Manglende regler om softwareopdatering gør it-produkter farlige

Hensyn til innovation resulterer i farlig software i f.eks. smartphones, mener dansk it-sikkerhedsekspert.

Når vi køber en ny router, et access point eller en smartphone, så medfølger der et producentansvar, der ved lov sikrer, at produktet som minimum skal virke i 24 måneder. Men når det gælder softwaren i produktet, gælder der ingen regler for holdbarhed.

Det er derfor op til producenterne selv at bestemme, i hvilket omfang de ønsker at opdatere softwaren, og i den forbindelse også sikkerheden, i deres produkter.

It-ekspert Henrik Kramshøj fra firmaet Zencurity kalder den manglende regulering af softwareopdateringer for direkte farlig.

»Den seneste tids afsløringer af huller i sikkerheden hos Android har med al synlighed vist os, at vedvarende softwareopdateringer er altafgørende for sikkerheden i vores it-produkter. Snøler en producent med en opdatering eller stopper for supporten af et produkt, er det direkte farligt,« fastslår han.

Sikkerhed dårligst på smartphones

Ifølge Henrik Kramshøj er problemet generelt for it-udstyr og særlig alvorligt inden for netværksrelaterede produkter. Helt galt står det til, når vi snakker smartphones.

»Flere og flere af vores erhvervs- og finansielle aktiviteter flyttes i disse tider over på vores smartphones. Samtidig repræsenterer softwarehuller på telefonerne nogle af de største sikkerhedsrisici, vi overhovedet kender,« konstaterer han.

Læs også: Open source-patch blotlagde kritisk sårbarhed i Android

Af samme grund har Henrik Kramshøj valgt ikke at have følsomme data eller sin private mail liggende på sin telefon.

Hul i hovedet-sikkerhed

Når en softwareproducent som Google eller Microsoft opdager et hul i sikkerheden på deres styresystem, sender de typisk en opdatering, de såkaldte patches, ud til hardwareproducenterne. Herefter er det op til Samsung, Sony, LG og de øvrige telefonproducenter selv at beslutte, hvilke af deres telefoner de ønsker at tilbyde den pågældende sikkerhedsopdatering.

Typisk stopper opdateringerne, eller bliver væsentligt sjældnere, når en telefon nærmer sig en alder af 18 måneder. Altså længe før det lovfæstede producentansvaret udløber.

Det er nemlig ganske ressourcekrævende at holde ældre udgaver af telefoner sikkerhedsopdateret. Oftest skal der skrives en opdatering til hvert enkelt telefon model eller udgave af styresystem, hvilket ifølge Henrik Kramshøj er helt hul i hovedet.

»Lovgivningen burde være sådan, at producenterne af styresystemerne var forpligtet til at tilbyde samme udgave af software til alle telefoner og holde det opdateret inden for en given periode,« mener Henrik Kramshøj.

Ubrugeligt produkt

Er din telefon eller router ikke længere på listen over modeller, som producenten opdaterer, så mener Henrik Kramshøj, at produktet er ubrugeligt.

»Har din telefon en gammel firmware, kan du jo ikke bruge browseren på den. For kommer du ind på en hjemmeside, der udnytter det sikkerhedshul, så er din telefon jo overtaget,« fastslår han.

Selv har Henrik Kramshøj måttet opgive en Android-telefon, fordi den ikke kunne opdateres til nyeste CyanogenMod.

»Nyeste CyanogenMod var 12, men min telefon kunne kun køre 11, så det var ikke muligt at få de nyeste sikkerhedsopdateringer, selv om telefonen ikke var særlig gammel,« forklarer han.

Læs også: Kritiske opdateringer ignoreres: Millioner af Android-telefoner fyldt med sikkerhedshuller

Regler må ikke bremse innovation

Rasmus Theede, der er medlem af IT-Branchens sikkerhedsudvalg og formand for Det Digitale Råd, kan sagtens få øje på problemet, men er bange for, at regler kan stå i vejen for innovation.

»En af de vanskeligste udfordringer, vi har, er, når vi snakker Internet of Things. Danmark er jo det land i verden med næstflest enheder på internettet. Jeg mener, vi er oppe på seks enheder pr. person, hvilket gør sikkerheden omkring software ekstremt indviklet. Indfører vi en masse regler på området, risikerer vi, at det spænder ben for innovation,« forklarer han.

Ifølge Rasmus Theede skal udfordringen derimod løses i et samspil mellem tillid til leverandøren og kundens egen indsats.

»Kunder til it-produkter skal vænne sig til, at selv om produkterne fortsat virker, så har de en ‘end of life’-dato, og leverandørerne skal blive bedre til at oplyse om, hvornår kunden ikke længere kan forvente, at et produkt opdateres, « siger han.

Softwaregaranti en god idé

Rasmus Theede kan dog godt se fornuften i nogen detailstyring og mener, at det absolut vil være en god ide med en softwaregarantiperiode på lige fod med reklamationsretten på hardware. På spørgsmålet om, hvorvidt en garantiperiode på software vil være en god idé, siger han:

»Absolut! Og det er allerede en del af de it-kontrakter, som firmaer indgår med deres samarbejdspartnere. Det er noget sværere for privatforbrugere, og det er nok her, udfordringen ligger.«

Hvad angår smartphones, er Rasmus Theede enig med Henrik Kramshøj og opfordrer virksomheder til at vælge deres telefonløsning med omhu og eventuelt installere eget software på telefonerne.

»Vi lever i en verden, der er blevet så digitaliseret, og hvor vi har så mange devices, at vi bliver nødt til i en eller anden grad at sætte os ind i de ting, vi tager med ind i hjemmet og virksomheden,« lyder budskabet fra Rasmus Theede.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (20)

Ulrik Suhr

Hvis man som producent anser produktet for ikke gangbart kunne man jo frigive kildekoden. Samt opdaterings værktøjer.
Derved kunne brugere selv påtage sig et ansvar. Som det er i dag kan man ikke altid installere et alternativ på nogle produkter når disse er udløbet for support.

Michael Jensen

Organisationen "Stop spild af mad" har fået enorm success i løbet af få år (cirka fem år siden de startede).

Hvornår starter vi "Stop spild af forbrugerelektronik" og "Stop spild af software" ?

Noget med at kræve sikkerhedsopdateringer til gamle firmwares, muligt batteriskift i alle mobiler (da batteriet typisk ryger som noget af det første)

PS: Jeg bruger en jailbreaket iPhone 3G som GPS når jeg er på ferie. Den er sikkert mega sårbar, men den virker nu ok, og er ikke på internettet.

PPS: Jeg har et par gaaamle Synology-bokse, som ikke kan køre nyeste versioner af firmwaren længere. De performer stadig fint til et "billigt" NAS-setup. Nogen forslag til hvad man kan udstyre dem med? FreeNAS, OpenWRT, Linux-xyz-bsd-noget?

Christian Nobel

»En af de vanskeligste udfordringer, vi har, er, når vi snakker Internet of Things. Danmark er jo det land i verden med næstflest enheder på internettet. Jeg mener, vi er oppe på seks enheder pr. person, hvilket gør sikkerheden omkring software ekstremt indviklet. Indfører vi en masse regler på området, risikerer vi, at det spænder ben for innovation,«

Læs:
Vis skal bare have solgt så meget som muligt bras, og så er vi ellers skide ligeglade med sikkerheden.

Måske er tiden inde til at stoppe lidt op, og især overveje om hele IoT hypen er værd at satse for meget på, og som Ulrik er inde på, hvis man løber fra sit ansvar, så skal man om ikke frigive egen kildekode, så fjerne alle restriktioner der umuliggør installation af alternativ software - herunder også at fjerne låsning af bootloader etc.

Claus Andersen

Når man snakker "Enterprise" løsninger, så taler man ofte om long life modeller. Mange PC leverandører har/havde bestemte modeller, som kunne købes over lang tid. Der var så en tilsvarende lang periode, hvor man lovede at supportere disse. Tilsvarende har store organisationer tilkøbt "Extended support" hos Microsoft når de gerne ville holde liv i IE6 mv. Så industrien kan jo sagtens finde ud af håndtere sådan noget. Det er en vare, der er efterspurgt af betydende spillere - så derfor leveres den.

Konsum markedet er skruet anderledes sammen. Her skal features være "sexede" for at sælge. Er de ikke det, så får de ikke bevisthed hos de brede masser. De forbrugere der er forrest i bussen bliver ikke hørt, da de ikke er en kritisk masse. Prøv selv at ring til en større dansk ISP og sig "IPv6".

I kapitalismens mest rå form, så er det jo som det skal være. Nu ligger jeg en anelse mere til venstre for Ayn Rand, så jeg mener fint vi kan regulere os ud af det. Istedet for blot at afvise regler, så bør vi se på hvordan regler kan indføres fornuftigt. Det faktiske problem vi skal løse er, at skabe en kritisk masse uden at gennemregulere branchen til døde.

Lad os derfor indføre et svanemærke for mobiltelefoner. Her kan vi sige noget om minimumskrav på tværs:
- Hvilke standarder skal overholders (GSM900, UMTS900, GSM1800, UMTS2100 etc)
- Softwaren skal holdes opdateret i 10 år fra produktintroduktion
- Antennekvalitet i dBm. (f.eks. -98)
- Modellen skal produceres 3 år efter introduktion
- Reservedele tilbydes i 10 år.
- Support etc. etc.

Mærket skal være frivilligt og opdateres over tid. Var man lidt mere ambitiøs, så kunne de konstrueres som et "IT Svanemærke". Her kan man definere de overordnede levetider, og så være specifik med kvalitetskrav inden for de forskellige produkttyper (GSM dims, Wifi dims etc). Dette vil gøre det nemt for forbrugeren at vælge: Vil du have cutting edge - eller gammeldaws "kvalitet".

Dette løser problemet med kravene. Branchen kan stadig gå amok i sit IoT Klondyke, og innovationen er på ingen måde bremset.

Så mangler vi blot incitamentet. Det er så her vi kan komme på banen med "regler": Om 2 år indkøber det offentlige kun "svanemærkede" telefoner.

Ivo Santos

Jeg er helt enig i at hvis man indfører for mange regler så kan det gå ude over innovationen, men når det er sagt, så betyder det jo ikke at man ikke skal indfører regler, for selvfølgelig skal man lave regler der til dels beskytter os alm. forbruger.

Problemet med smart telefoner i det hele taget er jo også at hver eneste opdatering kræver en hel firmware opdatering, hvilken det vel er der problemet opstår, for hvis i virkeligheden er en smart telefon og en alm. pc stort set det samme, hviken betyder at operativ systemet burde lægge i en flash disk man burde kunne udskifte, det vil desuden også gøre det nemmere at opdatere en smart telefon det ikke længere er nødvendigt at opdatere firmware delen hver gang man skal opdatere telefonen.
Sådan en ændring ville løse en del problemer, og så mangler vi blot at det også bliver nemmere at udskifte operativ systemet i de smart telefoner man køber.

Claus Juul

Når et produkt når sin End of Support, hvorfor skal producenten så ikke tvinges til at frigive nok oplysninger til at andre kan overtage opgaven?

Keld Simonsen

Købeloven (Kbl.) har ikke særlige bestemmelser omkring software for mangler. Derfor må softwarefejl være en mangel, som fører til de almindelige rettigheder for købere i forbrugerkøb. Efter Kbl. § 77 skal fejlen opfattes som en mangel, hvis fejlen eksisterede på købstidspunktet, selvom fejlen var ukendt - og det vil jo være tilfældet med de fleste softwarefejl.

Køberens beføjelser er bestemt i Kbl. § 78. Her kan køberen bl.a. kræve manglen rettet.

Og det er jo ikke raketvidenskab. Der er ikke principiel forskel på SW til en smartphone og SW til en PC. Og SW til en PC bliver jo vedligeholdt i en længere årrække. Og HW der skal understøttes er ikke væsentforskellig fra HW i smartphones. Med Kbl. i hånden kan man ikke kræve mere end 2 års SW-vedligeholdelse, men det vil jo også være en kraftig forbedring for Android. Jeg tror faktisk at Apple kører med gratis opdatering af IOS, så det er praksis i markedet. Og de 2 år er en implementering af et EU-dirketiv, så det er bl.a. hele EU-markedet som disse regler gælder i. Google må lave et vedligeholdelsessystem som Android-producenterne kan benytte, så system-apps kan blive opdaterede, og opdatering af HW-understøttelse kan ske modulært.

Jesper Høgh

Er jeg ene om, at finde det ualmindeligt grotesk, at begrebet sikker software i virkeligheden er et yderst abstrakt begreb?

Skulle det virkelig være så umuligt for mastodonter som f.eks. Google og Microsoft, at fremstille et stykke ultimativt sikkert software?

Nu er jeg ikke typen, som går med hat, og hvis jeg gjorde, så ville den ikke være fremstillet af sølvpapir! Men alligevel:

Kunne man forestille sig, at den evindelige strøm af sikkerhedsopdateringer Windows-brugere bombarderes med, i virkeligheden er flytning af implementerede bagdøre, som er blevet kompromitteret af nysgerrige black- eller whitehats?

Derudover må det vel også kræve mere robuste operativsystemer, i takt med, at softwareudvikling nærmer sig udelukkende, at være konfigurering af tredjeparts frameworks.

Jimmy Christiansen

Skulle det virkelig være så umuligt for mastodonter som f.eks. Google og Microsoft, at fremstille et stykke ultimativt sikkert software?


De korte svar er som jeg ser det:
Nej - Hvis softwaren kun kan ganske få ting.
Ja - Hvis softwaren skal kunne det de fleste IT brugere forventer i dag.

Lidt mere at tænke over:
En W95 installation blot af OS fyldte ~50 MB.
W10 fylder ~9 eller ~11 GB afhængig af 32/64 bit. Og nyeste Lubuntu Linux fylder fra ~3GB.

Christian Nobel

En W95 installation blot af OS fyldte ~50 MB.
W10 fylder ~9 eller ~11 GB afhængig af 32/64 bit. Og nyeste Lubuntu Linux fylder fra ~3GB.

Sammenligningen er dårlig, for der er fyldt alt muligt skrammel med, selv i en Linux distro.

Så hvis man skal sammenligne, så skal man nok nærmere sammenligne W95 med f.eks. Slitaz hvor vi taler om en ISO fil på 35MB - og Slitaz kan i virkeligheden mere out of the box end W95 kunne.

Johnnie Hougaard Nielsen

Med Kbl. i hånden kan man ikke kræve mere end 2 års SW-vedligeholdelse

De to år tæller fra den dag forbrugeren køber dimsen. Det vil i praksis sige at perioden hvor producenten skal sørge for opdateringer i praksis er mindst ca. 3 år (til tider noget længere), målt fra dimsen kommer på markedet.

Det kan måske kræve at opdrage forbrugerne til at kræve garanti-reparation eller udskiftning af dimser hvor softwarefejl ikke rettes indenfor en "rimelig" tid. Det kan kræve en principsag gennem det juridiske system.

Der kunne måske også køres sag på hvor lang tid "rimelig" dækker over. Det ses jo at der går adskillige måneder før en software rettelse kommer igennem både software udvikler, hardware producent samt hvad mellemmænd som teleselskaber bruge af tid på test og udrulning - samt at trille tommelfingre mens de håber på at forbrugeren selv investerer i at udskifte den defekte dims.

Jakob Damkjær

men googles ret mangelfulde strategi for at opretholde software sikkerheden på de dimser der køre android er den udløsende årsag...

At der så er nogen der prøver at ophøje det til et problem på branche niveau gør ikke at det ikke er google der har lavet et ringe system og nægter at gøre noget realt ved systemet selv om det har været erkendt i årevis (og en 3-4 major revisions af styresystemet) at den grundlæggende strategi med at OEMerne skulle styre opgraderinger (med teleoperatørene som yderligere forskinende/blokerende faktor i største delen af verden) er forfejlet.

Nu har OEMerne lovet at udgive opdateringer oftere... men har de faktisk leveret på deres løfte om at udgive opdateringer til en meget lille del af den eksisterende masse af telefoner ?

kravet burde være at google ændre sin strategi til en der har vist at den virker. DVS. platform ejeren har ansvar for at opdatere softwaren.

Hvorfor google har nægtet at addoptere den strategi kan man kun gætte om men måske er der bare ikke er nogen der faktisk bestemmer over penge hos google der har prioteret at opretholde sikkerheden på android dimser som platform. At der så er nogen hos google der siger de rigtige ord om at "sikkerhed er en printet ect ect" kan man så konkludere at de ikke er nogen der bestemmer hvordan de miliarder af dollars de tjener på profiling og reklame skal bruges.

Niels Danielsen

Jeg mener også at leverandørerne burde tvinges til at levere opdateringer over en længere årrække, eller åbne op for deres kode.
Et af problemerne med det er at selv om CyanogenMod, OpenWRT etc har support for et stykke hardware, så går der ikke lang tid inden at de også opgiver at teste det på ældre hardware da arbejdet er for stort.
Stort set alt elektronik i dag køre Linux på en ARM SoC, og meget af IoT har IO som Linux har et forhold til. Problemet er at der ikke er en standard bootloader/BIOS, samt der ikke er en standard måde at finde ud af hvilken hardware der er i systemet.
Det burde ARM kunne løse sammen med SoC leverandørene, således at alt IoT kan boote en std. Linux, det vil dog kræve at driverne er open source.

Niels Danielsen

En anden mulighed er at have continuous delivery og automatiske tests af kompatibilitet så små fixes kan sendes ud med det samme.


Hvordan vil du vedligeholde koden til de sidste års modeller ?
Det nemmeste vil udmiddelbart være at opgradere til nyeste Linux eller Android, da man så løser alle de sikkerheds problemer er er blevet rettet.
Men hvis du gør det, så skal du til at bruge tid på at få skidtet til at boote igen.
En anden løsning er at diffe kode og så flytte de mest kritiske sikkerheds opdatering over i den gamle kodebase.
Begge dele involvere en hel del arbejde.

Jimmy Christiansen

De korte svar er som jeg ser det:
Nej - Hvis softwaren kun kan ganske få ting.
Ja - Hvis softwaren skal kunne det de fleste IT brugere forventer i dag.

Så altså, Jimmy, du mener at det er legitimt, at OS producenter, som f.eks. Microsoft, mister overblikket når deres OS bliver avanceret - er det sådan dit svar skal forstås?


Først husk at det er ikke kun kommercielle OS leverandører der har problemet.

Min pointe er at opdateringer er en nødvendighed:
Med den kompleksitet der er i kodebasen i dag vil der ske fejl. Som man ikke med rimelighed kan forventes at kunne forudse. Uanset om man er et Open Source OS eller en kommerciel OS leverandør.

Der sker softwarefejl i selv de steder hvor man gør rigtig meget for at undgå det, prøve at læse her

Så det er vigtigt at have en god opdaterings strategi på plads.
Den mangler som jeg ser det delvist på Android. På grund af at man modsat andre OS platforme skal opdatere Firmware. Hvilket gør det svært at understøtte selv halvgamle produkter.

Jan Rouvillain

Vores frihed er mere og mere begrænset af propriteært software i udstyr og gadgets. Vores frihed er i stigende fare, fordi software har sikkerhedshuller, så uvedkommende kan skaffe sig adgang til personlige og følsomme oplysninger. Det kan være oplysninger, som giver uvedkommende mulighed for at stjæle mine penge i banken eller bryde ind i mit hjem.
Når producenterne ikke vedligeholder og opdaterer softwaren i udstyret, så betyder det, at min frihed og ret til privatliv er svækket.
Problemet gælder ikke kun mobiltelefoner og computere. Utrolig meget udstyr i vores hjem er afhængig af software og giver kun værdi ved hjælp af software i udstyret. Det er alt fra fladskæm, vaskemaskine, mikrobølgeovn til el- og fjernvarmemåleren. Der er propriteært firmware i dem alle. Og problemet vokser i flere dimensioner. Mængden af udstyr med software stiger. Vi forbinder mere udstyr sammen med trådløst eller trådet kommunikation. Man kommer en computer i alt ting, kaffekoppen, skoene og i os selv. Vi har Internet of Things.
Producenter af udstyr og gadgets skal overleve på ofte stærkt konkurrenceprægede markeder. Derfor er det kommercielt fornuftigt ikke at ofre for mange ressourcer på vedligehold af software i ældre produkter. Og et ikke vedligeholdt produkt er et incitament til at købe nyt udstyr, selv om det fungerer.
Forbrugerne må stille krav til, at producenterne vedligeholder eller frigiver softwaren i ældre produkter, som de ikke vedligeholder. Det gælder også retten til og mulighed for at ændre i softwaren. Modellen for det bør på en ene side give forbrugerne friheden tilbage og sikre virksomhederne incitamenter og muligheder for at udvikle nyt udstyr. Virksomhederne ønsker at holde patenter overholdt og forretningshemmeligheder hemmelige.
Problemstillingen har en klar relation til fri software, der er en gang særdeles akademiske og langhårede tanker om frihed. Set i lyset af udviklingen er disse tanker blevet konkrete. Vi må som forbrugerne se at få friheden tilbage. Desværre har menigmand og Forbrugerrådet med Tænk ikke kompetencer eller ressourcer til at forstå problemet.

Fri software giver frihed. Kilde: http://www.gnu.org/philosophy/open-source-misses-the-point.en.html

Kjeld Flarup Christensen

Er der ikke noget med at GPL v3 kræver at slutkunden skal kunne genbygge softwaren og installere den. Som jeg ser det, er det netop vejen frem, at softwaren altid skal kunne genbygges af andre end leverandøren.

Log ind eller opret en konto for at skrive kommentarer