Udvikler: Linux er en del af IoT-sikkerhedsproblemet

Hvis de mange brugere af disse enheder smider dem på nettet med f.eks. en simpel nginx webserver, så er det jo easy-as-pie at logge ind via ssh, og lave ulykker med en root-bruger.

Det havde dog være bedre om ssh havde været låst i iptables til lokalnettet.

Og så burde password være

pi / ChangeMe

Bare for at give et hint med en vognstang.

Eller også burde der ikke være et password og lukket adgang som udgangspunkt. Problemet er her de mere professionelle brugere der ikke gider sætte et tastatur på.

Det handler vel også lidt om brugeren af de her IoT-enheder? På Raspberry Pi - og de utallige andre SBCs - er der ofte en standard root user og root password. Det bliver typisk oplyst enten på hjemmesiden, eller i en README.md/.txt, og på Raspberry Pi'en er det nemt at huske: pi / raspberry

Hvis de mange brugere af disse enheder smider dem på nettet med f.eks. en simpel nginx webserver, så er det jo easy-as-pie at logge ind via ssh, og lave ulykker med en root-bruger.

Problemet kunne f.eks. løses ved enten at fjerne root-brugeren, disable login med password (kun bruge authorized_keys), eller begge dele.

Hver leverandør af en eller anden IoT dims bygger sin egen lille Linux distro ved fx at vælge hvilke moduler der skal med i den færdigpakkede Linux når oversættes/bygges.

Og det er gratis i modsætning til IOS eller hvad man måtte vælge. Men altså, Linux distributioner kan også sources, men det koster jo penge.

I sidste ende er det et spørgsmål om at de her dimser skal være så billige som muligt.

Det er ikke Linux i sig selv, der er det største problem med IoT. Det er at Linux ikke distribueres og opdateres som komponenter.

Hver leverandør af en eller anden IoT dims bygger sin egen lille Linux distro ved fx at vælge hvilke moduler der skal med i den færdigpakkede Linux når oversættes/bygges.

Selvom en IoT dimseleverandør vælger en at basere sine enheder på fx Debian, så vil det i princippet blive en afledt distribution hvor leverandøren (og dermed ikke Debian projektet) vil have ansvaret for at udstille en opdateringsservice. IoT leverandøren har ansvaret (som ofte ikke bliver løftet) for opdatering af såvel OSet som den applikation der kører ovenpå.

Sammenlign dette med dimser baseret på en generelt, komponentbaseret operativsystem hvor leverandøren af OSet beholder ansvaret for at opdatere operativsystemet. Så behøver IoT leverandøren kun at holde sin egen kode opdateret. Leverandørens egen kode er oftest adskillige "orders of magnitude" mindre end OSet.

Der er behov for at en distro "vinder" markedet for en komponent-opdelt Linux, hvor det ikke kræver genkompilering/bygning at benytte et andet sæt komponenter. Biggs har helt ret i at den nuværende kurs vil føre til skabelsen af enorme botnets som udnytter kendte Linux sårbarheder til at kompromittere IoT enheder som ikke bliver opdateret fordi det kræver at IoT leverandøren bliver ved at "tracke" gamle Linux versioner som de har baseret tidligere produkter på.

</p>
<p>Gider du sende mig en liste over hvilke produkter, der har sikkerhedsproblemer? Jeg har især problemer med at holde styr på kinesiske producenter. Det vil være en stor hjælp, når jeg skal beslutte hvilket udstyr jeg skal købe.

Alle brugere kan gøre noget ved at fravælge de produkter der giver problemer. Det er alene viljen der mangler.

Gider du sende mig en liste over hvilke produkter, der har sikkerhedsproblemer? Jeg har især problemer med at holde styr på kinesiske producenter. Det vil være en stor hjælp, når jeg skal beslutte hvilket udstyr jeg skal købe.

På forhånd tak.

Det første man skal gøre er at indføre produktansvar, således at de brugere der faktisk har interessen også kan gøre noget med den.

I en markedsøkonomi sikres produkters kvalitet af at efterspørgslen retter sig mod gode produkter. Planøkonomi \ statsstyrede krav virker ikke.

Ja, internetudbyderen må holde brugerne ansvarlige for deres udstyr ved at lukke ned for netforbindelsen (eller skrue op for prisen) hvis brugeren har udstyr der benyttes i dos-angreb.

Nej, producenten skal stå til ansvar. Obligatorisk patching af alle sårbarheder der får et CVE nummer, alternativt udelukkelse fra markedet og andre former for straf.

Linux er ikke problemet. Problemet er, at fabrikanter ikke har et reelt produktansvar. Hvis der kom nogle retsager hvor firmaer blev sagsøgt, f.eks. for standard password der kan bruges fra Internet, eller andre af den slags ting der medførste at man kom med i et botnet, så ville de nok låse enhederne ned.

Problemet er ligegyldigheden med tingene.

Jeg har IP kamera derhjemme, ONVIF og det hele. Men den vil gerne tale med en cloud server og udbyde video den vej (og åbne for at kinesiske statshackere kan få adgang til mit hjemmenet eller evt kompromitterende bileder). Jeg har et skillset så jeg kan give den fast IP, og blokere den i firewall Men mange har ikke, og selv hvis de havde er cloud access da fantastisk - De ser ikke risikoen.

Ud over Linux snakken ..

Hvis man arbejder lidt med de ting, så ved man, at det er ganske almindeligt også at oprette firewall regler for hvilken trafik der må gå indefra og ud.

At folk så ikke håndterer den del af firewall'en,- det siger mere om dem der roder med de ting.

Det vil også tænde de røde lamper, hvis IoT dimsen prøver at sende trafik der ikke er meningen.

Vi er tilbage til "solidt håndværk".

Så bliver brugeren interesseret i at få løst problemet. Og dermed bliver udviklerne det også.

Det første man skal gøre er at indføre produktansvar, således at de brugere der faktisk har interessen også kan gøre noget med den.

"Der er ikke noget incitament til at gøre det bedre. Hvis køberen er ligeglad, så er leverandøren ligeglad."

Ja, internetudbyderen må holde brugerne ansvarlige for deres udstyr ved at lukke ned for netforbindelsen (eller skrue op for prisen) hvis brugeren har udstyr der benyttes i dos-angreb.

Så bliver brugeren interesseret i at få løst problemet. Og dermed bliver udviklerne det også.

...at det at udvikle funktionalitet er målet og så ellers komme ud med produktet, og dem der bruger ekstra tid på at indbygge al mulig form for sikkerhed, inkl. den del der giver slutbrugeren opgaver med at opdatere, skifte password, etc., dør i markedet...

En alm person vil jo bare have noget der virker, accepterer stort set alt bare det er smart, der er ikke noget ondt i det - det må derfor være producentens ansvar og dem der springer over hvor gærdet er lavest og derfor kan sælge produkterne, ender med at sætte standarder.

Lovgivning, regler, bod?

Ja det er ikke linux' skyld når man in en router under ping kommandoen i html interfacet kunne skrive følgende: 8.8.8.8| og få adgang til herlighederne.

Det er ikke linux' skyld men dårlige udviklere af interfacet, som ikke har andet med linux at gøre end at det kører på o/s'et.

Ville være det samme som at sige at alle sql injections eller command injections mod en applikation der kører under windows, er et tegn på at det er windows som styresystem der har problemet.

Sikke noget vrøvl og tidsspild. Det har jo intet med Linux at gøre, men derimod alt med elendige udviklere at gøre. Clickbait version 2.

...men det er så ikke et Linux problem, det er et problem med udviklere som ikke gør tingene ordentligt.

Det hele handler om at "alle" vil gøre det nemt i stedet for at gøre det rigtigt... og når firmaer så står og hopper for at få det hurtigt og billigt så bliver det ikke til noget godt.