Kritisk modem-sårbarhed udstiller giganters patch-nøleri

Illustration: Lyrebirds
Alle de involverede parter har forsøgt at råbe forfatteren til den sårbare kode op. Uden held. Derfor er millioner af routere stadig sårbare verden over.

Tre unge danskere offentliggjorde for nylig en sårbarhed, Cable Haunt, der kan bruges til at overtage hundredvis af millioner af routere og modemmer verden over og misbruge dem efter forgodtbefindende.

Længe før offentliggørelsen startede Lyrebirds, som de tre unge sikkerhedskonsulenters virksomhed hedder, en omfattende og absurd responsible disclosure-proces.

En proces, hvor forfatteren af den usikre kode endnu ikke har taget officielt ansvar for at bringe hundredvis millioner kunders it-sikkerhed i fare.

Lyrebirds vil nemlig gerne fortælle forfatteren af den sårbare kode, at den bør patches. For vores alle sammens sikkerhed.

Meget peger på amerikansk softwaregigant

Og selvom mange forskellige modem-modeller fra forskellige producenter er sårbare, peger meget i Lyrebirds efterforskning mod ét selskab, som de tidligt i efterforskningen kontakter:

Broadcom.

Det store, amerikanske selskabs motto Connecting everything er ikke en overdrivelse.

Broadcom er underleverandør til titusindvis af produkter – herunder de routere og modemmer, der driver stort set alle danske internetforbindelser.

Fra Netgear til Cisco – der er kodestumper fra Broadcom i næsten alle deres produkter, der bliver solgt i det meste af verden.

Læs også: Sådan fandt tre unge danskere verdensomspændende sikkerhedshul i modemmer: »Hvis vi kan verificere det her, så skal der øl på bordet!«

På trods af det reagerede Broadcom ikke på Lyrebirds oprindelige henvendelser.

Heller ikke den danske it-sikkerhedsmyndighed, Center for Cybersikkerhed(CFCS), har formået at råbe Broadcom op.

»Vi forsøger at få fat på Broadcom for at få dem til at lave en patch, der lukker ned for sårbarheden, og der må vi bare sige, at vi endnu ikke har hørt retur fra dem,« siger Thomas Lund Sørensen, der er chef for CFCS, til Version2.

»Vi er gået via samarbejdskanalerne i USA og skal ærligt indrømme, at vi ikke ved, hvad der er sket på den side af Atlanten som følge af dét,« siger Thomas Lund Sørensen, der ikke vil komme nærmere ind på, hvad det præcis er for nogle kanaler.

Amerikanske telegiganter fremtvinger reaktion

Det var først, da Lyrebirds kontakter virksomhederne Comcast og Vodafone, at Broadcom reagerede.

De to amerikanske telegiganter er kæmpekunder hos softwaregiganten, og pludselig kontaktede Broadcom Lyrebirds for at høre nærmere om deres fund.

På det tidspunkt havde Lyrebirds kontaktet Broadcom over flere omgange uden at møde andet end larmende stilhed.

»Vi kan ikke med sikkerhed sige, om kontakten skyldes, at vi fik prikket til de store, amerikanske teleselskaber,« siger Kasper Terndrup, der er en af de tre stiftere af Lyrebirds:

»Men det er lidt ... sjovt, ikke?«

Har stadig ikke patchet eller taget ansvar

Broadcom har oplyst til Lyrebird, at den sårbare software-komponent i modemmerne, Spectrum Analyzer, er et stykke software, selskabet har sendt ud som en ‘anbefalet kode’ til sine kunder, modem-producenterne.

Det har sandsynligvis ikke været meningen, at koden skulle kopieres direkte ind i modemmerne, vurderer Lyrebirds.

»Ikke desto mindre viser vores reverse engineering, at det umiddelbart er tilfældet,« siger en anden af medstifterne, Jens Stærmose.

En talsperson fra Broadcom skriver i en mail til Version2, at man i maj 2019 opdaterer referencekoden, men Broadcom ønsker ikke at fortælle Version2, om selskabet i samme ombæring gør producenterne opmærksomme på, at den gamle kode var sårbar.

Siden koden bruges 'frivilligt' af modem-producenterne, aner Broadcom slet og ret ikke, hvilke enheder og producenter der er kompromitteret af det usikre program.

Koden er sendt ud til kunderne, og det er alt, de ved.

Udover det har Broadcom ingen kommentarer, fastslår talspersonen.

Lyrebirds har imidlertid også fundet sårbarheden på helt nye Cisco-modemmer. Hvilket sår tvivl om Broadcoms informationsarbejde over for producenterne og viser, vi ikke har set det sidste til Cable Haunt.

Version2 har prøvet at få Broadcom til at besvare en lang række andre spørgsmål – uden held.

Notorisk svært at råbe giganter op

Forløbet skriver sig dermed ind i en række eksempler på, at det kan være svært at råbe softwaregiganter op – selvom der er verdensomspændende sikkerhedshuller i deres software.

»Cable Haunt er ikke triviel at udnytte, men den er alvorlig, fordi den kan tilgås fra internettet,« vurderer Thomas Lund Sørensen.

Det er også derfor, CFCS har forsøgt at hjælpe Lyrebirds med responsible disclosure-fasen. Noget, CFCS ifølge Thomas Lund Sørensen ikke har gjort før.

Læs også: Hvordan vi fandt en sårbarhed i backupprodukt fra IBM - workaround offentliggjort og lidt om processen

Tidligere har Version2 da også beskrevet, hvordan IBM ikke lukkede et alvorligt sikkerhedshul, før danske sikkerhedsfolk lagde maksimalt pres på selskabet.

Dengang skrev Jakob Heidelberg, der er CEO hos Improsec, i et blogindlæg på Version2:

»Sagen med IBM viser, at en tidligere researcher ikke har sat pres nok på IBM. Derfor har sårbarheden fået lov at leve videre i bedste velgående - indtil vi også faldt over den. Og det er virkelig problematisk.«

CFCS overvejer politik på området

Jakob Heidelberg skriver også i indlægget, at han har overvejet, om det er tid til nogle konkrete, officielle retningslinjer for responsible disclosure.

De overvejelser er han ikke længere alene med, for Lyrebirds opdagelse har sat tanker i gang hos CFCS:

»Det her er første gang, vi arbejder så tæt sammen med sikkerhedsmiljøet om selve disclosure-processen. Og det har skabt nogle overvejelser om, hvorvidt man kan lave en reel politik om det her,« siger Thomas Lund Sørensen, der mener, at der er tale om en svær balancegang.

Læs også: Ethical hacking: Må man dele en it-sårbarhed?

»For mens nogle sårbarheder er kritiske, er det ikke altid, de ramte selskaber nødvendigvis skal smide alt, de har i hænderne for at løse det. Det svinger, hvor hurtigt man bør kræve, det bliver fikset, og her har Lyrebirds været meget, meget fair i forhold til at give teleselskaberne tid nok til at lave og udrulle patches,« siger Thomas Lund Sørensen

Både TDC og Stofa har da også, inden offentliggørelsen af Cable Haunt, patchet sikkerhedshullet uden hjælp fra Broadcom.

Se Lyrebirds demonstrationsvideo af Cable Haunt her:

Artiklen er opdateret 16.1 09:30 med en kort kommentar fra Broadcom.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mogens Lysemose

Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter.

Som det er nu er der alt for meget "Rapid prototyping"-kode der ender i produktion og aldrig bliver vedligeholdt.

Ud fra en miljøbetragtning er det enormt resursespild at man skal købe ny hardware hver 1-2 år for at få løst sikkerhedproblemer blot fordi intet tvinger leverandøren til at vedligeholde deres produkter.

Vi ser det på mobile devices, vi ser det på routere og IoT. Køb, brug og smid væk et par år senere selvom de ikke fejler andet end softwaren er forældet.

  • 13
  • 0
#2 Michael Cederberg

Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter.

Det er ikke så nemt. Broadcom leverer et chipset og et SDK. Og en masse eksempler på kode. Cisco, Sagem, Asus, Netgear, etc. tager så Broadcoms code og kompilerer til firmware med de features de ønsker. Her bruger de bl.a. Broadcoms eksempler på kode. Læg så oveni ISP'ers tilretninger. Hvem står med ansvaret? Broadcom ejer noget af koden men ved ikke hvor den er brugt. Andet kode er blot eksempler (recommended code) som tilrettes af hardware leverandøren. Hardware leverandøren kan på ingen måde forventes at forstå de mange linjer kode der kommer fra Broadcom - en stor del i form af en Linux kerne.

Problemet er gigantisk fordi Broadcom udgør en monokultur indenfor chipset/SDK til routing, access points og diverse modems. Hvis nogen finder en fejl i Broadcoms SDK så er der potentielt "fri" adgang til de fleste SOHO routere, AP og modems.

Samme "næsten monokultur" ser vi på Wifi-siden. Hvis nogen finder en fejl i firmware/drivere til en af de få leverandører af konkurrencedygtigt wifi udstyr, så er der potentielt adgang til at ramme rigtigt mange laptops. Skrækscenariet er at nogen finder ud af at sende en "giftig beacon frame" til alle. På den måde vil malware kunne sprede sig fra laptop til laptop uden at de er logget på samme net. Maskinen skal blot være tændt og wifi enabled. Og uden at diverse former for beskyttelsessoftware vil hjælpe, fordi angrebet sker helt nede i driveren.

  • 4
  • 1
#3 Christian Nobel

Hardware leverandøren kan på ingen måde forventes at forstå de mange linjer kode der kommer fra Broadcom - en stor del i form af en Linux kerne.

Og det kan faktisk være værre endnu.

Tag nu f.eks. RaspberryPi, som jo hævdes at kunne køre Linux og meget andet.

Jo den kan godt afvikle Linux, men det er som en andenklasses gæst - hovedoperativsystemet er en grim blob udviklet af Broadcom, helt og aldeles lukket og klisteret til med Araldit, som afvikles i GPU'en:

https://ownyourbits.com/2019/02/02/whats-wrong-with-the-raspberry-pi/

  • 4
  • 0
#4 Mogens Lysemose

Hvem står med ansvaret?

Ligesom med alt andet (fødevarer, legetøj osv) er det den man har købt af der må have ansvaret. Spegepølse består af mange ingredienser, det fritager ikke butikken, grossist og producenten for ansvar hvis folk bliver syge af den selvom det skyldes en enkelt dårlig ingrediens. Så er der et kaskadeansvar fra forbruger > butik > grossist > producent > ingrediensproducent.

  • 3
  • 0
#5 Jens Jönsson

Så er der et kaskadeansvar fra forbruger > butik > grossist > producent > ingrediensproducent.

Så vil der aldrig blive solgt en skrue. Det er lige naivt nok....

Dem der har produceret hardwaren, står med ansvaret. I f.eks. kabel-modems er det både Broadcom og den producent, som benytter Broadcoms chipset. Sådan må det være, og det er vel det man kalder produktansvar.

Så til et kabel-modem (og typisk en masse andre IT dimser) er der flere producenter involveret. Så de bærer alle et ansvar.

At tro en distributør, leverandør, Internetudbyder osv. kan bære noget ansvar er altså lidt naivt. De har ikke en jordisk chance og kan kun henvende sig til producenterne og "brokke sig" eller købe andetsted.

  • 0
  • 4
#6 Mogens Lysemose

Så vil der aldrig blive solgt en skrue. Det er lige naivt nok....

Mig bekendt lykkes det at sælge og købe biler, også selvom de af og til bliver indkaldt til reparation PGA. man har opdaget defekte airbags, slæbeøjer og hvad ved jeg.

Jeg forstår ikke hvorfor du forsøger at problematisere noget der virker i andre brancher og kalde dem der tror det virker naive. Det virker jo i fødevarebranchen, i Autobranchen, i medicinbranchen osv.

  • 2
  • 0
#7 Michael Cederberg

Mig bekendt lykkes det at sælge og købe biler, også selvom de af og til bliver indkaldt til reparation PGA. man har opdaget defekte airbags, slæbeøjer og hvad ved jeg.

Men i det her tilfælde vil ansvaret tilfalde den ISP der har valgt at bruge modemet. For den kontrakt som ISP'en har lavet med producenten af modemet (e.g. netgear, cisco, sagem) vil indeholde en passus om at leverandøren er ansvarsfri. På samme måde vil Broadcom indføje det samme i kontraken med producenten. Den slags aftaler kan virksomheder lave med hinanden - også i Danmark. Det er kun overfor forbrugere at man lovgiver om at man ikke kan aftale sig ud af producent ansvar og det er der mange gode grunde til.

I det specifikke tilfælde var der tale om noget sourcekode som Broadcom leverede som "eksempel/demonstration/recommended" og hvor det var meningen af producenten kunne modificere koden og indsætte det som del af produktet.

Læg så oveni open source kode ... hvem har ansvaret der? I praksis må man bare erkende at software er meget anderledes end andre produkter og det er svært at lave en form for kædeansvar.

  • 1
  • 0
#8 Mogens Lysemose

den kontrakt som ISP'en har lavet med producenten af modemet (e.g. netgear, cisco, sagem) vil indeholde en passus om at leverandøren er ansvarsfri.

Hvordan kan du vide det med sikkerhed? Prøv at erstatte modem med fly og ISP med flyselskab:

den kontrakt som flyselskabet har lavet med producenten af flyet (e.g. Boeing, Airbus) vil indeholde en passus om at leverandøren er ansvarsfri.

Sådan er virkeligheden jo ikke, vel? Det ville jo være forkasteligt!

Boeing har ansvaret for at softwaren i deres 737 MAX 800 er livsfarlig og deres fly har fået flyforbud og derfor har flyselskaberne har anlagt erstatningssager.

The 737 MAX is indefinitely grounded until regulators decide the aircraft is airworthy, pending software and instrumentation updates and revisions to information for flight crews. They may also be required to undergo MCAS training sessions in flight simulators.

https://en.m.wikipedia.org/wiki/Boeing_737_MAX

Den reelle forskel her er at det betyder menneskeliv og milliarder, hvor hackede devices og kompromitteret privatliv stadig ikke regnes for ret meget!

  • 1
  • 1
#9 Michael Cederberg

Hvordan kan du vide det med sikkerhed? Prøv at erstatte modem med fly og ISP med flyselskab:

Forskellen på flybranchen og resten af verden er at flybranchen bevæger sig fremad med i sneglefart. Jeg husker en IT-ingeniør fortælle at de skulle bruge en switch til indbygning i fly. Der var kun en switch på markedet og den var 10 år gammel. Den var også meget meget dyr. Fordi det er meget dyrt at introducere nye ting. Du kan også tage et kig i en lufthavn og så vil du opdage at der er ufatteligt mange mennesker ansat og at de fleste tjener betydeligt mere end gennemsnittet. Sammenlign med en færge hvor mandskabsforbruget er meget mindre.

Flybranchens priser og konservativisme passer meget dårligt sammen med mennesker der gerne vil have deres termostat, overvågningskamera, computer, telefon på internettet og derfor har brug for et modem af en eller anden art. Ingen af dem er villige til at betale 10 gange så meget for produkterne og det vil også være dumt.

Når der er så store krav til flybranchen, så er det dels historisk og dels fordi resultatet af en switch i et fly der bryder i brand pga. fejl i produktion nemt kan være at flyen falder ned. Det er heldigvis sjældent resultatet andre steder. Fx. gør røgalarmer og muligheden for at forlade lokalet at man ikke behøver stille helt så store krav til andet hardware omkring brandsikkerhed. Vi kunne stille meget større krav men det ville ikke stå mål med resultatet.

Når Boeing i dag har kæmpe problemer med deres 737MAX fly, så er det fordi det er et 50 år gammelt design. Når det design stadigvæk er i brug så er det fordi alle reglerne gør det urimeligt dyrt at lave nyt. Mængden af godkendelser man skal igennem er ganske enkelt enorm. Derfor valgte Boeing at placere motorerne på en suboptimal måde. Derfor valgte Boeing at genbruge et system til auto-trim i stedet for at lave et rigtigt fly-by-wire system. 737 har også døre der er for små men det er for dyrt at lave om. Cockpittet har fantastisk meget støj, men det er for dyrt at lave om. Listen fortsætter.

Flybranchen er ikke en branche nogen bør kopiere generelt selvom der givetvis er ting at lære.

  • 3
  • 0
#10 Mogens Lysemose

Flybranchen er ikke en branche nogen bør kopiere generelt selvom der givetvis er ting at lære

Flybranchen kan præstere den absolut sikreste transportform ift. alt andet - tog, busser, biler m.m. Og alligevel kan du flyve til Spanien for 1000kr. Marginen er lav ja, konkurrencen er hård. Men det forhindrer ikke højt sikkerhedsfokus.

Samme rigide kontrolregime findes i medicinbranchen, forid man ønskede at der ikke var flere der blev alvorligt syge af medicin blot fordi nogen havde ændret styringssoftwaren i produktionsprocessen eller i insulin-pumpen.

Selv inden for biler har VW fået store problemer med deres svindelsoftware som gjorde at deres Diesel-biler kun overholder miljølovgivningen når de bliver testet.

Det er ekstremt søgt at sige at bare fordi det er IT til internet så er det cowboy-land og vi nægter at stå til ansvar for at levere god kvalitet.

Det er selvfølgelig nememst at komme først i mål hvis man ikke skal overholde færdselsreglerne - men er det virkelig det samfund du ønsker?

Sat på spidsen - vil du gerne miste dit job til uudddannede asiater som ikke kan levere kvalitet - hellere end at skulle stå til ansvar for at levere god kvalitet selv?

  • 1
  • 2
#11 Michael Cederberg

Flybranchen kan præstere den absolut sikreste transportform ift. alt andet - tog, busser, biler m.m.

Det hele bliver noget nemmere når man bevæger sig rundt i et rum der basalt er tomt. Lidt i stil med skibe på oceanerne. Helt anderledes er det med biler på en landevej (hvor de fleste ulykker sker). Basalt set giver det ikke nogen mening at sammenligne.

Og alligevel kan du flyve til Spanien for 1000kr. Marginen er lav ja, konkurrencen er hård. Men det forhindrer ikke højt sikkerhedsfokus.

Men hvorfra ved du at 1000kr. er den rigtige pris? Måske kunne det være endnu billigere. Busser er fx. billigere på mange distancer og komforten er nogenlunde lige ringe. Det er ikke fordi jeg mener sikkerheden skal være ringere i luften ... jeg mener bare dine argumenter ikke er gode.

Selv inden for biler har VW fået store problemer med deres svindelsoftware som gjorde at deres Diesel-biler kun overholder miljølovgivningen når de bliver testet.

Men det har ikke noget med kæde-ansvar at gøre. Jeg har ikke argumenteret for at virksomheder ikke skal kunne stilles til ansvar. Blot at det bliver ganske håbløst hvis man som leverandør af komponenter skal stå til ansvar for hvordan en producent integrerer dem i eget produkt. Når man producerer fly så er hele management af supply-chain en kæmpe opgave i sig selv. Underleverandører må ikke lave ændringer uden at de er aftalt med fly-producenten. Hele det show er dyrt. Det tror jeg ikke nogen vil betale for når det blot handler om et modem e.lign. Jeg vil ikke.

Sat på spidsen - vil du gerne miste dit job til uudddannede asiater som ikke kan levere kvalitet - hellere end at skulle stå til ansvar for at levere god kvalitet selv?

Nu blander du jobsikkerhed sammen med produktansvar. Jeg mener at forbrugerne skal vælge den kvalitet der passer dem så længe det ikke går ud over andre. Ikke alt skal fremstilles i top kvalitet. Jeg kan personligt sige at jeg har lært hvornår jeg skal købe kvalitet og hvornår det er ligemeget. Hvis du ser på hvordan en håndværker arbejder så er han også ret klar på hvornår kvalitet er vigtigt og hvornår det bare skal hænge sammen. Hvis han kælede for alle detaljer blev det meget dyrt.

Mht. jobsikkerhed mener jeg at alle må kæmpe for at være relevante på jobmarket. Vi har ikke brug kunstig beskyttelse af arbejdspladser. Det fører kun til at landet ender som flylandsmuseum.

  • 3
  • 0
#12 Mogens Lysemose

Men hvorfra ved du at 1000kr. er den rigtige pris?

En liberalist ville jeg sige at hvis der er fri konkurrence er prisen automatisk rigtig...

Hele det show er dyrt.

Din grundtese igen, fremstillet som faktum, men du glemmer bekvemt at man flybiletter er historisk billige. Så dit fargument holder ikke til en virkelighedstest.

jeg mener bare dine argumenter ikke er gode.

Lige over! Jeg har ekstremt svært ved at forstå din modstand mod at producenter og leverandører skal stå til ansvar for at udsætte 1) folks privatliv for fare 2) infrastruktur for fare for DDoS-angreb (via pwn'ede routere, IoT osv) - som udelukkende skyldes sjusk før og slendrian efter produktion.

Nu blander du jobsikkerhed sammen med produktansvar.

Ja beklager, når jeg møder ubegribelig modstand underbygget med argumenter der ikke hænger sammen plejer jeg at søge efter den bagvedliggende årsag til modstanden - det kan være egoistiske ting som "jeg gider ikke mere ansvar/formalia i mit arbejde" eller ekstremistiske holdninger (Ultraliberalisme: "der skal være anarki og nul regulering for alt").

Ikke alt skal fremstilles i top kvalitet.

Endelig et punkt hvor vi er enige! :) Det er derfor der er performancekrav bremser, lygter osv i biler, men ikke til autoradioer, varmeanlæg.

Jeg taler slet ikke for at alting skal overreguleres - men jeg konstaterer at set fra min stol har vi et alt for svagt reguleret brug-og-smid-væk IT-marked hvor det eneste der er krav til er at produkterne ikke må være fysisk farlige og skal holde sig indenfor de tilladte frekvensbånd.

Jeg mener vi skal passe godt på vores verden, både den menneskeskabte infrastruktur og vores resurseforbrug, som sådan synes jeg dette uregulerede cowboy-land hvor producenter kun har et ansvar i 2 år for at dimserne virker nogenlunde ikke er godt nok.

Men hvis du er idealistisk imod al regulering tror jeg ikke vi nogensinde bliver enige.

  • 1
  • 2
#13 Christian Nobel

Når det design stadigvæk er i brug så er det fordi alle reglerne gør det urimeligt dyrt at lave nyt.

Ahrr det er vist kun en del af historien.

Den primære årsag er nok profit, for hvis Boeing lige kunne presse citronen lidt endnu mere, og lukrere på at 737'eren har været den stabile arbejdshest, så ville det give større gevinst.

Selvfølgelig kan man lave nye fly, bla. gør Airbus og Bombadier det, problemet er nok mere at Boeing er faldet teknologisk bagud, hvilket jo tydeligt sås i de mange problemer de har haft med (nightmare) Dreamlineren, hvor Airbus har mere styr på det med A350XWB.

  • 2
  • 1
 
#15 Michael Cederberg

Men hvis du er idealistisk imod al regulering tror jeg ikke vi nogensinde bliver enige.

Heldigvis har jeg aldrig argumenteret for at fjerne al regulering. Du ønskede samme form for regulering som flybranchen og det er jeg imod. Flybranchen har sine helt egne udfordringer.

Hvis vi havde reguleret IT branchen som fly branchen så ville vi i dag kunne købe PC'er fra IBM og to andre leverandører. CPU'en ville være en 80186 eller en 68010. Internettet ville ikke eksisterer og mobiltelefoner ville ligne Motorolas gamle mursten.

Nu kunne jeg sige at du havde argumenteret for at ovenstående var din præference, men det ville være uvederhæftigt. På samme måde som når du skriver at jeg skulle være imod al regulering ...

  • 1
  • 0
#16 Mogens Lysemose

Du ønskede samme form for regulering som flybranchen og det er jeg imod.

Igen fordrejer du helt mine udsagn.

Jeg skrev i mit første indlæg: "Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter." Og at det skulle gælde ud over 2 år.

Og i det sidste, som du citerede: "Jeg taler slet ikke for at alting skal overreguleres - men jeg konstaterer at set fra min stol har vi et alt for svagt reguleret brug-og-smid-væk IT-marked"

Du afviste kategorisk at det kunne lade sig gøre, ingen leverandører ville underkaste sig reglerne, der kun ville føre dyre og dårlige produkter med sig; derfor gav jeg eksempler med at det virkede med fødevarer, legetøj, fly m.m..

Jeg noterer at dine for mig uforståelige argumenter og at du fejlciterer ikke bunder i din egne job-interesser eller ultraliberalisme.

Men jeg tænker ikke det giver mening at fortsætte med at argumentere når du bevidst misforstår hvad jeg skriver.

  • 1
  • 1
#17 Michael Cederberg

Jeg skrev i mit første indlæg: "Det ville være fantastisk godt hvis der kom noget EU-lovgivning som gav leverandører og producenter et specifikt ansvar for at fikse alvorlige sikkerhedsfejl i deres produkter." Og at det skulle gælde ud over 2 år.

Jeg siger igen: Producenten af et kabelmodem (i dette tilfælde Sagem) køber et chipset af Broadcom. Broadcom har ingen indflydelse på hvordan Sagem bruger dette chipset. De har ingen indflydelse på hvilken kode kabelmodemmet shipper med.

Du siger så: leverandører og producenter skal holdes ansvarlige og jeg siger: Det bliver meget svært at holde dem ansvarlige uden at det bliver meget dyrt fordi det aldrig er helt til at sige hvem der har ansvaret.

Du siger så: Luftfartsbranchen kan finde ud af det. Hertil er svaret at det bliver meget dyrt (prøv at checke hvad komponenter og reservedele til luftfart koster). Når det bliver så dyrt så er det fordi det kræver meget tættere interaktion mellem parterne.

Såfremt Sagem skal tage ansvaret for alt hvad Broadcom har lavet, så kræves der at Sagem har samme kontrol med supplychain som Boeing har. Dvs. underleverandører som Broadcom må ikke lave nogen ændringer på noget som helst uden at det er aftalt med Sagem. Med inspektioner og alt det der hører med. Det er en non-starter.

Såfremt Broadcom skal tage ansvaret for alt hvad Sagem laver, så kræves der at Sagem kun gør præcist hvad Broadcom siger og nix weiter. Med inspektioner og alt det der hører med. Det er ... surprise ... også en non-starter.

Det er så nemt at kræve mere regulering og højere erstatninger, men hvis det ødelægger markedet så er det idiotisk. At regulere alt som luftfartsbranchen vil være idiotisk.

  • 0
  • 0
#18 Christian Nobel

Jeg siger igen: Producenten af et kabelmodem (i dette tilfælde Sagem) køber et chipset af Broadcom. Broadcom har ingen indflydelse på hvordan Sagem bruger dette chipset. De har ingen indflydelse på hvilken kode kabelmodemmet shipper med.

Det er jo så ikke nødvendigvis rigtigt Michael.

For igen at referere til Raspberry Pi, så er hovedoperativsystemet faktisk ikke det OS jeg lægger på den, men noget ulækkert proprietært Broadcomkode, jeg ingen kontrol har over!

Du siger så: leverandører og producenter skal holdes ansvarlige og jeg siger: Det bliver meget svært at holde dem ansvarlige uden at det bliver meget dyrt fordi det aldrig er helt til at sige hvem der har ansvaret.

Ok, så skal vi gå en anden vej, nemlig forbud mod proprietær kode, og fuldstændigt åbne specifikationer således at producenten 100% ved hvad der sker i hans produkt.

Såfremt Sagem skal tage ansvaret for alt hvad Broadcom har lavet, så kræves der at Sagem har samme kontrol med supplychain som Boeing har. Dvs. underleverandører som Broadcom må ikke lave nogen ændringer på noget som helst uden at det er aftalt med Sagem. Med inspektioner og alt det der hører med. Det er en non-starter.

Generelt tror jeg verden ville være et bedre sted uden Broadcom.

Det er så nemt at kræve mere regulering og højere erstatninger, men hvis det ødelægger markedet så er det idiotisk. At regulere alt som luftfartsbranchen vil være idiotisk.

Aha, så hellere wild west.

Problemet er jo bare, at når branchen ikke selv kan finde ud af at holde deres sti ren, så bliver det nødvendigt med regulering, basalt set børneopdragelse i større målstok.

  • 1
  • 2
#19 Michael Cederberg

For igen at referere til Raspberry Pi, så er hovedoperativsystemet faktisk ikke det OS jeg lægger på den, men noget ulækkert proprietært Broadcomkode, jeg ingen kontrol har over!

Som jeg forstår det så modtager Raspberry Pi foundation koden i form af et SDK (under NDA) og kompilerer den med de nødvendige features.

Ok, så skal vi gå en anden vej, nemlig forbud mod proprietær kode, og fuldstændigt åbne specifikationer således at producenten 100% ved hvad der sker i hans produkt.

Hvad så med åben hardware? De to verdener smelter i stigende grad sammen.

Aha, så hellere wild west.

Wild west har skabt en IT sektor der har udviklet sig meget hurtigt. IT har spredt sig ud over det hele og har forbedret produkter kraftigt. Jeg ønsker at dette kan fortsætte. Mogens bragte flybranchen ind i diskussionen - den opfører sig lige modsat IT branchen. Nye ideer tager årtier om at komme i produktion. Fx. ved alle at den nuværende "cigar+vinger+motorer under vingerne" model ikke er fantastisk - NASA har rodet med lifting body designs siden 50'erne. Hvad med blended wings? Måske var det vejen frem? Men der sker ikke det store fordi approvals tager årevis og alle ændringer i supplychain skal forhandles og kontrakter revideres.

Jeg erkender at nogen steder er der brug for regulering - fx. flybranchen. Jeg synes også det giver mening at regulere devices med netforbindelse fordi disse kan påvirke resten af verden, hvor jeg har sværere ved at se at man generelt skulle regulere devices uden netforbindelse. Men en sådan regulering skal ikke være så heftig som flybranchen.

Men hele denne diskussion startede med at vi snakkede problemer med Broadcom vs. Sagem. Såfremt Sagem leverer et standard produkt som ISP'er ikke piller med, så kan man godt lave noget produktansvar for Sagem men det nytter ikke at stille alt for høje krav for så bliver det meget dyrt. Og ingen vil betale 3 gange så meget for et kabelmodem.

Hvis man skal komme efter Broadcom i denne sag så bliver det meget kompliceret - der skal være meget klare aftaler mellem Broadcom og Sagem om hvem der har ansvaret for hvad. Det er ikke noget der er specielt agilt.

Alle der har prøvet at arbejde sammen med en extern partner hvor samarbejdet blev reguleret af en kontrakt vs. en intern partner hvor samarbejdet blev reguleret af et fælles mål (fx. om at levere et produkt) ved hvor forfærdeligt disse kontrakt-regulerede samarbejder er. De er også meget dyre og i mange tilfælde er resultatet dårligere kvalitet.

  • 1
  • 0
#20 Christian Nobel

Som jeg forstår det så modtager Raspberry Pi foundation koden i form af et SDK (under NDA) og kompilerer den med de nødvendige features.

Det er der sådan set ingen der ved, for det er jo dybt, dybt fortroligt, belyst af en Vantablacklygte i vanlig Broadcom stil.

Og da SOC'en jo ikke bruges af andre, så må karrene anses for forbundne.

Som side bemærkning er jeg iøvrigt ved at brække mig over Raspberry Pi foundation og deres vi-gør-det-for-børnene-af-altruistiske-grunde gylle. Der sprøjtes million efter million af RPi's ud, hovedparten på ingen måde brugt af de stakkels børn, men til professionelt formål.

Og hvis ikke de mange penge ryger i fonden, ja så ryger de i Broadcoms bugnende kasse - men bliver de professionelle kunder, som er dem det betaler gildet taget alvorligt af den grund, næh nej, for vi-gør-det-jo-for-børnene.

Bvadr.

Hvad så med åben hardware? De to verdener smelter i stigende grad sammen.

Ja selvfølgelig.

Hvis der er det mindste gran af lukkethed, så skal den der står for denne lukkethed også have det fulde ansvar!

Så må man vælge: Åben og den sidste der piller ved hard/software har ansvaret. Lukket og man har det fulde ansvar.

Jeg gentager gerne, Broadcom er en del af problemet, ikke af løsningen.

  • 1
  • 1
#21 Jens Jönsson

Mig bekendt lykkes det at sælge og købe biler, også selvom de af og til bliver indkaldt til reparation PGA. man har opdaget defekte airbags, slæbeøjer og hvad ved jeg.

Øh ja, men det er jo ikke forhandleren (ISP'en) der har ansvaret. Det er jo producenten, der indkalder bilen til service, når der er en fejl.

Jeg har f.eks. lige fået besked fra Toyota Danmark at jeg skal hen til service, da der kan være en fejl på min airbag, der kan skabe problemer sikkerhedsmæssigt. Den er kommet fra Toyota Danmark (Cisco), ikke forhandleren (ISP'en), som I mit tilfælde er et mindre lokalt bilhus.

  • 1
  • 1
#22 Thomas Toft

Broadcom udstilles som skurk for fejl andre har lavet og så undre man sig over de ikke gider svare? Hold da op en gang vrøvl. Det er helt klart modem producenterne der har lavet lort i den så hvorfor skal broadcom klantres? Amatør pentesters og cli kbait jounalister.

  • 0
  • 1
Log ind eller Opret konto for at kommentere