Duitse overheid reageert op kritiek beveiligingsrichtlijn routers
De Duitse overheid heeft gereageerd op de kritiek dat de recent gepubliceerde beveiligingsrichtlijnen voor routers een farce zijn en tekort schieten. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, kwam vorige week met regels voor routerfabrikanten die voor veiligere routers moeten zorgen.
Het gaat dan om zaken als het niet gebruik van dezelfde standaardwachtwoorden en het aanbieden van updates. Volgens hackersvereniging CCC en de ontwikkelaars van de routerfirmware OpenWrt zijn de richtlijnen onvoldoende. De beide organisaties willen dat er alleen routers mogen worden verkocht waarop een specifieke periode staat vermeld hoe lang de fabrikant het apparaat met beveiligingsupdates blijft ondersteunen. Om na de ondersteuningsperiode van de fabrikant toch veilig gebruik te kunnen blijven maken van het apparaat moeten gebruikers de optie hebben om een alternatief besturingssysteem op de router te installeren, zoals OpenWrt.
Het BSI heeft nu op de kritiek gereageerd. De overheidsinstantie stelt dat het vaststellen van een specifieke periode waarin de fabrikant de router van beveiligingsupdates moet voorzien niet automatisch voor meer security zorgt. "Integendeel, de richtlijn stelt dat fabrikanten beveiligingsupdates gedurende een zelf te kiezen periode moeten aanbieden en deze periode duidelijk aan de gebruiker moeten maken voordat hij tot de aanschaf overgaat", aldus het BSI.
Ook gaat de overheidsinstantie in op de kritiek over het installeren van alternatieve routerfirmware. "De mogelijkheid om alternatieve firmware te installeren biedt geen standaard securitywinst." Het BSI stelt dat de router meestal niet in staat is om software te verifiëren die niet van de fabrikant afkomstig is. Dit zou dan ook de installatie van malware mogelijk maken. De overheidsinstantie merkt verder op dat alternatieve software niet wordt uitgesloten. Het kan worden gebruikt, zolang de fabrikant en router de software kunnen verifiëren. "Dus ook hier zorgt de richtlijn voor meer transparantie", zo stelt het BSI.
Ondanks de kritiek roept het BSI de CCC en andere partijen op om bij de werkgroep die de richtlijn opstelde betrokken te blijven, zodat die verder kan worden ontwikkeld.
We krijgen dan de situatie dat support eerder wordt beeindigd dan nu (de datum is bereikt dus we stoppen ermee, hoewel het technisch nog niet nodig is) en we kunnen nog vaker onze spullen gaan vervangen...
Daarbij lijkt het mij wel een goede om fabrikanten te verplichten om openwrt e.d. niet tegen te werken. En fabrikanten zouden eventueel de openwrt builds kunnen signen met een speciale key. Die met een soort tussen update te installeren is of zo.
En wellicht zijn er nog betere manieren te verzinnen. Ik ben tegen de huidige koop iedere 2 jaar maar een nieuwe wegwerp maatschappij.
We krijgen dan de situatie dat support eerder wordt beeindigd dan nu (de datum is bereikt dus we stoppen ermee, hoewel het technisch nog niet nodig is) en we kunnen nog vaker onze spullen gaan vervangen...
Maakt echt geen bal uit.
Consument koopt router voor leuke prijs.
Consument installeert router.
Consument kijkt nooit meer om naar router tot het moment dat de router het niet meer doet.
Maar geinfecteerde routers blijven het over het algemeen prima doen, beter zelfs, ze pakken er nog een paar extra taakjes bij!
Wat wel opmerkelijk is dat men zo over de kritiek heen walst met discutabeler argumenten.
Het lijkt bijna wel of men er een belang bij heeft dat er geen software op gaat draaien die patches blijft ontvangen.
Werkt de bundestrojaner toevallig ook op ongepatchte modems?
UPnP niet uitgezet?
Het zal je router maar wezen, jeh, jeh, jeh, jeh!
Hoe krijgen we het echt nog eens een keer een klein mini stukje veiliger?
Ik vrees inmiddels met grote vreze,
luntrus
Natuurlijk valt te er te disucseren over of wij wel of niet het eens zijn met de aanpak van de Duitsers maar het gaat om de bedoelingen van de Duitsers en die is gewoon goed.
Natuurlijk valt te er te disucseren over of wij wel of niet het eens zijn met de aanpak van de Duitsers maar het gaat om de bedoelingen van de Duitsers en die is gewoon goed.
Die hebben ook voor alles wat je maar kunt bedenken regels en richtlijnen opgesteld zodat je precies weet hoe krom
een klasse A banaan is en zo, maar meestal zit er wel ergens iets wat men over het hoofd gezien heeft waardoor het
uiteindelijk zo uitwerkt dat het ons allemaal alleen maar meer gaat kosten en we er weinig mee opschieten.
Zoals ik 20-11 15:45 al schreef is dit soort regeltjes voor de fabrikant eenvoudig om aan te voldoen op een zodanige
manier dat alles zo te zien klopt, maar het enig effect is dat de klant nu weet dat ie zijn router na 2 jaar moet weggooien
ipv dat ie mag hopen dat de fabrikant hem misschien wel 3 jaar ondersteunt. Want dat gebeurt niet meer als de datum
op de router toch al verlopen is.
En fabrikanten gaan die datum zo krap mogelijk nemen, want zij kunnen ook niet weten wat er allemaal naar boven komt
wat een hoop geld gaat kosten om te fixen.
Natuurlijk valt te er te disucseren over of wij wel of niet het eens zijn met de aanpak van de Duitsers maar het gaat om de bedoelingen van de Duitsers en die is gewoon goed.
Azijn zeikers die zelf geen initiatief nemen maar wel klagen over anderen irriteren mij mateloos !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
