Tyske myndigheder foreslår sikkerheds­krav for ­routere

Illustration: laranik/Bigstock
Forslaget har fået sønderrivende kritik fra kendt hackergruppe.

Bredbåndsroutere er bindeled mellem det åbne og højst usikre internet og helt almindelige internetbrugere, som ofte mangler kundskaber om, hvordan de skal beskytte sig mod de mange trusler, som findes på internettet.

Ud over at give brugerne adgang til internettet skal routeren også sørge for, at uvedkommende ikke kan få adgang til enhederne, som befinder sig bag routeren. Hvor godt routeren er i stand til dette varierer.

Ofte kan sådanne routere have en standardopsætning, som ikke er optimal. I andre tilfælde kan routere mangle vigtige sikkerhedsfunktionaliteter og have sårbarheder, som angribere kan udnytte.

Retningslinjer

Dette er noget af baggrunden for et engelsksproget dokument om minimumskrav til sikkerheden i bredbåndsroutere, som denne måned blev udgivet af det føderale byråd for informationssikkerhed i Tyskland, BSI. Dokumentet indeholder tekniske retningslinjer, som BSI mener bør være opfyldt af routere, som benyttes i SOHO-omgivelser (Small Office, Home Office), altså småvirksomheder og private husholdninger.

Selv om dokumentet fremstår som krav, drejer det sig egentlig om retningslinjer, som det vil være frivilligt at følge.

Mærkeordning?

De tekniske retningslinjer er primært beregnet for leverandører af bredbåndsroutere, men også at gøre det mere tydeligt for forbrugerne, hvilken slags grundlæggende sikkerhedsfunktionalitet, den router, de har eller vurderer at købe, faktisk understøtter. Et mål er derfor, at leverandørerne begynder at mærke produkter, som følger anbefalingerne.

Retningslinjene omfatter blandt andet mindstekrav til standardpasswordet for wifi, at sikkerhedsprotokollen WPA2 må bruges som standard, at ruterne ikke har udokumenterede brugerkonti, at adgang til administrationspanelet kun er tilgængelig via lokalnettet, at brugerne advares, hvis firmwaren er uddateret eller ikke længere bliver opdateret, og at kun nogle få tjenester – DNS (TCP og UDP), HTTP, HTTPS, DHCP, DHCPv6 og ICMPv6 – i udgangspunktet er tilgængelige via LAN- og wifi-brugergrænsefladerne.

De tekniske retningslinjer er belevet udarbejdet efter det, som BSI omtaler som intensive og konstruktive diskussioner med producenter, telekomleverandører, organisationer og repræsentanter for myndighedenre og det civile samfund.

Stærkt kritiske

Men retningslinjerne er også blevet mødt med kritik. Det skriver blandt andet The Register.

Hackergruppen Chaos Computer Club (CCC), som har deltaget i diskussionerne, mener, at retningslinjerne er belevet til en ren farce. I et blogindlæg (på tysk) skriver CCC, at BSI har ladet sig diktere af de kommercielle aktører.

»I stedet for at beskytte forbrugere og håndhæve adgang inden for it-sikkerhed, som lovet, sendte leverandører og netværksoperatører advokater og lobbyister til BSI for at diktere centrale punkter i policyen. Resultatet er, at økonomiske interessegrupper har opnået deres mål: at BSI erklærer utilstrækkelige produkter og processer for værende trygge, uden faktiske forbedringer eller målbar tillægsværdi for forbrugerne,« skriver CCC.

Blev ignoreret

Sammen med OpenWrt, en udgiver af en fri Linux-distribution, som kan installeres på mange bredbåndsroutere, foreslog CCC to minimumskrav, som brancheorganisationerne imidlertid har afvist.

Det ene er, at der kun tillades salg af routere, som opgiver en udløbsdato, som fortæller, hvor længe producenten planlægger at udgive firmwareopdatering til enheden. Denne dato skal være synlig for forbrugeren, allerede før enheden købes. Routere kan have behov for sikkerhedsopdateringer i hele livsforløbet. Routere, som ikke længere modtager sådanne opdateringer, bør i udgangspunktet ikke benyttes.

Det andet minimumskrav handler om at forlænge enhedernes levetid, også efter at leverandøren holder op med at opdatere firmwaren. Derfor skal forbrugerne garanteres, at de kan bruge alternativ firmware på routeren, for eksempel OpenWrt.

»Ved at forpligte producenterne på de to kerneprincipper vil hver bruger have mulighed for at estimere, hvor længe den respektive router kan bruges på en fornuftig og forholdsvis sikker måde,« skriver CCC.

Hauke Mehrtens, en repræsentant for OpenWrt-projektet, siger i pressemeddelelsen fra CCC, at man må stille spørsmål til, hvor seriøst de tyske myndigheders ønske om it-sikkerhed faktisk er, når retningslinjerne ikke omfatter brugernes frihed til at installere deres egne sikre firmware på ruterne, for eksempel OpenWrt.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize