Udvikler: Linux er en del af IoT-sikkerhedsproblemet

Omfattende Linux-distributioner skaber sikkerhedsudfordringer i Internet of Things, fremfører udvikler på konference.

Mirai-botnettet var bare toppen isbjerget i forhold til, hvor grelt det står til med sikkerhed og Internet of Things (IoT).

Dette budskab fremførte blandt andet embedded-systems udvikler og konsulent Christopher Bigs på Linux-conferencen linux.conf.au, som The Register har besøgt.

Mirai-botnettet blev oktober sidste år kendt for at stå bag et gigantisk DDoS-angreb, der nedlagde DNS-udbyderen Dyn. Botnettet var blandt andet udgjort af sårbare harddiskoptagere fra en kinesisk producent.

På konferencen fortalte Biggs ifølge The Register, at firewalls langt fra kan give den nødvendige beskyttelse i forhold til IoT, da firewalls er designet til at blokere udefrakommende trafik, og hvis UPnP er slået til, så er der ikke noget, der forhindrer IoT-udstyr i at kalde ud på en vilkårlig port.

»Monstrene er inde i rummet. Hvis IoT-enheder bruger cloud-tjenester, så er der en risiko for, at de bliver kompromitteret ... mange enheder på markedet er møjsommelige (eng. finicky) at installere, og har en brugergrænseflade af lav kvalitet, og tilbyder ingen mulighed for vedligehold,« sagde Biggs ifølge The Register på konferencen.

Læs også: Efter IoT-DDoS: Hvad skal kaffemaskinen og støvsugeren med wifi?

Ingen patch

Problemet i forhold til usikre IoT-enheder er udviklere, som ikke tænker på brugernes opførsel i den virkelige verden, når de designer enhederne.

»For det meste er der ikke nogen brugbar identifikation af mærket (eng. brand) på enheden. Hvis der er en bug, så ved du det formentlig ikke. Hvis du ved det, så er der sikkert ingen patch. Og hvis du klager, så er alle sikkert ligeglade,« fortalte Biggs.

Læs også: Forskere: Vi vil finde en løsning på problemet med sårbare Internet of Things-teknologier

Han fortsatte med at påpege, at Linux-stakken, som udviklere anvender, ofte er for stor.

»Det er nemt at installere end komplet Linux-distribution og ingen bekymrer sig om at reducere trussels-fladen. Faktisk kan der argumenteres for, at der er bedre valg end Linux som OS til IoT's simple applikationer,« sagde Biggs og fortsatte:

»Der er ikke noget incitament til at gøre det bedre. Hvis køberen er ligeglad, så er leverandøren ligeglad.

Læs flere af Biggs' pointer hos The Register.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

...men det er så ikke et Linux problem, det er et problem med udviklere som ikke gør tingene ordentligt.

Det hele handler om at "alle" vil gøre det nemt i stedet for at gøre det rigtigt... og når firmaer så står og hopper for at få det hurtigt og billigt så bliver det ikke til noget godt.

  • 17
  • 0
Peter Christiansen

Ja det er ikke linux' skyld når man in en router under ping kommandoen
i html interfacet kunne skrive følgende: 8.8.8.8|<insert reverse shell her>
og få adgang til herlighederne.

Det er ikke linux' skyld men dårlige udviklere af interfacet, som ikke har
andet med linux at gøre end at det kører på o/s'et.

Ville være det samme som at sige at alle sql injections eller command
injections mod en applikation der kører under windows, er et tegn på
at det er windows som styresystem der har problemet.

  • 10
  • 0
Denny Christensen

...at det at udvikle funktionalitet er målet og så ellers komme ud med produktet, og dem der bruger ekstra tid på at indbygge al mulig form for sikkerhed, inkl. den del der giver slutbrugeren opgaver med at opdatere, skifte password, etc., dør i markedet...

En alm person vil jo bare have noget der virker, accepterer stort set alt bare det er smart, der er ikke noget ondt i det - det må derfor være producentens ansvar og dem der springer over hvor gærdet er lavest og derfor kan sælge produkterne, ender med at sætte standarder.

Lovgivning, regler, bod?

  • 4
  • 0
Steffen Sølling

"Der er ikke noget incitament til at gøre det bedre. Hvis køberen er ligeglad, så er leverandøren ligeglad."

Ja, internetudbyderen må holde brugerne ansvarlige for deres udstyr ved at lukke ned for netforbindelsen (eller skrue op for prisen) hvis brugeren har udstyr der benyttes i dos-angreb.

Så bliver brugeren interesseret i at få løst problemet. Og dermed bliver udviklerne det også.

  • 1
  • 4
Jn Madsen

Ud over Linux snakken ..

Hvis man arbejder lidt med de ting, så ved man, at det er ganske almindeligt også at oprette firewall regler for hvilken trafik der må gå indefra og ud.

At folk så ikke håndterer den del af firewall'en,- det siger mere om dem der roder med de ting.

Det vil også tænde de røde lamper, hvis IoT dimsen prøver at sende trafik der ikke er meningen.

Vi er tilbage til "solidt håndværk".

  • 5
  • 0
Povl H. Pedersen

Linux er ikke problemet. Problemet er, at fabrikanter ikke har et reelt produktansvar.
Hvis der kom nogle retsager hvor firmaer blev sagsøgt, f.eks. for standard password der kan bruges fra Internet, eller andre af den slags ting der medførste at man kom med i et botnet, så ville de nok låse enhederne ned.

Problemet er ligegyldigheden med tingene.

Jeg har IP kamera derhjemme, ONVIF og det hele. Men den vil gerne tale med en cloud server og udbyde video den vej (og åbne for at kinesiske statshackere kan få adgang til mit hjemmenet eller evt kompromitterende bileder). Jeg har et skillset så jeg kan give den fast IP, og blokere den i firewall Men mange har ikke, og selv hvis de havde er cloud access da fantastisk - De ser ikke risikoen.

  • 10
  • 0
Simon Lodal

Ja, internetudbyderen må holde brugerne ansvarlige for deres udstyr ved at lukke ned for netforbindelsen (eller skrue op for prisen) hvis brugeren har udstyr der benyttes i dos-angreb.

Hvad har ISP'en at gøre med det? Skal vi holde rede i alle dimser brugerne anskaffer sig? Der er mange bagsider af den overvågning.

Nej, producenten skal stå til ansvar. Obligatorisk patching af alle sårbarheder der får et CVE nummer, alternativt udelukkelse fra markedet og andre former for straf.

  • 2
  • 0
Steffen Sølling

Det første man skal gøre er at indføre produktansvar, således at de brugere der faktisk har interessen også kan gøre noget med den.


Alle brugere kan gøre noget ved at fravælge de produkter der giver problemer. Det er alene viljen der mangler.

I en markedsøkonomi sikres produkters kvalitet af at efterspørgslen retter sig mod gode produkter. Planøkonomi \ statsstyrede krav virker ikke.

  • 0
  • 3
Jens Bengaard

Alle brugere kan gøre noget ved at fravælge de produkter der giver problemer. Det er alene viljen der mangler.

Gider du sende mig en liste over hvilke produkter, der har sikkerhedsproblemer? Jeg har især problemer med at holde styr på kinesiske producenter. Det vil være en stor hjælp, når jeg skal beslutte hvilket udstyr jeg skal købe.

På forhånd tak.

  • 7
  • 0
Steffen Sølling

Gider du sende mig en liste over hvilke produkter, der har sikkerhedsproblemer? Jeg har især problemer med at holde styr på kinesiske producenter. Det vil være en stor hjælp, når jeg skal beslutte hvilket udstyr jeg skal købe.


Mig bekendt eksisterer der ikke sådan en liste. Den laver ikke sig selv. Det kræver en del arbejde og ingen har haft tilstrækkeligt incitament til at lave den liste fordi de fleste brugere er ligeglade. Fordi interessen er så lav er der vist kun lidt spredt information hist og pist. På https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-m... nævnes fx "a Chinese hi-tech company called XiongMai Technologies". Incitamenterne er for små.

  • 1
  • 0
Uffe Seerup

Det er ikke Linux i sig selv, der er det største problem med IoT. Det er at Linux ikke distribueres og opdateres som komponenter.

Hver leverandør af en eller anden IoT dims bygger sin egen lille Linux distro ved fx at vælge hvilke moduler der skal med i den færdigpakkede Linux når oversættes/bygges.

Selvom en IoT dimseleverandør vælger en at basere sine enheder på fx Debian, så vil det i princippet blive en afledt distribution hvor leverandøren (og dermed ikke Debian projektet) vil have ansvaret for at udstille en opdateringsservice. IoT leverandøren har ansvaret (som ofte ikke bliver løftet) for opdatering af såvel OSet som den applikation der kører ovenpå.

Sammenlign dette med dimser baseret på en generelt, komponentbaseret operativsystem hvor leverandøren af OSet beholder ansvaret for at opdatere operativsystemet. Så behøver IoT leverandøren kun at holde sin egen kode opdateret. Leverandørens egen kode er oftest adskillige "orders of magnitude" mindre end OSet.

Der er behov for at en distro "vinder" markedet for en komponent-opdelt Linux, hvor det ikke kræver genkompilering/bygning at benytte et andet sæt komponenter. Biggs har helt ret i at den nuværende kurs vil føre til skabelsen af enorme botnets som udnytter kendte Linux sårbarheder til at kompromittere IoT enheder som ikke bliver opdateret fordi det kræver at IoT leverandøren bliver ved at "tracke" gamle Linux versioner som de har baseret tidligere produkter på.

  • 1
  • 0
Kjeld Flarup Christensen

Hver leverandør af en eller anden IoT dims bygger sin egen lille Linux distro ved fx at vælge hvilke moduler der skal med i den færdigpakkede Linux når oversættes/bygges.

Og det er gratis i modsætning til IOS eller hvad man måtte vælge.
Men altså, Linux distributioner kan også sources, men det koster jo penge.

I sidste ende er det et spørgsmål om at de her dimser skal være så billige som muligt.

  • 0
  • 0
Morten Sørensen

Det handler vel også lidt om brugeren af de her IoT-enheder?
På Raspberry Pi - og de utallige andre SBCs - er der ofte en standard root user og root password. Det bliver typisk oplyst enten på hjemmesiden, eller i en README.md/.txt, og på Raspberry Pi'en er det nemt at huske: pi / raspberry

Hvis de mange brugere af disse enheder smider dem på nettet med f.eks. en simpel nginx webserver, så er det jo easy-as-pie at logge ind via ssh, og lave ulykker med en root-bruger.

Problemet kunne f.eks. løses ved enten at fjerne root-brugeren, disable login med password (kun bruge authorized_keys), eller begge dele.

  • 0
  • 0
Kjeld Flarup Christensen

Hvis de mange brugere af disse enheder smider dem på nettet med f.eks. en simpel nginx webserver, så er det jo easy-as-pie at logge ind via ssh, og lave ulykker med en root-bruger.


Raspbian har i dag pr. default lukke for ssh, så det skal aktivt åbnes.
Da de fleste amatører konfigurerer den med mus og tatatur, så hjælper det end del.

Det havde dog være bedre om ssh havde været låst i iptables til lokalnettet.

Og så burde password være

pi / ChangeMe

Bare for at give et hint med en vognstang.

Eller også burde der ikke være et password og lukket adgang som udgangspunkt. Problemet er her de mere professionelle brugere der ikke gider sætte et tastatur på.

  • 0
  • 0
Log ind eller Opret konto for at kommentere