Minister: Folks eget ansvar at holde forbrugerelektronik sikkerhedsopdateret

Det allernemmeste er jo at skubbe ansvaret over på andre (manglende opdateringer etc.). Det er jo for meget at forlange at vi selv skal tage et ansvar. Vi kobler sanseløst IOT enheder på nettet for at vi kan overvåge vores hjem, vores have, vores børn og hvad vi ellers har. Men vi overvejer aldrig om vi måske skulle ændre brugernavn eller adgangskode fra det der er sat som default og som er tilgængelig for alle. Det nytter ikke noget at tage ansvaret fra folk, vi bliver nødt til selv at tage ansvar for hvordan vi gebærder os på internettet. Vid hvad du gør, eller hold dig væk.

Så tving alle producenter til at frigive source code til de produkter, som de ikke vil supporter!

Alle vinder producenter har ikke ansvaret og de med evner kan opdatere deres produkter selv.

Vi har snakket om det før:

https://www.version2.dk/blog/produktansvar-software-1074461https://www.version2.dk/blog/hvordan-undgaar-vi-iot-internet-trash-697635

Google selv understøtter til gengæld kun deres i 18 måneder efter de blev søsat (medmindre det har ændret sig på det seneste), og det vil jeg gætte på er det bedste du kan få på Android-fronten.

Google has had a policy in place for a while that Nexus and Pixel devices will “get security patches for at least 3 years from when the device first became available on the Google Store, or at least 18 months from when the Google Store last sold the device, whichever is longer.”https://www.theverge.com/circuitbreaker/2017/4/27/15457044/google-nexus-android-phones-security-updates-list

Problemet på android er jo så at Google kun bestemmer over deres egne devices og ikke samsung, oneplus eller lignende....

Generelt må man nok sige at alle producenterne er blevet bedre, også apple der tidligere var hurtige til at aflive produkter: http://finans.dk/tech/ECE9999296/apple-draebte-gamle-produkter-nu-tjener-man-kassen-paa-dem/?ctxref=ext

Okay så skal man holde sig fra at købe Apple, Samsung, Huawei osv. For de supporterer kun 2 modeller.

Det er jo direkte usandt ift. Apple. Pt. kan du med din iPhone 5S fra 2013 få nyeste styresystem og patches. Efter 5S er der kommet: 6, 6S, 7, 8 og X (vel at mærke er de to sidste i samme "generation").

Google selv understøtter til gengæld kun deres i 18 måneder efter de blev søsat (medmindre det har ændret sig på det seneste), og det vil jeg gætte på er det bedste du kan få på Android-fronten.

Nemlig at de objekter man køber ved lov skal kunne opdateres, at dette gøres så nemt at alle kan finde ud af at gennemføre denne opdatering samt at der er en passende dokumentation for hvordan dette gøres.

Ser lige i ånden at jeg skal skifte password på støvsuger, køleskab, 10 el pærer, vækkeur, krammebamse, 9 termostater, .....

Hr. erhvervsminister Brian Mikkelsen (K), og heldigvis udtaler du dig uden at ane meget om emnet, så alt er som forventet.

Du og de andre it-analfabeter på borgen glemmer vist helt, at hverken staten, kommuner er tilstrækkeligt opdateret og vidende selv den dag i dag[1], samt at det helt alm. uddannelsessystem for befolkningen konstant er mindst ~3-5 år videnmæssigt bagud for den elektroniske udviklingen (og seriøse hackergrupper).

Så hvordan har du tænkt dig, at borgerne i Dannevang skal forstå "datasikkerhed" samt "rettidig opdatering".. de fleste (vel ~90%) forstår end ikke om deres dimser/programmer bliver ramt af nogle af de utallige huller og sårbarheder, eller aner ikke hvor og hvad de skal se efter og derigennem ved om deres dimser er korrekt opdateret.

Som @Jesper udtrykker det ovenfor .."mine ikke-IT-kyndige medpassagerer følte intet incitament overfor at sikre egne data eller på anden måde gå op i internettets sikkerhed".

[1] ..https://karriere.jobfinder.dk/da/artikel/medarbejdere-offentlige-virksomheder-spaender-ben-it-projekter-10786

er tegn på en civilisation i forfald.

, syntes at være budskabet. Hvis du ikke er det, er det din egen skyld, hvis noget går galt.

Det er nok en holdning der kommer mere af nød, end af filosofisk refleksion: Selvfølgeligt er det helt urimeligt at forvente at folk kan finde ud af at opdaterer deres elektronik, skifte bremser på deres bil, eller justerer deres gasfyr. Hvis man hører til den mere velhavende del af befolkningen, kan man betale sig fra det. De andre må tage chancen, eller undvære en række goder.

Det er bare rigtigt svært at være liberal, og samtidigt forvente at ansvaret kan ligge andre steder, end hos slutbrugeren.

Der vil altid være teknik der ikke er moden, men eftertragtet. For 100 år siden, skulle man helst være mekaniker, for at eje en bil. I dag skal man helst være IT kyndig for at kunne eje en router.

Spørgsmålet er om manglende opdateringer af al den elektronik, går hen og bliver et samfundsproblem!? Når millioner af dimser, forbundet til nettet, kan overtages af fremmede magter og bruges imod os, er det måske på tide at også politikere overvejer, om der kan laves regler, der hjælper os lidt mere?

Men det er jo producenterne der vælger at lave om på styresystemet, så det ikke længere kan opdateres. Så det svarer til at HP laver om på windows, så MS ikke længere kan sende opdateringer til det. Så må det jo være producenternes ansvar.

Der er jeg så ikke enig som sådan.

Google laver styresystemet og bagefter laver producenten nogle tilrettelser, men de tilrettelser handler mere om at de putter deres egne apps og egen launcher på.

Uanset hvad så burde google skille de 2 ting ad :

1. Core med systemfiler.

2. Alt det andet UI fnidder som producenterne smider på for at forsøge at differentiere deres produkt så folk ikke bare ser et android produkt som et android produkt.

Det som sker svarer nærmere til at Dell sælger dig en computer med windows 10 og så har de installeret en masse programmer på maskinen.

Det ændrer dog ikke på at det er microsoft som står for at opdatere alle de system kritiske ting.

Google bør derfor tvinges til at lave styresystemet sådan at de altid vil kunne opdatere de bagvedliggende sikkerhedsrelaterede kerneprocesser totalt udenom producenten.

Hvis producenten så har lavet "jule-lege" og implementeret ting som ikke er efter googles guidelines, så må det være producentens problem og ikke google.

Jeg siger ikke at producenten skal tilpligtes at opdatere til nyeste styresystem, men den version der ligger på telefonen bør kunne sikkerhedsopdateres direkte af google.

Men det er jo producenterne der vælger at lave om på styresystemet, så det ikke længere kan opdateres. Så det svarer til at HP laver om på windows, så MS ikke længere kan sende opdateringer til det. Så må det jo være producenternes ansvar.

Jeg har faktisk oplevet, at jeg ikke kunne hente de nyeste gratikkortdrivere til en HP bærbar, fordi jeg SKULLE hente dem fra HPs hjemmeside, hvor de så ikke gad opdatere dem. Det holder ikke, og når producenterne ikke kan finde ud af det selv, så bør der komme lovgivning til.

Hvis EU krævede f.eks. 5 års opdatering, så ville producenterne helt sikkert følge det.

I dette tilfælde ville det være mere relevant at forlange at google, som jo reelt set er dem som laver android styresystemet, tilpligtes at få deres styresystem bragt i en sådan stand, at google, uden fabrikanternes godkendelse kan udsende sikkerhedsrelaterede opdateringer.

Google må så tilpligtes at lave sikkerhedsopdateringer til deres OS, i mindst 5 år fra den dato den version af OS som ligger på telefonen bliver efterfulgt af en ny version.

Man forlanger jo heller ikke at Dell skal sende opdageringer og sikkerhedspatches ud til alle dem som kører windows på deres dell, det lader man microsoft, som laver windows, om at gøre.

Så må google have nok udviklere til at sidde og sørge for at de gamle versioner også bliver sikkerhedspatchet.

Jeg siger ikke at producenten skal tilpligtes at opdatere til nyeste styresystem, men den version der ligger på telefonen bør kunne sikkerhedsopdateres direkte af google.

Okay så skal man holde sig fra at købe Apple, Samsung, Huawei osv. For de supporterer kun 2 modeller. Den sidste nye og den næstsidste. Samtidig sender de en ny model på markedet hvert år, så det betyder at vi skal skifte telefon hvert andet år. Har selv en Huawei P8. Så efter din mening SKAL den bare skrottes for Huawei stoppede med opdateringer 1,5 år efter den kom på markedet. Det hænger jo ikke sammen. Pruducenterne SKAL tvinges til at sende opdateringer ud på markedet i mindst 4 år.

Der er én måde, som de fleste helt åbenbart har overset: Lad være med at købe det billige skrammel!

Uden at have lavet nogen form for undersøgelser vil jeg mene dette er den rimelig normale indstilling blandt mange mennesker i samfundet. Jeg glæder mig til at se, hvordan Brian Mikkelsen regner med at få dem til at tage et ansvar.

Din medpassager er et eksempel på hvad der sker, når man fratager mennesker deres ansvarsfølelse. De bliver nogle lallende nokkefår der slet ikke overvejer effekten af deres handlinger, fordi de er så vant til at "andre" må have ansvaret. Derfor har Brian Mikkelsen fuldstændig ret. Det er på høje tid at danskerne lærer at tænke selv.

Hvor kunne jeg på forhånd have undersøgt hvilken telefon producent der ville holde min telefon opdateret?

Jeg har 2 telefoner, en privat og en til firma.

Den private er en OnePlus2, jeg er ofte blevet hånet for at det er en billig Kina telefon (og det er det) men den bliver opdateret. Sidste Weekend kom der er opdatering der fjerner dens følsomhed over for WPA2 hacket KRACK.

Firma telefonen er en Samsung Galaxy A5. Ikke prangende men en god telefon. Den er ikke blevet opdateret siden April (der er ingen opdateringer fra Samsung)

Begge er Android 6.0.1

Hvis jeg skal holde min hardware opdateret, så er jeg nød til at vente på Samsung. Eller købe en ny firma telefon?

Hvor kunne jeg på forhånd have undersøgt hvilken telefon producent der ville holde min telefon opdateret?

Jeg sad forleden i toget og faldt i snak med nogle medpassagerer. Snakken kom til at handle om IoT devices og sikkerhed på nettet. Af den samtale fremgik det klart at mine ikke-IT-kyndige medpassagerer intet incitament følte overfor at sikre egne data eller på anden måde gå op i internettet sikkerhed. Det var over deres formåen og interesseområde. Uden at have lavet nogen form for undersøgelser vil jeg mene dette er den rimelig normale indstilling blandt mange mennesker i samfundet. Jeg glæder mig til at se, hvordan Brian Mikkelsen regner med at få dem til at tage et ansvar.

Må heller lige rette. Jeg taler om reklamationsret og ikke garanti.

Det har længe været kendt at du i hele EU kan roote din telefon uden at bryde garantien.

Jeg har ikke lige enegien eller lysten til at finde kilder frem men der er flere af dem. En smartphone sidestilles med en pc som du selv må installere styresystem på og ja selv åbne og skifte hardware på uden at miste garantien. Producenten skal bevise at din ændring i softwaren er skyld i den defekte telefon før de kan afvise noget som helst.

Alle de advarsler du læser på f.eks XDA er fordi siden er Amerikansk og samtid det faktum at de i mange tilfælde faktisk lejere telefonen i forbindelse med deres abonnementet.

Det læser jeg som at han synes at købegarantien må være gyldig, når jeg rooter en telefon, fordi leverandøren har glemt, at der kommer sikkerhedsopdateringer på Android? Medmindre jeg selv laver et screwup i processen, naturligvis.

I de tilfælde, hvor et produkt kan hackes på en måde og i et omfang, så det påfører personer skade, er produktet omfattet af produktsikkerhedsloven

Endnu bedre vel det være hvis IOT enheder og andre internet forbundne enheder skulle leve op til nogle skrappere standarder for bland andet kode kvalitet og generel sikkerhed for så ville det være noget svære for hackere at bruge den til DDOS og andre typer af angreb, men hvis det skal virke skal det også op på EU niveau.

De færreste mennesker er i stand til at håndtere de mange risici der er forbundet med moderne IT i hjemmet.

Korrekt. Det gælder også mange, som i øvrigt betragtes som IT-kyndige (og også mange af os, som selv betragter os som IT-kyndige).

Derfor er det kun rimeligt hvis producenten i en årrække er forpligtet til at levere sikkerhedsopdateringer.

Sikkerhedsopdateringer er kun en start.

Fjernsyn behøver ikke være defekte nu om dage, for at lytte med på, hvad der sker i hjemmet. Og andre dimser kan - by design - streame billeder til nettet, uden at det nødvendigvis er umiddelbart gennemskueligt for brugerne, hvornår det sker.

IoT bekvemmelighed vs. sikkerhed bliver problematiseret i en ordrig artikel på Ars Technica med titlen "Security vs. convenience? IoT requires another level of thinking about risk", som desværre ikke rigtig når anden konklusion, end at det er en umulig opgave.

Privatpersoner kan jo stille krav til løbende opdateringer i en årrække og fravælge IoT udstyr hvis der er lav sandsynlighed for dette.

Der er masser af eksempler på at forbrugerne stiller krav og forholder sig kritisk til service og support i et forbrugerprodukts levetid, f.eks.:

Folk har i en menneskealder stillet krav til porcelænsfabrikkerne om at garantere at man kunne supplere stellet i en årrække efter købet.

Folk fravælger bilmærker hvis service og reservedele er for dyre, eller der er for langt fra bopæl til nærmeste autoriserede værksted med et godt ry.

Så folk skal blot lære at også IoT kræver en vis omtanke ved købet og stille de kritiske spørgsmål til sælgerne. Så skal de producenter der ønsker at være i markedet på den lange bane, nok komme med de garantier der får privatpersonerne til at foretrække deres produkter. Det vil jo være salgsfremmende at kunne sælge sit IoT produkt med "garanti for sikkerhedsopdateringer i n år".

Ministeren har udtalt sig om reglerne. Men reglerne holder ikke. De er nemlig lavet i en ikke-internet alder.

Et defekt køleskab vil kunne udgøre en fare for personer, ellers ville det værste der kunne ske være at det gik i stykker eller maden skulle smides ud.

Et defekt fjernsyn på børneværelset, kan lække lyd og billeder af et barn der tager tøjet af, eller måske af mor og far der er ved at lave flere børn. Et webkamera kan også blive brugt til at lægge kritisk offentlig IT-struktur ned i et DDOS-angreb.

De færreste mennesker er i stand til at håndtere de mange risici der er forbundet med moderne IT i hjemmet. Derfor er det kun rimeligt hvis producenten i en årrække er forpligtet til at levere sikkerhedsopdateringer. Eftersom de fleste produkter kan forventes at blive benyttet længere end reklamationsretten, vil det være nødvendigt at det gælder længere end denne eller at producenten gør det muligt for folk selv at producere og installere opdateringer.

.... men hvad hjælper det at det er mit ansvar at holde tingen opdaterede, når producenterne hverken frigiver opdateringer eller data på hvordan jeg selv kan opdatere tingene efter meget kort tid efter salget?

/Henning