i orden.

Din usikre router påvirker ikke kun dig, den påvirker også mig og den sundsheds-it, der skulle gavne mig.

  • 9
  • 0

Hvis jeg nu kunne partitionere mit lokaltnet i en segment til dimser der blot skulle på nettet, et andet til dimser som jeg skal kunne tilgå fra min computer men ikke den anden vej, et tredje til enheder som jeg stoler på, etc.


Mange wifi-routere har et gæstenetværk, der f.ex. kan afgrænses til ikke at lade de enkelte enheder se hinanden.

Det burde være relativt nemt at lave et IOT-netværk, hvor enhederne kan se hinanden, men ikke komme ud i verden. (Men er et af salgspunkterne for IOT ikke at jeg kan se på min smartphone ude i byen, at nogen har glemt at lukke køleskabsdøren?)

I mangel af bedre må man jo have to routere, hvis man vil skille pc og iot ad, men så mister man jo noget af meningen med iot.

  • 0
  • 0

"En fabrik forventes ikke at levere opdateringer til bilen i hele bilens levetid... så ville Ford da have nogle problemer mht. at leve op til nutidig standard for deres Ford A."
På et tidspunkt "kom Henry Ford til" i anprisningen af brug af originale reservedele at udtale, at man altid vil kunne få originale reservedele til sin Fordvogn.
Det indgik i sagen, da en række seriøse reservedelsproducenter gik til Ford for at få lov til som oprindeligt, at skrive "Ford" logoet i reservedelen.
Resultatet er, at du idag kan få "Certified Spare Parts" til både din Ford T og Ford A og også førkrigs V8'ere. Så lige at vælge Ford A som eksempel var ikke så godt.
Og med hensyn til hjemkaldelse til påbygning af ABS, vil onde tunger sige, at den allerede har ABS, da man ikke kan blokere hjulene med de mekaniske "4 kreds" bremser! (Hvilket naturligvis er noget vrøvl :-) ).

  • 8
  • 0

Jeg medgiver at et closed source projekt sagtens kan indeholde selvudviklet eklatant bras, men da det direkte påvirker leverendøren selv, har denne en direkte interesse i at højne kvaliteten, eller se virksomheden dø.

Der er ikke nødvendigvis det samme incitement i Open Source.

Forskellen er, at lukket software får hardware til at dø fordi der ikke længere supporterer en gammel version.( Download ikke mulig, da det er slettet) eller firmaet ikke længere eksisterer. Ved open source, er det muligt at fortsætte med hardwaren. F.eks. komponenter til kvalitetskontrol af æg kører typisk på open source.

  • 2
  • 0

Re: Eller ...

Eller ...

                    ... hvis ISP'erne tvinges til at lukke for forbindelsen til de kunder som beviseligt har hijacked crapware koblet på nettet. (og ja, der bliver sikkert god plads på internettet er stykke tid(    

Fantastisk, så kan vi da ikke lave andet.....

I forvejen opdager vi mange kunder der er inficerede. Selvom de bliver orienteret, så sker der som regel ikke noget fra deres side.
Årsag: De ved enten ikke hvad de skal gøre eller også er det for dyrt for dem....

I øjeblikket har det heller ingen konsekvenser at ignorere jeres henvendelser (Udover den skjulte udefinerbare risiko for at få lækket personlige oplysninger og lignende der altid er ved at anvende inficeret udstyr) men ville en sådan henvendelse ikke blive taget mere alvorligt, hvis der medfulgte en advarsel om risikoen for at miste internetforbindelsen?

  • 4
  • 0

Jeg vil gerne lige anholde din kommentar om "autodidakt fusker", som jeg faktisk finder ganske stødende, al den stund at jeg er autodidakt, ligesom en lang række IT specialister fra min tid.

Fidusen med autoriserede håndværkere frem for ikke-autoriserede er, at de er specifikt uddannede til at sikre at installationerne overholder gældende lovgivning, samt at de kan holdes juridsik ansvarlige for, at det er udført i overensstemmelse med denne.
Jeg kan da selv lave el-installationer i mit hjem, men i det øjeblik, jeg sælger mit hus, kan jeg ikke dokumentere, at de er lavet i overensstemmelse med lovgivningen, da jeg ikke har benyttet en autoriseret installatør til at installere dem. Derfor vil jeg skulle hyre en sådan til at udbedre installationen, før jeg kan sælge.

Overfører vi dette til IoT-dimser, vil det betyde, at vi skal have nogle uddannede og autoriserede til at installere dem for os, ellers kommer vi selv til at hæfte for de skader, de måtte forvolde - i dette tilfælde både i hjemmet og på internettet.
Hvis vi nu indfører, at 4% af din års indkomst kan beslaglægges, hvis du gøres ansvarlig for medvirken til DDOS gennem dine IoThingies, så vil du sikkert også hurtigt sørge for, at det var en autoriseret installatør, der tog ansvaret for installationen.

  • 3
  • 1

"Overfører vi dette til IoT-dimser, vil det betyde, at vi skal have nogle uddannede og autoriserede til at installere dem for os, ellers kommer vi selv til at hæfte for de skader, de måtte forvolde - i dette tilfælde både i hjemmet og på internettet."

Og det anser du som ok, og forventeligt at folk vil acceptere?
Altså når du får en ny transistor radio, så skal du betale en fagmand for at pakke den ud og putte et batteri i den? Bare fordi den også har mulighed for at streame radio fra nettet?
Eller når du køber en printer, så skal du afvente en fagmand (som jo skal på besøg på din adresse) for at installere den. Eller måske skal han kunne remote ind og "fixe" det? Og så har vi balladen igen... der er en vej ind i dit sikrede hus, som nogen som du ikke kender personligt, men som udgiver sig for at være en fagmand, vil kunne udnytte.

Det kommer (kunne ikke lade være) ikke til at spille.

Det bliver et over burokratiseret ekspert herredømme, som folk vil vende sig imod.

Den eneste løsning er en løsning der baserer sig på selve internettet. Intelligens, som automatisk detekterer DDOS forsøg, og lukker segmenter ned.

Problemet er idag, at der ikke er en fælles standard for detektion af dette, samt kommunikation mellem noderne om status og kontrolleret nedlukning af de givne afsendere.

Det burde faktisk være forholdsvist overskueligt at lave en protokol, måske som en del af en ny DNS struktur, hvor routere automatisk vil kunne informeres om at de skal lukke for kommunikation fra bestemte segmenter i kortere perioder.

Alle andre "løsninger" er lappeløsninger som vil blive modarbejdet, omgået eller simpelthen ikke have nogen gang på jord af økonomiske årsager.

  • 5
  • 3

Din usikre router påvirker ikke kun dig, den påvirker også mig og den sundsheds-it, der skulle gavne mig.

Fint... det er logik for burhøns... men hvor sikker er du på at den router du har nu faktisk er sikker? eller at nogen af dine dimser i hjemmet ikke allerede har forbundet sig til servere som du ikke blokerer for, og potentielt kunne have en bufferoverflow bug indbygget?

Udfordringen er at sikkerhed er relativ. Du kan aldrig vide dig sikker, og det nytter ikke noget at pege fingre af naboen, da dit setup (uanset at du har gjort hvad du kan) sandsynligvis stadig ikke er sikkert.

Forskellen er du måske nok har et sikrere udstyr end naboen, fordi du ved mere end han gør. Men sådan er livet altså, og at forlange (som andre har foreslået) at man skal hyre fagfolk til at lave en sikker installation af certificerede produkter (det vil de jo nødvendigvis skulle være for at en fagmand kan skrive under på at installationen er sikker og efter alle regler og foreskrifter), vil bare ikke have gang på jord, indtil den dag hvor vi indfører Nord Koreanske tilstande.

Og det ønsker jeg ikke. Så kan jeg godt leve med at GitHub eller Twitter eller Facebook eller nogen af de andre services, oplever en outage fra tid til anden, indtil man løser problemet på den eneste rigtige måde via en protokol på internettet hvor routere kan kommanderes til at lukke helt eller delvist ned for at lukke for spammere.

Det har selvklart nogle sikkerhedsmæssige udfordringer i sig selv, at undgå at protokollen kan misbruges, men det er en teknisk ting, som dog er afgrænset til ISP'ere eller måske endnu højere oppe i routnings hierakiet, og vil derfor "kun" kræve arbejde af 1 millionte del (eller mindre) af jordens internet forbundne befolkdning.
Det giver meget bedre mening i min verden.

  • 5
  • 1

Det er en gratis omgang at komme med et udsagn om der skal juridiske og økonomiske incitamenter til, uden så ellers selv (i vanlig stil) at komme med løsningsforslag.

Vi må nok se i øjnene, at i et globaliseret marked, så er Internet of Trash en realitet, hvorfor segmenteret nedlukning som Kim er inde på nok mere er den vej det vil gå.

Og det er en kamp op ad bakke, for hvem er egentlig dygtige nok, når det drejer sig om software:

http://www.viva64.com/en/b/0439/

Så hvis dette er en forsmag, så skal det nok blive muntert når vi får de autonome biler.

  • 5
  • 0

Der pludselig bad deres "venner" om at holde inde, apropos Julian Assange manglende WiFi. :-(

Men jo, det er superdumt at IoT er Internet of Trash, hvor babyalarmer, webcams og køleskabe er på nettet med en latterlig lav sikkerhed, og at ens "smarte dimser"- overhovedet ikke sikkerhedsopdateres. Eller bare opdateres!

I en verden, hvor råstoffer og genbrug af affaldsstoffer ikke hænger sammen- hvis de nogensinde har gjort det, men- det burde de.

Jeg har lige fået repareret min 17 år gamle vaskemaskine (2 varmelegmer udskiftet), men min 7 år gamle laptop er døende... Batteriet er dødt for længst. Jeg tror ikke, vi kommer tilbage til den verden, hvor man kan få sit HW repareret nemt, og billigt, men jeg synes godt, man kan stille krav til produkterne- udover 2 års garanti- og så må du kassere det. Og opdatering af softwaren...

Vores tv-dimser, kan heller ikke opdateres... Og nu sidder vi med et problem: Vi kan se 4 kanaler, men er det vores ende eller den anden? (Vi har antenne tv).

Men det var et stort problem det med DDoss, også i USA- men også i Europa.

Mvh
Tine

  • 5
  • 0

Men det er først når den uddannelse og autorisation er på plads at man kan tillade sig at kalde alle autodidakte for fuskere.


Du kan da ikke lave den analogi. Der er autoriserede håndværkere der laver en gang gylle og der er autodidakte der laver super prof arbejde og omvendt.
IT Sikkerhed er svært. Men hvis der er nogen der har lært det "autodiadakt", så er det vel ikke ensbetydende med at de er fuskere! Det handler om holdningen til til sit arbejde og den har ikke noget at gøre med hvordan man har lært det.

  • 5
  • 0

Du kan da ikke lave den analogi. Der er autoriserede håndværkere der laver en gang gylle og der er autodidakte der laver super prof arbejde og omvendt.

Helt korrekt.

Men vi ved også at examener ikke er 100% dækkende, du kan ikke bare som autodidakt gå op til en prøve og få en autorisation, du skal dokumentere at du har fulgt det adgangsgivende uddannelsesforløb eller noget der er bedre.

Derfor er det indenfor områder med autorisation en utrolig god tilnærmelse at kalde alle andre end de autoriserede, herunder autodidakte for "fuskere".

Men den tilnærmelse går naturligvis ikke på IT området, der stadig langt hen ad vejen mangler de nødvendige uddannelser og slet ikke har nogen autorisationer, hverken frivillige eller obligatoriske.

  • 5
  • 1

Uanset hvilke skadelige virkninger disse to produktgrupper må have, kan producenten stikke profitten i lommen og koncentrere sig om at lave næste års skodprodukt, med de præcist samme fejl og mangler.

Det er mit indtryk at for næsten alle hardwareproducenter er software et nødvendigt onde for at sælge mere hardware. Software-afdelingen skal bare sørge for at hardwaren kan hældes over disken. Al tid brugt på et produkt der allerede ER solgt er jo en unødvendig omkostning. Indtil dén grundlæggende betingelse ændres, vil virksomhederne fortsætte med at producere elektronikskrot, som lige skal en kort tur forbi forbrugeren for at generere lidt omsætning.
Det paradoksale er at langt de fleste forbrugere i dag er fuldstændig ligeglade med hardwaren i daglig brug. Det er softwaren, der skaber den faktiske (brugs)værdi - men folk tror fortsat de kun betaler for hardwaren.
Jeg tror dog tiden er ved at være moden til en "ny" forretningsmodel, hvor man ikke KØBER forbrugerelektronik, men LEJER det. Tænk på hvor mange abonnementsordninger, der findes i dag - og mange vil bare gerne vide hvad der koster hver måned. Især når det kommer til IT-infrastruktur som internet, netværk, IoT, osv så forestiller jeg mig at man godt kunne "sælge" det som abonnementsløsninger, hvor producenten sørger for SW-opdateringer og sikkerhed. Ved at flytte ejerskabet væk fra forbrugeren, så vil der være langt større interesse i at producere elektronik med lang levetid samt software med høj kvalitet og sikkerhed. Men den slags "innovation" skal nok komme fra en SW-centreret virksomhed og ikke de gamle støvede HW-virksomheder.

  • 1
  • 0

Derfor er det indenfor områder med autorisation en utrolig god tilnærmelse at kalde alle andre end de autoriserede, herunder autodidakte for "fuskere".

Hvis du men ordet fusker, mener en der laver noget han ikke har lov til iht gældende reglementer, fx. stærkstrøms reglementet, så ja.
Et andet aspekt er at software brancen har vænnet kunderne (her taler jeg om det segment der ikke er erhverv) til at forære alting til brugeren gratis (underforstået mod levering af data og reklamer). De fleste vil ikke give 8 eller 50 kr for en app, der er sikker, men giver gerne 50 kr for en kaffe på Starbucks. De vil ikke betale for antivirus eller firewalls, der koster et minimum. Jeg syntes at brancen i den grad har skudt sig selv i foden, ved at forære ting væk, der burde koste penge for at opretholde et minimums kvalitets niveau.

  • 3
  • 0

God ide. Så skal Tyrkiet bare sende en automatisk besked til Youtube og Twitter om at Tyrkiet er en kilde til DDOS, når systemkritikerne bliver for aktive.

Nu nævnte jeg at det skulle være en intelligent metode. Altså en der samler information på et højere plan og udfra det vurderer at der er et DDOS angreb igang, og autonomt sender besked til underliggende router lag om at de skal sende besked til deres underliggende lag at der temporært skal lukke for visse segmenter.

Det vil sige at Tyrkiet, ved selv at foretage et DDOS angreb, bare vil ende op med at få lukket for sine egne segmenter, hvilket i værste fald kan betyde at Tyrkiet som helhed bliver temporært afskåret. Og det er formentlig ikke i deres egen interesse.

Og hvis det var, så kan de jo sagtens lukke for deres egen adgang til internettet hvis de vil alligevel.

  • 2
  • 0

Hvis du men ordet fusker, mener en der laver noget han ikke har lov til iht gældende reglementer, fx. stærkstrøms reglementet, så ja.

Hvis man seriøst mener at alle inden for IT området skal underlægges autorisation, så er vi på vej ud i et bureaukratisk helvede, hvor djØF skaren vil stige eksponentielt.

En vis form for producentansvar kunne dog være berettiget, men som udgangspunkt så er det noget helt andet der skal til, nemlig den kritiske kunde, på samme måde som man kan se at flere og flere køber økologisk.

Og mht. autorisation, så er det faktisk kun få områder inden for byggeri der er omfattet af autorisation, så det er en falsk sikkerhed at tro at det betyder farligt meget - dels kan der sagtens laves dårligt arbejde af de svende og lærlinge som selve den autoriserede sender ud, dels er der områder som bærende konstruktioner der ikke kræver autorisation etc.

En anden sammenligning med et område hvor autorisation stort set kun er penge lige ud af lommen er energimærker for boliger, som har udviklet sig til et tag selv bord af tvivlsom kvalitet.

Så konklusion - slutbrugere skal være meget mere kritiske, og det må vi prøve at opnå ved at at oplyse dem om bagsiden af medaljen, herunder faren ved Internet of Trash, men også ved brugerne-er-produktet "gratis" tjenester som Facebook, Google et al.

  • 4
  • 0

Og mht. autorisation, så er det faktisk kun få områder inden for byggeri der er omfattet af autorisation

Det område hvor authorisationskravet er aller mest nødvendigt, er den i persondataloven lovfæstede funktion "persondataansvarlig".

Idag kan enhver ustraffet 18årig multihandicappet døvstum analfabet påtage sig jobbet.

En vis form for producentansvar kunne dog være berettiget

Se mit forslag i andensidste link i blogindlægget.

  • 4
  • 2

PHK taler hele tiden om produktansvar på software, men så længe det er med de begreber, bliver det svært at få Christiansborg til at gøre det rigtige (prøv bare at få politikerne til at forstå
1) hvad embedded er og 2) hvor bredt det er). Når der tillige kommer jurister på banen, så skal du se det hele blive udvandet til ukendelighed. Dertil kommer underleverandører og underleverandørers underleverandører og de problemer, som følger deraf.

  • 5
  • 0

Det område hvor authorisationskravet er aller mest nødvendigt, er den i persondataloven lovfæstede funktion "persondataansvarlig".

Men så er vi også ret langt væk fra Internet of Trash problematikken.

Se mit forslag i andensidste link i blogindlægget.

Og i en verden hvor den ene halvdel bruger det meste af deres tid på at prøve at slå den anden halvdel ihjel, hvor let vil det lige være at fikse problemerne med lovkrav?

Problemet er globalt, så det der vil batte er at (for)brugerne stemmer med fødderne, og simpelthen undlader at dyrke usikker webadfærd, og det kan kun opnås ved information, information, information - man kan heller ikke tvinge folk til at spise økologisk, men stille og roligt breder det sig som ringe i vandet.

  • 1
  • 2

EU synes at være på vej med regler for IoT enheder. Måske er det nu man skal gøre sin indflydelse gældende hvis man har nogle kæpheste man gerne vil have med. EU lovgivning har tidligere haft betydning også for resten af verdens regler. Uanset kommer det nok ikke til at dække alle de bekymringer der luftes her på bloggen :-)

http://www.euractiv.com/section/innovation...

  • 1
  • 0

Vil du gerne tilbage til 80-erne?
Jeg kendte en der lejede sit fjernsyn, det var nu (dengang) 10 år gammelt, men kostede 120 kr/mdl. Til den pris kunne han have købt et B & O...
"Mens hvis, det går i stykker, så kommer de med det samme!"- Samme kan siges om L'Easy- og deres lån.

Hvis man leaser sit grej, hvor er sikkerheden så?! Hos udlejeren? Hos dig?
Og hvor får du så genskabt dine data?

Ikke alle tager back-up.

Mvh
Tine- og tager man backup af babyalarmen, sit webcam og/eller køleskabet?

  • 0
  • 0

Vil du gerne tilbage til 80-erne?


80-erne kommer nok aldrig tilbage uanset hvad jeg måtte ønske. :) Jeg ser dog en stor forskel på at leje HW, der aldrig ændrer sig, og på at abonnere på sikkerheds- og feature-opdateringer (SW) til noget medfølgende HW. Forskellen på dengang og nu er jo at det meste funktionalitet i dag udgøres af software, så man kan faktisk holde liv i mange produkter, hvis bare SW vedligeholdes. I dag er eneste mulighed at købe noget HW, som er populært blandt open source udviklere, og så selv opdatere når producenten stopper med officiel support. Men så længe vi (som forbrugere og samfund) accepterer at produkter kun lige akkurat holder garantiperioden ud (og at SW bliver for gammel allerede langt før dét), så er det selvfølgelig op ad bakke.

  • 2
  • 0