Kritisk modem-sårbarhed udstiller giganters patch-nøleri

Broadcom udstilles som skurk for fejl andre har lavet og så undre man sig over de ikke gider svare? Hold da op en gang vrøvl. Det er helt klart modem producenterne der har lavet lort i den så hvorfor skal broadcom klantres? Amatør pentesters og cli kbait jounalister.

Mig bekendt lykkes det at sælge og købe biler, også selvom de af og til bliver indkaldt til reparation PGA. man har opdaget defekte airbags, slæbeøjer og hvad ved jeg.

Øh ja, men det er jo ikke forhandleren (ISP'en) der har ansvaret. Det er jo producenten, der indkalder bilen til service, når der er en fejl.

Jeg har f.eks. lige fået besked fra Toyota Danmark at jeg skal hen til service, da der kan være en fejl på min airbag, der kan skabe problemer sikkerhedsmæssigt. Den er kommet fra Toyota Danmark (Cisco), ikke forhandleren (ISP'en), som I mit tilfælde er et mindre lokalt bilhus.

Som jeg forstår det så modtager Raspberry Pi foundation koden i form af et SDK (under NDA) og kompilerer den med de nødvendige features.

Og da SOC'en jo ikke bruges af andre, så må karrene anses for forbundne.

Som side bemærkning er jeg iøvrigt ved at brække mig over Raspberry Pi foundation og deres vi-gør-det-for-børnene-af-altruistiske-grunde gylle. Der sprøjtes million efter million af RPi's ud, hovedparten på ingen måde brugt af de stakkels børn, men til professionelt formål.

Og hvis ikke de mange penge ryger i fonden, ja så ryger de i Broadcoms bugnende kasse - men bliver de professionelle kunder, som er dem det betaler gildet taget alvorligt af den grund, næh nej, for vi-gør-det-jo-for-børnene.

Bvadr.

Hvad så med åben hardware? De to verdener smelter i stigende grad sammen.

Hvis der er det mindste gran af lukkethed, så skal den der står for denne lukkethed også have det fulde ansvar!

Så må man vælge: Åben og den sidste der piller ved hard/software har ansvaret. Lukket og man har det fulde ansvar.

Jeg gentager gerne, Broadcom er en del af problemet, ikke af løsningen.

For igen at referere til Raspberry Pi, så er hovedoperativsystemet faktisk ikke det OS jeg lægger på den, men noget ulækkert proprietært Broadcomkode, jeg ingen kontrol har over!

Som jeg forstår det så modtager Raspberry Pi foundation koden i form af et SDK (under NDA) og kompilerer den med de nødvendige features.

Ok, så skal vi gå en anden vej, nemlig forbud mod proprietær kode, og fuldstændigt åbne specifikationer således at producenten 100% ved hvad der sker i hans produkt.

Hvad så med åben hardware? De to verdener smelter i stigende grad sammen.

Aha, så hellere wild west.

Wild west har skabt en IT sektor der har udviklet sig meget hurtigt. IT har spredt sig ud over det hele og har forbedret produkter kraftigt. Jeg ønsker at dette kan fortsætte. Mogens bragte flybranchen ind i diskussionen - den opfører sig lige modsat IT branchen. Nye ideer tager årtier om at komme i produktion. Fx. ved alle at den nuværende "cigar+vinger+motorer under vingerne" model ikke er fantastisk - NASA har rodet med lifting body designs siden 50'erne. Hvad med blended wings? Måske var det vejen frem? Men der sker ikke det store fordi approvals tager årevis og alle ændringer i supplychain skal forhandles og kontrakter revideres.

Jeg erkender at nogen steder er der brug for regulering - fx. flybranchen. Jeg synes også det giver mening at regulere devices med netforbindelse fordi disse kan påvirke resten af verden, hvor jeg har sværere ved at se at man generelt skulle regulere devices uden netforbindelse. Men en sådan regulering skal ikke være så heftig som flybranchen.

Men hele denne diskussion startede med at vi snakkede problemer med Broadcom vs. Sagem. Såfremt Sagem leverer et standard produkt som ISP'er ikke piller med, så kan man godt lave noget produktansvar for Sagem men det nytter ikke at stille alt for høje krav for så bliver det meget dyrt. Og ingen vil betale 3 gange så meget for et kabelmodem.

Hvis man skal komme efter Broadcom i denne sag så bliver det meget kompliceret - der skal være meget klare aftaler mellem Broadcom og Sagem om hvem der har ansvaret for hvad. Det er ikke noget der er specielt agilt.

Alle der har prøvet at arbejde sammen med en extern partner hvor samarbejdet blev reguleret af en kontrakt vs. en intern partner hvor samarbejdet blev reguleret af et fælles mål (fx. om at levere et produkt) ved hvor forfærdeligt disse kontrakt-regulerede samarbejder er. De er også meget dyre og i mange tilfælde er resultatet dårligere kvalitet.

Jeg siger igen: Producenten af et kabelmodem (i dette tilfælde Sagem) køber et chipset af Broadcom. Broadcom har ingen indflydelse på hvordan Sagem bruger dette chipset. De har ingen indflydelse på hvilken kode kabelmodemmet shipper med.

For igen at referere til Raspberry Pi, så er hovedoperativsystemet faktisk ikke det OS jeg lægger på den, men noget ulækkert proprietært Broadcomkode, jeg ingen kontrol har over!

Du siger så: leverandører og producenter skal holdes ansvarlige og jeg siger: Det bliver meget svært at holde dem ansvarlige uden at det bliver meget dyrt fordi det aldrig er helt til at sige hvem der har ansvaret.

Såfremt Sagem skal tage ansvaret for alt hvad Broadcom har lavet, så kræves der at Sagem har samme kontrol med supplychain som Boeing har. Dvs. underleverandører som Broadcom må ikke lave nogen ændringer på noget som helst uden at det er aftalt med Sagem. Med inspektioner og alt det der hører med. Det er en non-starter.

Det er så nemt at kræve mere regulering og højere erstatninger, men hvis det ødelægger markedet så er det idiotisk. At regulere alt som luftfartsbranchen vil være idiotisk.

Problemet er jo bare, at når branchen ikke selv kan finde ud af at holde deres sti ren, så bliver det nødvendigt med regulering, basalt set børneopdragelse i større målstok.

Jeg skrev i mit første indlæg:
"Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter."
Og at det skulle gælde ud over 2 år.

Jeg siger igen: Producenten af et kabelmodem (i dette tilfælde Sagem) køber et chipset af Broadcom. Broadcom har ingen indflydelse på hvordan Sagem bruger dette chipset. De har ingen indflydelse på hvilken kode kabelmodemmet shipper med.

Du siger så: leverandører og producenter skal holdes ansvarlige og jeg siger: Det bliver meget svært at holde dem ansvarlige uden at det bliver meget dyrt fordi det aldrig er helt til at sige hvem der har ansvaret.

Du siger så: Luftfartsbranchen kan finde ud af det. Hertil er svaret at det bliver meget dyrt (prøv at checke hvad komponenter og reservedele til luftfart koster). Når det bliver så dyrt så er det fordi det kræver meget tættere interaktion mellem parterne.

Såfremt Sagem skal tage ansvaret for alt hvad Broadcom har lavet, så kræves der at Sagem har samme kontrol med supplychain som Boeing har. Dvs. underleverandører som Broadcom må ikke lave nogen ændringer på noget som helst uden at det er aftalt med Sagem. Med inspektioner og alt det der hører med. Det er en non-starter.

Såfremt Broadcom skal tage ansvaret for alt hvad Sagem laver, så kræves der at Sagem kun gør præcist hvad Broadcom siger og nix weiter. Med inspektioner og alt det der hører med. Det er ... surprise ... også en non-starter.

Det er så nemt at kræve mere regulering og højere erstatninger, men hvis det ødelægger markedet så er det idiotisk. At regulere alt som luftfartsbranchen vil være idiotisk.

Du ønskede samme form for regulering som flybranchen og det er jeg imod.

Igen fordrejer du helt mine udsagn.

Jeg skrev i mit første indlæg: "Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter." Og at det skulle gælde ud over 2 år.

Og i det sidste, som du citerede: "Jeg taler slet ikke for at alting skal overreguleres - men jeg konstaterer at set fra min stol har vi et alt for svagt reguleret brug-og-smid-væk IT-marked"

Du afviste kategorisk at det kunne lade sig gøre, ingen leverandører ville underkaste sig reglerne, der kun ville føre dyre og dårlige produkter med sig; derfor gav jeg eksempler med at det virkede med fødevarer, legetøj, fly m.m..

Jeg noterer at dine for mig uforståelige argumenter og at du fejlciterer ikke bunder i din egne job-interesser eller ultraliberalisme.

Men jeg tænker ikke det giver mening at fortsætte med at argumentere når du bevidst misforstår hvad jeg skriver.

Men hvis du er idealistisk imod al regulering tror jeg ikke vi nogensinde bliver enige.

Heldigvis har jeg aldrig argumenteret for at fjerne al regulering. Du ønskede samme form for regulering som flybranchen og det er jeg imod. Flybranchen har sine helt egne udfordringer.

Hvis vi havde reguleret IT branchen som fly branchen så ville vi i dag kunne købe PC'er fra IBM og to andre leverandører. CPU'en ville være en 80186 eller en 68010. Internettet ville ikke eksisterer og mobiltelefoner ville ligne Motorolas gamle mursten.

Nu kunne jeg sige at du havde argumenteret for at ovenstående var din præference, men det ville være uvederhæftigt. På samme måde som når du skriver at jeg skulle være imod al regulering ...

Når det design stadigvæk er i brug så er det fordi alle reglerne gør det urimeligt dyrt at lave nyt.

Den primære årsag er nok profit, for hvis Boeing lige kunne presse citronen lidt endnu mere, og lukrere på at 737'eren har været den stabile arbejdshest, så ville det give større gevinst.

Selvfølgelig kan man lave nye fly, bla. gør Airbus og Bombadier det, problemet er nok mere at Boeing er faldet teknologisk bagud, hvilket jo tydeligt sås i de mange problemer de har haft med (nightmare) Dreamlineren, hvor Airbus har mere styr på det med A350XWB.

Men hvorfra ved du at 1000kr. er den rigtige pris?

En liberalist ville jeg sige at hvis der er fri konkurrence er prisen automatisk rigtig...

Hele det show er dyrt.

jeg mener bare dine argumenter ikke er gode.

Lige over! Jeg har ekstremt svært ved at forstå din modstand mod at producenter og leverandører skal stå til ansvar for at udsætte

1. folks privatliv for fare
2. infrastruktur for fare for DDoS-angreb (via pwn'ede routere, IoT osv)

• som udelukkende skyldes sjusk før og slendrian efter produktion.

Nu blander du jobsikkerhed sammen med produktansvar.

Ja beklager, når jeg møder ubegribelig modstand underbygget med argumenter der ikke hænger sammen plejer jeg at søge efter den bagvedliggende årsag til modstanden - det kan være egoistiske ting som "jeg gider ikke mere ansvar/formalia i mit arbejde" eller ekstremistiske holdninger (Ultraliberalisme: "der skal være anarki og nul regulering for alt").

Ikke alt skal fremstilles i top kvalitet.

Endelig et punkt hvor vi er enige! :) Det er derfor der er performancekrav bremser, lygter osv i biler, men ikke til autoradioer, varmeanlæg.

Jeg taler slet ikke for at alting skal overreguleres - men jeg konstaterer at set fra min stol har vi et alt for svagt reguleret brug-og-smid-væk IT-marked hvor det eneste der er krav til er at produkterne ikke må være fysisk farlige og skal holde sig indenfor de tilladte frekvensbånd.

Jeg mener vi skal passe godt på vores verden, både den menneskeskabte infrastruktur og vores resurseforbrug, som sådan synes jeg dette uregulerede cowboy-land hvor producenter kun har et ansvar i 2 år for at dimserne virker nogenlunde ikke er godt nok.

Men hvis du er idealistisk imod al regulering tror jeg ikke vi nogensinde bliver enige.

Flybranchen kan præstere den absolut sikreste transportform ift. alt andet - tog, busser, biler m.m.

Det hele bliver noget nemmere når man bevæger sig rundt i et rum der basalt er tomt. Lidt i stil med skibe på oceanerne. Helt anderledes er det med biler på en landevej (hvor de fleste ulykker sker). Basalt set giver det ikke nogen mening at sammenligne.

Og alligevel kan du flyve til Spanien for 1000kr. Marginen er lav ja, konkurrencen er hård. Men det forhindrer ikke højt sikkerhedsfokus.

Men hvorfra ved du at 1000kr. er den rigtige pris? Måske kunne det være endnu billigere. Busser er fx. billigere på mange distancer og komforten er nogenlunde lige ringe. Det er ikke fordi jeg mener sikkerheden skal være ringere i luften ... jeg mener bare dine argumenter ikke er gode.

Selv inden for biler har VW fået store problemer med deres svindelsoftware som gjorde at deres Diesel-biler kun overholder miljølovgivningen når de bliver testet.

Men det har ikke noget med kæde-ansvar at gøre. Jeg har ikke argumenteret for at virksomheder ikke skal kunne stilles til ansvar. Blot at det bliver ganske håbløst hvis man som leverandør af komponenter skal stå til ansvar for hvordan en producent integrerer dem i eget produkt. Når man producerer fly så er hele management af supply-chain en kæmpe opgave i sig selv. Underleverandører må ikke lave ændringer uden at de er aftalt med fly-producenten. Hele det show er dyrt. Det tror jeg ikke nogen vil betale for når det blot handler om et modem e.lign. Jeg vil ikke.

Sat på spidsen - vil du gerne miste dit job til uudddannede asiater som ikke kan levere kvalitet - hellere end at skulle stå til ansvar for at levere god kvalitet selv?

Nu blander du jobsikkerhed sammen med produktansvar. Jeg mener at forbrugerne skal vælge den kvalitet der passer dem så længe det ikke går ud over andre. Ikke alt skal fremstilles i top kvalitet. Jeg kan personligt sige at jeg har lært hvornår jeg skal købe kvalitet og hvornår det er ligemeget. Hvis du ser på hvordan en håndværker arbejder så er han også ret klar på hvornår kvalitet er vigtigt og hvornår det bare skal hænge sammen. Hvis han kælede for alle detaljer blev det meget dyrt.

Mht. jobsikkerhed mener jeg at alle må kæmpe for at være relevante på jobmarket. Vi har ikke brug kunstig beskyttelse af arbejdspladser. Det fører kun til at landet ender som flylandsmuseum.

Flybranchen er ikke en branche nogen bør kopiere generelt selvom der givetvis er ting at lære

Flybranchen kan præstere den absolut sikreste transportform ift. alt andet - tog, busser, biler m.m. Og alligevel kan du flyve til Spanien for 1000kr. Marginen er lav ja, konkurrencen er hård. Men det forhindrer ikke højt sikkerhedsfokus.

Samme rigide kontrolregime findes i medicinbranchen, forid man ønskede at der ikke var flere der blev alvorligt syge af medicin blot fordi nogen havde ændret styringssoftwaren i produktionsprocessen eller i insulin-pumpen.

Selv inden for biler har VW fået store problemer med deres svindelsoftware som gjorde at deres Diesel-biler kun overholder miljølovgivningen når de bliver testet.

Det er ekstremt søgt at sige at bare fordi det er IT til internet så er det cowboy-land og vi nægter at stå til ansvar for at levere god kvalitet.

Det er selvfølgelig nememst at komme først i mål hvis man ikke skal overholde færdselsreglerne - men er det virkelig det samfund du ønsker?

Sat på spidsen - vil du gerne miste dit job til uudddannede asiater som ikke kan levere kvalitet - hellere end at skulle stå til ansvar for at levere god kvalitet selv?

Hvordan kan du vide det med sikkerhed? Prøv at erstatte modem med fly og ISP med flyselskab:

Forskellen på flybranchen og resten af verden er at flybranchen bevæger sig fremad med i sneglefart. Jeg husker en IT-ingeniør fortælle at de skulle bruge en switch til indbygning i fly. Der var kun en switch på markedet og den var 10 år gammel. Den var også meget meget dyr. Fordi det er meget dyrt at introducere nye ting. Du kan også tage et kig i en lufthavn og så vil du opdage at der er ufatteligt mange mennesker ansat og at de fleste tjener betydeligt mere end gennemsnittet. Sammenlign med en færge hvor mandskabsforbruget er meget mindre.

Flybranchens priser og konservativisme passer meget dårligt sammen med mennesker der gerne vil have deres termostat, overvågningskamera, computer, telefon på internettet og derfor har brug for et modem af en eller anden art. Ingen af dem er villige til at betale 10 gange så meget for produkterne og det vil også være dumt.

Når der er så store krav til flybranchen, så er det dels historisk og dels fordi resultatet af en switch i et fly der bryder i brand pga. fejl i produktion nemt kan være at flyen falder ned. Det er heldigvis sjældent resultatet andre steder. Fx. gør røgalarmer og muligheden for at forlade lokalet at man ikke behøver stille helt så store krav til andet hardware omkring brandsikkerhed. Vi kunne stille meget større krav men det ville ikke stå mål med resultatet.

Når Boeing i dag har kæmpe problemer med deres 737MAX fly, så er det fordi det er et 50 år gammelt design. Når det design stadigvæk er i brug så er det fordi alle reglerne gør det urimeligt dyrt at lave nyt. Mængden af godkendelser man skal igennem er ganske enkelt enorm. Derfor valgte Boeing at placere motorerne på en suboptimal måde. Derfor valgte Boeing at genbruge et system til auto-trim i stedet for at lave et rigtigt fly-by-wire system. 737 har også døre der er for små men det er for dyrt at lave om. Cockpittet har fantastisk meget støj, men det er for dyrt at lave om. Listen fortsætter.

Flybranchen er ikke en branche nogen bør kopiere generelt selvom der givetvis er ting at lære.

den kontrakt som ISP'en har lavet med producenten af modemet (e.g. netgear, cisco, sagem) vil indeholde en passus om at leverandøren er ansvarsfri.

Hvordan kan du vide det med sikkerhed? Prøv at erstatte modem med fly og ISP med flyselskab:

den kontrakt som flyselskabet har lavet med producenten af flyet (e.g. Boeing, Airbus) vil indeholde en passus om at leverandøren er ansvarsfri.

Sådan er virkeligheden jo ikke, vel? Det ville jo være forkasteligt!

Boeing har ansvaret for at softwaren i deres 737 MAX 800 er livsfarlig og deres fly har fået flyforbud og derfor har flyselskaberne har anlagt erstatningssager.

The 737 MAX is indefinitely grounded until regulators decide the aircraft is airworthy, pending software and instrumentation updates and revisions to information for flight crews. They may also be required to undergo MCAS training sessions in flight simulators.

Den reelle forskel her er at det betyder menneskeliv og milliarder, hvor hackede devices og kompromitteret privatliv stadig ikke regnes for ret meget!

Mig bekendt lykkes det at sælge og købe biler, også selvom de af og til bliver indkaldt til reparation PGA. man har opdaget defekte airbags, slæbeøjer og hvad ved jeg.

Men i det her tilfælde vil ansvaret tilfalde den ISP der har valgt at bruge modemet. For den kontrakt som ISP'en har lavet med producenten af modemet (e.g. netgear, cisco, sagem) vil indeholde en passus om at leverandøren er ansvarsfri. På samme måde vil Broadcom indføje det samme i kontraken med producenten. Den slags aftaler kan virksomheder lave med hinanden - også i Danmark. Det er kun overfor forbrugere at man lovgiver om at man ikke kan aftale sig ud af producent ansvar og det er der mange gode grunde til.

I det specifikke tilfælde var der tale om noget sourcekode som Broadcom leverede som "eksempel/demonstration/recommended" og hvor det var meningen af producenten kunne modificere koden og indsætte det som del af produktet.

Læg så oveni open source kode ... hvem har ansvaret der? I praksis må man bare erkende at software er meget anderledes end andre produkter og det er svært at lave en form for kædeansvar.

Så vil der aldrig blive solgt en skrue. Det er lige naivt nok....

Mig bekendt lykkes det at sælge og købe biler, også selvom de af og til bliver indkaldt til reparation PGA. man har opdaget defekte airbags, slæbeøjer og hvad ved jeg.

Jeg forstår ikke hvorfor du forsøger at problematisere noget der virker i andre brancher og kalde dem der tror det virker naive. Det virker jo i fødevarebranchen, i Autobranchen, i medicinbranchen osv.

Så er der et kaskadeansvar fra forbruger > butik > grossist > producent > ingrediensproducent.

Dem der har produceret hardwaren, står med ansvaret. I f.eks. kabel-modems er det både Broadcom og den producent, som benytter Broadcoms chipset. Sådan må det være, og det er vel det man kalder produktansvar.

Så til et kabel-modem (og typisk en masse andre IT dimser) er der flere producenter involveret. Så de bærer alle et ansvar.

At tro en distributør, leverandør, Internetudbyder osv. kan bære noget ansvar er altså lidt naivt. De har ikke en jordisk chance og kan kun henvende sig til producenterne og "brokke sig" eller købe andetsted.

Hvem står med ansvaret?

Ligesom med alt andet (fødevarer, legetøj osv) er det den man har købt af der må have ansvaret. Spegepølse består af mange ingredienser, det fritager ikke butikken, grossist og producenten for ansvar hvis folk bliver syge af den selvom det skyldes en enkelt dårlig ingrediens. Så er der et kaskadeansvar fra forbruger > butik > grossist > producent > ingrediensproducent.

Hardware leverandøren kan på ingen måde forventes at forstå de mange linjer kode der kommer fra Broadcom - en stor del i form af en Linux kerne.

Tag nu f.eks. RaspberryPi, som jo hævdes at kunne køre Linux og meget andet.

Jo den kan godt afvikle Linux, men det er som en andenklasses gæst - hovedoperativsystemet er en grim blob udviklet af Broadcom, helt og aldeles lukket og klisteret til med Araldit, som afvikles i GPU'en:

https://ownyourbits.com/2019/02/02/whats-wrong-with-the-raspberry-pi/

Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter.

Det er ikke så nemt. Broadcom leverer et chipset og et SDK. Og en masse eksempler på kode. Cisco, Sagem, Asus, Netgear, etc. tager så Broadcoms code og kompilerer til firmware med de features de ønsker. Her bruger de bl.a. Broadcoms eksempler på kode. Læg så oveni ISP'ers tilretninger. Hvem står med ansvaret? Broadcom ejer noget af koden men ved ikke hvor den er brugt. Andet kode er blot eksempler (recommended code) som tilrettes af hardware leverandøren. Hardware leverandøren kan på ingen måde forventes at forstå de mange linjer kode der kommer fra Broadcom - en stor del i form af en Linux kerne.

Problemet er gigantisk fordi Broadcom udgør en monokultur indenfor chipset/SDK til routing, access points og diverse modems. Hvis nogen finder en fejl i Broadcoms SDK så er der potentielt "fri" adgang til de fleste SOHO routere, AP og modems.

Samme "næsten monokultur" ser vi på Wifi-siden. Hvis nogen finder en fejl i firmware/drivere til en af de få leverandører af konkurrencedygtigt wifi udstyr, så er der potentielt adgang til at ramme rigtigt mange laptops. Skrækscenariet er at nogen finder ud af at sende en "giftig beacon frame" til alle. På den måde vil malware kunne sprede sig fra laptop til laptop uden at de er logget på samme net. Maskinen skal blot være tændt og wifi enabled. Og uden at diverse former for beskyttelsessoftware vil hjælpe, fordi angrebet sker helt nede i driveren.

Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter.

Som det er nu er der alt for meget "Rapid prototyping"-kode der ender i produktion og aldrig bliver vedligeholdt.

Ud fra en miljøbetragtning er det enormt resursespild at man skal købe ny hardware hver 1-2 år for at få løst sikkerhedproblemer blot fordi intet tvinger leverandøren til at vedligeholde deres produkter.

Vi ser det på mobile devices, vi ser det på routere og IoT. Køb, brug og smid væk et par år senere selvom de ikke fejler andet end softwaren er forældet.