Ballade om sikkerhedshuller i danske robotter: Fik kun 20 dage til at rette fejl

Ballade om sikkerhedshuller i danske robotter: Fik kun 20 dage til at rette fejl
Illustration: MiR.
Danske MiR, der producerer mobile robotter til industrien, har lukket fem sårbarheder efter en spansk sikkerhedsvirksomhed med speciale i industrirobotter har henvendt sig. Den spanske virksomhed møder dog kritik for hastværk og dårlig kommunikation.
person
Laurids Hovgaard
Journalist
16. juli 2020 kl. 02:55
errorÆldre end 30 dage
person
Laurids Hovgaard
Journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når man køber en mobil robot fra fynske MiR, så kommer den ikke længere med standard default passwords. Det er en af konsekvenserne, efter den spanske robotsikkerhedsvirksomhed Alias Robotics i maj kontaktede MiR angående en række sårbarheder i firmaets produkter.

MiR fremstiller mobile robotter, også kendt som AMR (Autonome Mobile Robotter), der især bruges til intern logistik i industrien. Her kører robotterne rundt mellem arbejdsstationer og lageret med komponenter, værktøj og lignende.

De fem sårbarheder handler dels om at delsystemer i nogle af MiRs robotter bliver produceret med default standard-passwords, blandt andet i en sikkerhedscontroller.

»Vi har for 14 dage siden ændret procedure, så alle nye robotter får unikke passwords, når de sendes ud til slutbrugeren, og så har vi instrueret vores distributører om, at passwords skal ændres, når robotten tages i brug,« siger Ole Storm R&D Software Manager hos MiR, som har ledet dialogen med Alias Robotics.

To sidste sårbarheder handlede om en Linux-kerne, som ikke længere benyttes

»De sårbarheder er blevet lukket i forbindelse med den seneste softwareopdatering, vi har sendt ud for nyligt,« siger Ole Storm.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Opret brugerLog ind
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
Baldur Norddahl
18. juli 2020 kl. 11:03

Man kan med andre ord ikke sidestille en robot som indgår som et del komponent i et lukket miljø med en web server der er frit eksponeret imod internettet - Det er to vidt forskellige ting!

Den helt store forskel er at modsat en webserver, så kan en robot dræbe. De er farlige og skal derfor certificeres. Hvis du flytter sikkerhedsgrænsen ud af robotten til systemniveau, så er det systemet der skal certificeres. Det skal systemet sandsynligvis i forvejen, men det bliver meget mere kompliceret hvis ikke du kan antage at robotten på komponent niveau opfører sig pænt.

Når det kommer til universal robots, der sælger cobots, så sælges disse i fri handel og køberen installere dem selv. Det er derfor slet ikke muligt at certificere kundens netværk. Du må antage at kunden er dum og tilslutter robotten direkte til internettet uden firewall.

  • more_vert
    • insert_linkKopier link
4
René Madsen
18. juli 2020 kl. 08:04

Hvis de "blot" skal samarbejde om sårbarheden og ellers ikke have adgang til kildekoden, hvorfor så en NDA?

Det virker som om der mangler noget i den historie her Version2?

Det ville pynte på det hele hvis man kunne se den henvendelse de fik til at starte med fra Alias Robotics. Kræver de at få adgang til kildekoden i robotten? I givet fald, så er det jo dem som er nogle idioter?

Ind til videre så fremstår begge parter i et dårligt lys og nogle der blot holder på deres version uden underbyggelse.

  • more_vert
    • insert_linkKopier link
2
Tobias Gønge
17. juli 2020 kl. 09:38

Når man snakker om sikkerhed som dette, læner man sig jo mere op af at sikkerhed skal være en helheds betragtning på system niveau. Dvs at i dette tilfælde burde det være acceptabelt at robotterne har et lavere sikkerheds niveau hvis at de er skærmede af et højt sikkerheds niveau ved system grænsen.

Man kan med andre ord ikke sidestille en robot som indgår som et del komponent i et lukket miljø med en web server der er frit eksponeret imod internettet - Det er to vidt forskellige ting!

Der er dog en gråzone her fordi at hvis man skal kunne påråbe sig en sikkerheds undtagelse som dette, så må det vel være et krav fra distributøren (MIR) at deres robotter installeres i et (veldefineret) sikret miljø - ellers må de jo have en ret til at frasige sig evt erstatnings pligt i forbindelse med sikkerhedsbrud da kunden således ikke har levet op til sit sikkerheds ansvar.

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
16. juli 2020 kl. 11:21

En leverandør kan ikke tages seriøs hvis de anvender hardcoded passwords i dagens Danmark.

Det er lige så meget no-go som anvendelsen af SHA-1.

Jeg har personligt bedt en leverandør om en redegørelse for hvorfor de stadig bruger SHA-1. Har leverøndøren en proces der sikre at de følger med tiden og ikke ubevist har/anvender teknisk gæld.

  • more_vert
    • insert_linkKopier link