Ballade om sikkerhedshuller i danske robotter: Fik kun 20 dage til at rette fejl
Når man køber en mobil robot fra fynske MiR, så kommer den ikke længere med standard default passwords. Det er en af konsekvenserne, efter den spanske robotsikkerhedsvirksomhed Alias Robotics i maj kontaktede MiR angående en række sårbarheder i firmaets produkter.
MiR fremstiller mobile robotter, også kendt som AMR (Autonome Mobile Robotter), der især bruges til intern logistik i industrien. Her kører robotterne rundt mellem arbejdsstationer og lageret med komponenter, værktøj og lignende.
De fem sårbarheder handler dels om at delsystemer i nogle af MiRs robotter bliver produceret med default standard-passwords, blandt andet i en sikkerhedscontroller.
»Vi har for 14 dage siden ændret procedure, så alle nye robotter får unikke passwords, når de sendes ud til slutbrugeren, og så har vi instrueret vores distributører om, at passwords skal ændres, når robotten tages i brug,« siger Ole Storm R&D Software Manager hos MiR, som har ledet dialogen med Alias Robotics.
To sidste sårbarheder handlede om en Linux-kerne, som ikke længere benyttes
»De sårbarheder er blevet lukket i forbindelse med den seneste softwareopdatering, vi har sendt ud for nyligt,« siger Ole Storm.

Præcis min første tanke. Så derfor det lugter af at der mangler noget i historien...
Den helt store forskel er at modsat en webserver, så kan en robot dræbe. De er farlige og skal derfor certificeres. Hvis du flytter sikkerhedsgrænsen ud af robotten til systemniveau, så er det systemet der skal certificeres. Det skal systemet sandsynligvis i forvejen, men det bliver meget mere kompliceret hvis ikke du kan antage at robotten på komponent niveau opfører sig pænt.
Når det kommer til universal robots, der sælger cobots, så sælges disse i fri handel og køberen installere dem selv. Det er derfor slet ikke muligt at certificere kundens netværk. Du må antage at kunden er dum og tilslutter robotten direkte til internettet uden firewall.
Mere relevant:
Hvis de allerede ved nok til at påpege sikkerhedshullerne i dit produkt, er det flere baneomgange for sent at vifte med en NDA...
Hvis de "blot" skal samarbejde om sårbarheden og ellers ikke have adgang til kildekoden, hvorfor så en NDA?
Det virker som om der mangler noget i den historie her Version2?
Det ville pynte på det hele hvis man kunne se den henvendelse de fik til at starte med fra Alias Robotics. Kræver de at få adgang til kildekoden i robotten? I givet fald, så er det jo dem som er nogle idioter?
Ind til videre så fremstår begge parter i et dårligt lys og nogle der blot holder på deres version uden underbyggelse.
At MiR og UR som er ejet af samme selskab Teradyne, ikke kommunikere internt om væsentlige brancherelaterede sikkerhedsproblemer - giver da kuldegysninger, fordi hvad skal der så til - FØR de reagerer?
https://www.version2.dk/artikel/fynske-robotter-kan-afpresses-med-ransomware-1089664#comment-406470
Når man snakker om sikkerhed som dette, læner man sig jo mere op af at sikkerhed skal være en helheds betragtning på system niveau. Dvs at i dette tilfælde burde det være acceptabelt at robotterne har et lavere sikkerheds niveau hvis at de er skærmede af et højt sikkerheds niveau ved system grænsen.
Man kan med andre ord ikke sidestille en robot som indgår som et del komponent i et lukket miljø med en web server der er frit eksponeret imod internettet - Det er to vidt forskellige ting!
Der er dog en gråzone her fordi at hvis man skal kunne påråbe sig en sikkerheds undtagelse som dette, så må det vel være et krav fra distributøren (MIR) at deres robotter installeres i et (veldefineret) sikret miljø - ellers må de jo have en ret til at frasige sig evt erstatnings pligt i forbindelse med sikkerhedsbrud da kunden således ikke har levet op til sit sikkerheds ansvar.
En leverandør kan ikke tages seriøs hvis de anvender hardcoded passwords i dagens Danmark.
Det er lige så meget no-go som anvendelsen af SHA-1.
Jeg har personligt bedt en leverandør om en redegørelse for hvorfor de stadig bruger SHA-1. Har leverøndøren en proces der sikre at de følger med tiden og ikke ubevist har/anvender teknisk gæld.