Ballade om sikkerhedshuller i danske robotter: Fik kun 20 dage til at rette fejl


Når man køber en mobil robot fra fynske MiR, så kommer den ikke længere med standard default passwords. Det er en af konsekvenserne, efter den spanske robotsikkerhedsvirksomhed Alias Robotics i maj kontaktede MiR angående en række sårbarheder i firmaets produkter.
MiR fremstiller mobile robotter, også kendt som AMR (Autonome Mobile Robotter), der især bruges til intern logistik i industrien. Her kører robotterne rundt mellem arbejdsstationer og lageret med komponenter, værktøj og lignende.
- emailE-mail
- linkKopier link

Fortsæt din læsning
- Sponseret indhold
V2 Briefing | GENERATIV AI: Sådan bruger du det professionelt
Kunstig Intelligens22. marts
- Sortér efter chevron_right
- Trådet debat
Hvis de allerede ved nok til at påpege sikkerhedshullerne i dit produkt, er det flere baneomgange for sent at vifte med en NDA...
Præcis min første tanke. Så derfor det lugter af at der mangler noget i historien...
Man kan med andre ord ikke sidestille en robot som indgår som et del komponent i et lukket miljø med en web server der er frit eksponeret imod internettet - Det er to vidt forskellige ting!
Den helt store forskel er at modsat en webserver, så kan en robot dræbe. De er farlige og skal derfor certificeres. Hvis du flytter sikkerhedsgrænsen ud af robotten til systemniveau, så er det systemet der skal certificeres. Det skal systemet sandsynligvis i forvejen, men det bliver meget mere kompliceret hvis ikke du kan antage at robotten på komponent niveau opfører sig pænt.
Når det kommer til universal robots, der sælger cobots, så sælges disse i fri handel og køberen installere dem selv. Det er derfor slet ikke muligt at certificere kundens netværk. Du må antage at kunden er dum og tilslutter robotten direkte til internettet uden firewall.
Hvis de "blot" skal samarbejde om sårbarheden og ellers ikke have adgang til kildekoden, hvorfor så en NDA?
Mere relevant:
Hvis de allerede ved nok til at påpege sikkerhedshullerne i dit produkt, er det flere baneomgange for sent at vifte med en NDA...
Hvis de "blot" skal samarbejde om sårbarheden og ellers ikke have adgang til kildekoden, hvorfor så en NDA?
Det virker som om der mangler noget i den historie her Version2?
Det ville pynte på det hele hvis man kunne se den henvendelse de fik til at starte med fra Alias Robotics. Kræver de at få adgang til kildekoden i robotten? I givet fald, så er det jo dem som er nogle idioter?
Ind til videre så fremstår begge parter i et dårligt lys og nogle der blot holder på deres version uden underbyggelse.
At MiR og UR som er ejet af samme selskab Teradyne, ikke kommunikere internt om væsentlige brancherelaterede sikkerhedsproblemer - giver da kuldegysninger, fordi hvad skal der så til - FØR de reagerer?
https://www.version2.dk/artikel/fynske-robotter-kan-afpresses-med-ransomware-1089664#comment-406470
Når man snakker om sikkerhed som dette, læner man sig jo mere op af at sikkerhed skal være en helheds betragtning på system niveau. Dvs at i dette tilfælde burde det være acceptabelt at robotterne har et lavere sikkerheds niveau hvis at de er skærmede af et højt sikkerheds niveau ved system grænsen.
Man kan med andre ord ikke sidestille en robot som indgår som et del komponent i et lukket miljø med en web server der er frit eksponeret imod internettet - Det er to vidt forskellige ting!
Der er dog en gråzone her fordi at hvis man skal kunne påråbe sig en sikkerheds undtagelse som dette, så må det vel være et krav fra distributøren (MIR) at deres robotter installeres i et (veldefineret) sikret miljø - ellers må de jo have en ret til at frasige sig evt erstatnings pligt i forbindelse med sikkerhedsbrud da kunden således ikke har levet op til sit sikkerheds ansvar.
En leverandør kan ikke tages seriøs hvis de anvender hardcoded passwords i dagens Danmark.
Det er lige så meget no-go som anvendelsen af SHA-1.
Jeg har personligt bedt en leverandør om en redegørelse for hvorfor de stadig bruger SHA-1. Har leverøndøren en proces der sikre at de følger med tiden og ikke ubevist har/anvender teknisk gæld.