Ballade om sikkerhedshuller i danske robotter: Fik kun 20 dage til at rette fejl

16. juli 2020 kl. 02:557
Ballade om sikkerhedshuller i danske robotter: Fik kun 20 dage til at rette fejl
Illustration: MiR.
Danske MiR, der producerer mobile robotter til industrien, har lukket fem sårbarheder efter en spansk sikkerhedsvirksomhed med speciale i industrirobotter har henvendt sig. Den spanske virksomhed møder dog kritik for hastværk og dårlig kommunikation.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når man køber en mobil robot fra fynske MiR, så kommer den ikke længere med standard default passwords. Det er en af konsekvenserne, efter den spanske robotsikkerhedsvirksomhed Alias Robotics i maj kontaktede MiR angående en række sårbarheder i firmaets produkter.

MiR fremstiller mobile robotter, også kendt som AMR (Autonome Mobile Robotter), der især bruges til intern logistik i industrien. Her kører robotterne rundt mellem arbejdsstationer og lageret med komponenter, værktøj og lignende.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
7 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
18. juli 2020 kl. 11:03

Man kan med andre ord ikke sidestille en robot som indgår som et del komponent i et lukket miljø med en web server der er frit eksponeret imod internettet - Det er to vidt forskellige ting!

Den helt store forskel er at modsat en webserver, så kan en robot dræbe. De er farlige og skal derfor certificeres. Hvis du flytter sikkerhedsgrænsen ud af robotten til systemniveau, så er det systemet der skal certificeres. Det skal systemet sandsynligvis i forvejen, men det bliver meget mere kompliceret hvis ikke du kan antage at robotten på komponent niveau opfører sig pænt.

Når det kommer til universal robots, der sælger cobots, så sælges disse i fri handel og køberen installere dem selv. Det er derfor slet ikke muligt at certificere kundens netværk. Du må antage at kunden er dum og tilslutter robotten direkte til internettet uden firewall.

4
18. juli 2020 kl. 08:04

Hvis de "blot" skal samarbejde om sårbarheden og ellers ikke have adgang til kildekoden, hvorfor så en NDA?

Det virker som om der mangler noget i den historie her Version2?

Det ville pynte på det hele hvis man kunne se den henvendelse de fik til at starte med fra Alias Robotics. Kræver de at få adgang til kildekoden i robotten? I givet fald, så er det jo dem som er nogle idioter?

Ind til videre så fremstår begge parter i et dårligt lys og nogle der blot holder på deres version uden underbyggelse.

2
17. juli 2020 kl. 09:38

Når man snakker om sikkerhed som dette, læner man sig jo mere op af at sikkerhed skal være en helheds betragtning på system niveau. Dvs at i dette tilfælde burde det være acceptabelt at robotterne har et lavere sikkerheds niveau hvis at de er skærmede af et højt sikkerheds niveau ved system grænsen.

Man kan med andre ord ikke sidestille en robot som indgår som et del komponent i et lukket miljø med en web server der er frit eksponeret imod internettet - Det er to vidt forskellige ting!

Der er dog en gråzone her fordi at hvis man skal kunne påråbe sig en sikkerheds undtagelse som dette, så må det vel være et krav fra distributøren (MIR) at deres robotter installeres i et (veldefineret) sikret miljø - ellers må de jo have en ret til at frasige sig evt erstatnings pligt i forbindelse med sikkerhedsbrud da kunden således ikke har levet op til sit sikkerheds ansvar.

1
16. juli 2020 kl. 11:21

En leverandør kan ikke tages seriøs hvis de anvender hardcoded passwords i dagens Danmark.

Det er lige så meget no-go som anvendelsen af SHA-1.

Jeg har personligt bedt en leverandør om en redegørelse for hvorfor de stadig bruger SHA-1. Har leverøndøren en proces der sikre at de følger med tiden og ikke ubevist har/anvender teknisk gæld.