image

Duitse overheid reageert op kritiek beveiligingsrichtlijn routers

woensdag 21 november 2018, 15:28 door Redactie, 8 reacties

De Duitse overheid heeft gereageerd op de kritiek dat de recent gepubliceerde beveiligingsrichtlijnen voor routers een farce zijn en tekort schieten. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, kwam vorige week met regels voor routerfabrikanten die voor veiligere routers moeten zorgen.

Het gaat dan om zaken als het niet gebruik van dezelfde standaardwachtwoorden en het aanbieden van updates. Volgens hackersvereniging CCC en de ontwikkelaars van de routerfirmware OpenWrt zijn de richtlijnen onvoldoende. De beide organisaties willen dat er alleen routers mogen worden verkocht waarop een specifieke periode staat vermeld hoe lang de fabrikant het apparaat met beveiligingsupdates blijft ondersteunen. Om na de ondersteuningsperiode van de fabrikant toch veilig gebruik te kunnen blijven maken van het apparaat moeten gebruikers de optie hebben om een alternatief besturingssysteem op de router te installeren, zoals OpenWrt.

Het BSI heeft nu op de kritiek gereageerd. De overheidsinstantie stelt dat het vaststellen van een specifieke periode waarin de fabrikant de router van beveiligingsupdates moet voorzien niet automatisch voor meer security zorgt. "Integendeel, de richtlijn stelt dat fabrikanten beveiligingsupdates gedurende een zelf te kiezen periode moeten aanbieden en deze periode duidelijk aan de gebruiker moeten maken voordat hij tot de aanschaf overgaat", aldus het BSI.

Ook gaat de overheidsinstantie in op de kritiek over het installeren van alternatieve routerfirmware. "De mogelijkheid om alternatieve firmware te installeren biedt geen standaard securitywinst." Het BSI stelt dat de router meestal niet in staat is om software te verifiëren die niet van de fabrikant afkomstig is. Dit zou dan ook de installatie van malware mogelijk maken. De overheidsinstantie merkt verder op dat alternatieve software niet wordt uitgesloten. Het kan worden gebruikt, zolang de fabrikant en router de software kunnen verifiëren. "Dus ook hier zorgt de richtlijn voor meer transparantie", zo stelt het BSI.

Ondanks de kritiek roept het BSI de CCC en andere partijen op om bij de werkgroep die de richtlijn opstelde betrokken te blijven, zodat die verder kan worden ontwikkeld.

Reacties (8)
21-11-2018, 15:45 door Anoniem
Het lijkt me niet handig om de fabrikant te vragen al bij verkoop een einddatum ondersteuning op de doos/router te laten plaatsen, want dat zal leiden tot eenzelfde situatie als de "tenminste houdbaar tot" datum om lang houdbare voedingsproducten: de fabrikant neemt het zekere voor het onzekere en hanteert een standaard termijn die aan de voor hem veilige en voor de consument onvoordelige kant is.
We krijgen dan de situatie dat support eerder wordt beeindigd dan nu (de datum is bereikt dus we stoppen ermee, hoewel het technisch nog niet nodig is) en we kunnen nog vaker onze spullen gaan vervangen...
21-11-2018, 16:34 door Anoniem
Misschien een idee om fabrikanten te verplichten om een laatste firmware update te maken die duidelijk aangeeft dat het product EOL is.
Daarbij lijkt het mij wel een goede om fabrikanten te verplichten om openwrt e.d. niet tegen te werken. En fabrikanten zouden eventueel de openwrt builds kunnen signen met een speciale key. Die met een soort tussen update te installeren is of zo.
En wellicht zijn er nog betere manieren te verzinnen. Ik ben tegen de huidige koop iedere 2 jaar maar een nieuwe wegwerp maatschappij.
21-11-2018, 16:39 door Anoniem
Je bedoelt... nu is dat anders? Doosje is 1 jaar oud. Laatste update is geweest. Doosje kan de vuilnisbak in. Nieuw doosje...
21-11-2018, 18:31 door Anoniem
Door Anoniem: Het lijkt me niet handig om de fabrikant te vragen al bij verkoop een einddatum ondersteuning op de doos/router te laten plaatsen, want dat zal leiden tot eenzelfde situatie als de "tenminste houdbaar tot" datum om lang houdbare voedingsproducten: de fabrikant neemt het zekere voor het onzekere en hanteert een standaard termijn die aan de voor hem veilige en voor de consument onvoordelige kant is.
We krijgen dan de situatie dat support eerder wordt beeindigd dan nu (de datum is bereikt dus we stoppen ermee, hoewel het technisch nog niet nodig is) en we kunnen nog vaker onze spullen gaan vervangen...

Maakt echt geen bal uit.

Consument koopt router voor leuke prijs.
Consument installeert router.
Consument kijkt nooit meer om naar router tot het moment dat de router het niet meer doet.
Maar geinfecteerde routers blijven het over het algemeen prima doen, beter zelfs, ze pakken er nog een paar extra taakjes bij!

Wat wel opmerkelijk is dat men zo over de kritiek heen walst met discutabeler argumenten.
Het lijkt bijna wel of men er een belang bij heeft dat er geen software op gaat draaien die patches blijft ontvangen.

Werkt de bundestrojaner toevallig ook op ongepatchte modems?
22-11-2018, 00:10 door Anoniem
Daarom is de "utopia.net DNS hijack" bijvoorbeeld een zo moeilijk te verwijderen modem malware.
UPnP niet uitgezet?

Het zal je router maar wezen, jeh, jeh, jeh, jeh!

Hoe krijgen we het echt nog eens een keer een klein mini stukje veiliger?
Ik vrees inmiddels met grote vreze,

luntrus
22-11-2018, 09:08 door Anoniem
Ondanks alles is het gewoon knap van de Duitse overheid dat zei willen dat hun burgers veiligere routers hebben en hoor ik de Nederlandse overheid nooit dit soort uitspraken doen.

Natuurlijk valt te er te disucseren over of wij wel of niet het eens zijn met de aanpak van de Duitsers maar het gaat om de bedoelingen van de Duitsers en die is gewoon goed.
22-11-2018, 10:48 door Anoniem
Door Anoniem:
Natuurlijk valt te er te disucseren over of wij wel of niet het eens zijn met de aanpak van de Duitsers maar het gaat om de bedoelingen van de Duitsers en die is gewoon goed.
Ja maar dat is een beetje hetzelfde als met de EU.
Die hebben ook voor alles wat je maar kunt bedenken regels en richtlijnen opgesteld zodat je precies weet hoe krom
een klasse A banaan is en zo, maar meestal zit er wel ergens iets wat men over het hoofd gezien heeft waardoor het
uiteindelijk zo uitwerkt dat het ons allemaal alleen maar meer gaat kosten en we er weinig mee opschieten.

Zoals ik 20-11 15:45 al schreef is dit soort regeltjes voor de fabrikant eenvoudig om aan te voldoen op een zodanige
manier dat alles zo te zien klopt, maar het enig effect is dat de klant nu weet dat ie zijn router na 2 jaar moet weggooien
ipv dat ie mag hopen dat de fabrikant hem misschien wel 3 jaar ondersteunt. Want dat gebeurt niet meer als de datum
op de router toch al verlopen is.
En fabrikanten gaan die datum zo krap mogelijk nemen, want zij kunnen ook niet weten wat er allemaal naar boven komt
wat een hoop geld gaat kosten om te fixen.
22-11-2018, 11:35 door Anoniem
Door Anoniem: Ondanks alles is het gewoon knap van de Duitse overheid dat zei willen dat hun burgers veiligere routers hebben en hoor ik de Nederlandse overheid nooit dit soort uitspraken doen.

Natuurlijk valt te er te disucseren over of wij wel of niet het eens zijn met de aanpak van de Duitsers maar het gaat om de bedoelingen van de Duitsers en die is gewoon goed.
Eens !

Azijn zeikers die zelf geen initiatief nemen maar wel klagen over anderen irriteren mij mateloos !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.