Medische apparatuur Siemens kwetsbaar door Windows RDP-lek
Verschillende medische producten en apparaten van Siemens die in ziekenhuizen worden gebruikt zijn kwetsbaar door een ernstig beveiligingslek in de Remote Desktop Service van Windows. Begin deze maand kwam Microsoft met een oplossing voor de kwetsbaarheid.
Via het lek kan een aanvaller kwetsbare systemen overnemen door alleen via het remote desktopprotocol (RDP) verbinding te maken. Er is geen interactie van slachtoffers vereist en de aanvaller hoeft niet over inloggegevens te beschikken. Siemens laat in meerdere beveiligingsbulletins weten dat sommige van de Healthineers-producten door het beveiligingslek ook risico lopen. Deze producten zijn op Windows gebaseerd of kunnen op Windows worden geïnstalleerd.
Het gaat onder andere om geavanceerde therapieproducten, oncologieproducten, diagnostische producten en röntgenproducten. Deze oplossingen worden onder andere gebruikt voor de behandeling van ziekenhuispatiënten. Misbruik is afhankelijk van de configuratie en omgeving van elk product, aldus Siemens. Organisaties krijgen het advies om tcp-poort 3389 op een externe firewall te blokkeren en de achterliggende Windowsomgeving te beveiligen. Verder wordt aangeraden om met Siemens contact op te nemen. Voor sommige producten komt het bedrijf in juni van dit jaar met een patch.
Reacties (42)
Nou leuk hoor, blijk je een endoscopie camera gehackt te hebben en kun je live mee kijken ????
Voordat de OS war weer losbarst. Dit is dus geen Microsoft probleem. De meeste van dit soort systemen draait zelfs nog op Windows XP, dit is een probleem van Siemens en de onderliggende applicatie software. Nu is Microsoft zelfs nog zo netjes geweest om zelfs voor XP nog een patch te maken voor dit probleem.
Maar ja, als niemand die gaat installeren....
Maar ja, als niemand die gaat installeren....
Waarom moet RDP op dit soort systemen aanstaan? Wat is de technische of functionele noodzaak hiervoor?
[q]Organisaties krijgen het advies om tcp-poort 3389 op een externe firewall te blokkeren[/q]
Ik weet niet of ik nu moet huilen of lachen van dit advies..... Als je dit werkelijk moet gaan implementeren, dan zit je echt in een 3de wereld land voor je medische zorg.
[q]Organisaties krijgen het advies om tcp-poort 3389 op een externe firewall te blokkeren[/q]
Ik weet niet of ik nu moet huilen of lachen van dit advies..... Als je dit werkelijk moet gaan implementeren, dan zit je echt in een 3de wereld land voor je medische zorg.
Ik heb een aantal maanden in een ziekenhuis gewerkt waar ik werd ingehuurd ter ondersteuning van het eigen personeel. Ze hebben daar een bizar grote hoeveelheid aan verschillende systemen en applicaties (600+), waarvan veel enigszins tot sterk verouderd is.
Maar zo kwam er ook een arts naar de IT afdeling, want hij had geen rechten op USB apparaten maar moest wel een filmpje op het netwerk plaatsen. Zo'n robotarm waar ze een baarmoeder losknipte van ik dacht de blaas, een of andere aandoening. Veel Windows systemen zijn goed dicht te timmeren (geen USB, geen admin, etc), maar de medische apparaten die buiten IT vallen .. hij gebruikte prive USB sticks om video's eraf te kopieren.
Direct een encrypted USB stick meegegeven en hem gevraagd niet meer prive dingen erin te steken, je moet niet denken dat een niet netwerk-connected medisch apparaat opeens toch besmet is omdat meneer thuis geinfecteerd is.. Ik bedoel alleen maar te zeggen dat er genoeg zaken zijn, ook in de medische wereld, die echt nog sterk verbeterd moeten worden.
Maar zo kwam er ook een arts naar de IT afdeling, want hij had geen rechten op USB apparaten maar moest wel een filmpje op het netwerk plaatsen. Zo'n robotarm waar ze een baarmoeder losknipte van ik dacht de blaas, een of andere aandoening. Veel Windows systemen zijn goed dicht te timmeren (geen USB, geen admin, etc), maar de medische apparaten die buiten IT vallen .. hij gebruikte prive USB sticks om video's eraf te kopieren.
Direct een encrypted USB stick meegegeven en hem gevraagd niet meer prive dingen erin te steken, je moet niet denken dat een niet netwerk-connected medisch apparaat opeens toch besmet is omdat meneer thuis geinfecteerd is.. Ik bedoel alleen maar te zeggen dat er genoeg zaken zijn, ook in de medische wereld, die echt nog sterk verbeterd moeten worden.
Door Anoniem: Nou leuk hoor, blijk je een endoscopie camera gehackt te hebben en kun je live mee kijken ????
Daar is geen reet aan... :)"Organisaties krijgen het advies om tcp-poort 3389 op een externe firewall te blokkeren". Tevens zou men alle organisaties die dergelijke poorten nog open hebben staan eens stevig op de vingers moeten tikken zeg... We leven tenslotte in 2019, RDP is al veel langer doel van geautomatiseerde scans en hacking attempts.
Wanneer snapt men nu eens, dat IT Security niet zomaar een paar regels in een firewall zetten is. Als je je security willens en wetens niet voor elkaar hebt moet men op de vingers getikt worden vanwege nalatigheid!
Verder is het natuurlijk wel opmerkelijk dat dit soort zaken voor kunnen vallen terwijl we allemaal ISO27001 compliant zijn... Misschien zou men eerst eens na moeten gaan denken wat er allemaal voor verantwoordelijkheden komen kijken bij dergelijke omgevingen...
Wanneer snapt men nu eens, dat IT Security niet zomaar een paar regels in een firewall zetten is. Als je je security willens en wetens niet voor elkaar hebt moet men op de vingers getikt worden vanwege nalatigheid!
Verder is het natuurlijk wel opmerkelijk dat dit soort zaken voor kunnen vallen terwijl we allemaal ISO27001 compliant zijn... Misschien zou men eerst eens na moeten gaan denken wat er allemaal voor verantwoordelijkheden komen kijken bij dergelijke omgevingen...
Door Anoniem: Voordat de OS war weer losbarst. Dit is dus geen Microsoft probleem. De meeste van dit soort systemen draait zelfs nog op Windows XP, dit is een probleem van Siemens en de onderliggende applicatie software. Nu is Microsoft zelfs nog zo netjes geweest om zelfs voor XP nog een patch te maken voor dit probleem.
Maar ja, als niemand die gaat installeren....
Maar ja, als niemand die gaat installeren....
Hoezo is het geen microsoft probleem?
Windows is toch microsoft?
Siemens loopt altijd achter op alles. Hun OPC voor PLC communicatie voor PC's is alleen nu in 2019 ook beschikbaar voor x86, alleen x86 !!! Ja dat heb je goed gehoord, er is geen x64 library beschikbaar.. Dus dat betekend dat je alles x86 moet compileren anders werkt de rotzooi niet.
Door Anoniem:
Hoezo is het geen microsoft probleem?
Windows is toch microsoft?
Door Anoniem: Voordat de OS war weer losbarst. Dit is dus geen Microsoft probleem. De meeste van dit soort systemen draait zelfs nog op Windows XP, dit is een probleem van Siemens en de onderliggende applicatie software. Nu is Microsoft zelfs nog zo netjes geweest om zelfs voor XP nog een patch te maken voor dit probleem.
Maar ja, als niemand die gaat installeren....
Maar ja, als niemand die gaat installeren....
Hoezo is het geen microsoft probleem?
Windows is toch microsoft?
Ja inderdaad Windows is van Microsoft, en Microsoft heeft hier netjes (net als Linux distributies doen) een patch voor uitgebracht. Deze is dus niet geïnstalleerd. <--- DAT is het probleem.
28-05-2019, 14:26 door
_R0N_
Door Anoniem:
Hoezo is het geen microsoft probleem?
Windows is toch microsoft?
Door Anoniem: Voordat de OS war weer losbarst. Dit is dus geen Microsoft probleem. De meeste van dit soort systemen draait zelfs nog op Windows XP, dit is een probleem van Siemens en de onderliggende applicatie software. Nu is Microsoft zelfs nog zo netjes geweest om zelfs voor XP nog een patch te maken voor dit probleem.
Maar ja, als niemand die gaat installeren....
Maar ja, als niemand die gaat installeren....
Hoezo is het geen microsoft probleem?
Windows is toch microsoft?
2 redenen:
- Die spullen zouden al lang niet meer op XP moeten draaien
- Zelfs voor XP is er een patch en die is niet geinstaleerd
Microsoft heeft tegen dit lek zelfs voor XP en voor Windows 2003 een patch geleverd, dus MS heeft zijn best gedaan.
Door Anoniem: Nou leuk hoor, blijk je een endoscopie camera gehackt te hebben en kun je live mee kijken ????
Kun je lollig om doen maar je zult net aan de beademing hangen terwijl het beademingsapparaat wordt stilgelegd door ransomware.
Door _R0N_: 2 redenen:
- Die spullen zouden al lang niet meer op XP moeten draaien
in een afgeschermd omgeving kan dit nog best. ideaal is dit zeker niet.- Die spullen zouden al lang niet meer op XP moeten draaien
- Zelfs voor XP is er een patch en die is niet geinstaleerd
Op medische apparaten installeer je niet zomaar even iets. Leverancier moet dit ondersteunen.Microsoft heeft tegen dit lek zelfs voor XP en voor Windows 2003 een patch geleverd, dus MS heeft zijn best gedaan.
Klopt. Nu kunnen andere bedrijven de patch inderdaad gaan valideren en daarna approven.Ik snap sowieso niet waarom je dat soort apparatuur van windows voorziet, net als die geldautomaten, volgens mij kan je beter een bsd/linux nemen al dan niet in een rt variant.
Door Anoniem:
Door _R0N_: 2 redenen:
- Die spullen zouden al lang niet meer op XP moeten draaien
in een afgeschermd omgeving kan dit nog best. ideaal is dit zeker niet.- Die spullen zouden al lang niet meer op XP moeten draaien
- Zelfs voor XP is er een patch en die is niet geinstaleerd
Op medische apparaten installeer je niet zomaar even iets. Leverancier moet dit ondersteunen.De leverancier zou beter moeten weten dan een closed source besturingssysteem voor consumentengebruik en kantoortoepassingen toe te passen in medische apparatuur.
Door Anoniem:
Microsoft heeft tegen dit lek zelfs voor XP en voor Windows 2003 een patch geleverd, dus MS heeft zijn best gedaan.
Klopt. Nu kunnen andere bedrijven de patch inderdaad gaan valideren en daarna approven.Geweldig. Je moet ze gaan bedanken hiervoor want met closed source ben je volledig afhankelijk van de fabrikant. Vendor lock-in heet dat en dat voor medische apparatuur...
Door Anoniem: Nou leuk hoor, blijk je een endoscopie camera gehackt te hebben en kun je live mee kijken ????
Als hersen-chirurg kan hij je mededelen dat je dan alleen 'grijze massa' te zien krijgt.Door Anoniem: Waarom moet RDP op dit soort systemen aanstaan? Wat is de technische of functionele noodzaak hiervoor?
[q]Organisaties krijgen het advies om tcp-poort 3389 op een externe firewall te blokkeren[/q]
Ik weet niet of ik nu moet huilen of lachen van dit advies..... Als je dit werkelijk moet gaan implementeren, dan zit je echt in een 3de wereld land voor je medische zorg.
[q]Organisaties krijgen het advies om tcp-poort 3389 op een externe firewall te blokkeren[/q]
Ik weet niet of ik nu moet huilen of lachen van dit advies..... Als je dit werkelijk moet gaan implementeren, dan zit je echt in een 3de wereld land voor je medische zorg.
Om, indien je op het interne netwerk zit, er iemand is die support kan verlenen op dat systeem.
En de tijd dat de bad-guys alleen van buiten je organisatie komen is al lang geweest.
28-05-2019, 16:31 door
karma4
Door Kapitein Haddock: ...
Geweldig. Je moet ze gaan bedanken hiervoor want met closed source ben je volledig afhankelijk van de fabrikant. Vendor lock-in heet dat en dat voor medische apparatuur...
De vendor lockin is hier Siemens. Geweldig. Je moet ze gaan bedanken hiervoor want met closed source ben je volledig afhankelijk van de fabrikant. Vendor lock-in heet dat en dat voor medische apparatuur...
Dat je slecht beheer blijft zien als een os of merk oorzaak toont dat je causatie hebt de coorelatie is duidelijk maar je wilt perse os flaming voeren. Zonde van het algemene doel van informatieveiligheid.
Blijf je zeuren dat het net gratis en voor niets en iedereen kan de code zien als bij een mirakel wonder het beheer wel goed komt dan snap je niets van verdienmodellen.
Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:
Forbes: Microsoft Admits Windows 10 Security Feature Broken By Update.
https://www.forbes.com/sites/daveywinder/2019/05/28/microsoft-admits-windows-10-security-feature-broken-by-update/
Forbes: Microsoft Admits Windows 10 Security Feature Broken By Update.
https://www.forbes.com/sites/daveywinder/2019/05/28/microsoft-admits-windows-10-security-feature-broken-by-update/
28-05-2019, 21:03 door
karma4
Door Kapitein Haddock: Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:
.....
Je geeft het prima voorbeeld van afschuiven van de verantwoordelijkheid. Die ligt hier overduidelijk bij Siemens......
Met oss en iedereen kan d code zien gaat dat nog makkelijker.
Door karma4:
Met oss en iedereen kan d code zien gaat dat nog makkelijker.
Door Kapitein Haddock: Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:
.....
Je geeft het prima voorbeeld van afschuiven van de verantwoordelijkheid. Die ligt hier overduidelijk bij Siemens......
Met oss en iedereen kan d code zien gaat dat nog makkelijker.
Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Door Anoniem: dit is een probleem van Siemens en de onderliggende applicatie software.
Maar ja, als niemand die gaat installeren....
Dat komt omdat dat soort systemen aan strenge eisen moeten voldoen en een keuring hebben. Elke aanpassing, dus ook patching, maakt die keuring ongeldig (en kan bijwerkingen hebben).Maar ja, als niemand die gaat installeren....
Dilemma
Ga je patchen, mag het apparaat niet meer gebruikt worden tot na herkeuring (en dat kost tijd en geld) of je apparaat is kwetsbaar. Oplossing is dat de leverancier zorgt dat de patch snel getest wordt en die goedgekeurde combinatie naar alle apparaten distribueert (zoals aangegeven). Natuurlijk gaan daar weken overheen (snel), of maanden. En je moet natuurlijk een actief support contract hebben (dat wordt ook wel eens niet verlengd).
28-05-2019, 23:16 door
A.J.
Door Kapitein Haddock:
Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Kun jij geen oplossing bieden voor Siemens? Maak jij jezelf wellicht eens nuttig.Door karma4:
Met oss en iedereen kan d code zien gaat dat nog makkelijker.
Door Kapitein Haddock: Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:
.....
Je geeft het prima voorbeeld van afschuiven van de verantwoordelijkheid. Die ligt hier overduidelijk bij Siemens......
Met oss en iedereen kan d code zien gaat dat nog makkelijker.
Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Door Allard:
Door Kapitein Haddock: <knip>
Kun jij geen oplossing bieden voor Siemens? Maak jij jezelf wellicht eens nuttig.Ellende uit het verleden is natuurlijk alleen tegen hoge kosten op te lossen. De gouden tip voor de toekomst heb ik al (gratis) verstrekt. Gebruik bij voorkeur en zoveel mogelijk open source software, om redenen van (het voorkomen van) vendor lock-in en inzichtelijkheid van de software.
29-05-2019, 07:24 door
spatieman
Door Kapitein Haddock: Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:
Forbes: Microsoft Admits Windows 10 Security Feature Broken By Update.
https://www.forbes.com/sites/daveywinder/2019/05/28/microsoft-admits-windows-10-security-feature-broken-by-update/
Forbes: Microsoft Admits Windows 10 Security Feature Broken By Update.
https://www.forbes.com/sites/daveywinder/2019/05/28/microsoft-admits-windows-10-security-feature-broken-by-update/
ik durf er niet aan te denken dat een chirurg aan het werk is aan iemand en de machine met windows 10 opeens opnieuw opstart omdat updates niet langer uitgesteld kunnen worden.
dat is in mijn mening de zwakste schakel in W10 dat je zelf NIET kan beslissen wanneer er voor updates zoeken, of installeren kan kiezen.
nu praat ik over de arts, maar als je een coder bent, en tijdens het compilen opeens je machine onder je reet uit getrokken word dan ga je ook hard vloeken.
Door Kapitein Haddock: ....
Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Siemens is zeker niet door Microsoft verteld dat beheer en onderhoud gratis is. Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Die promotie komt geheel voor rekening vanuit de oss evangelisten. Dan moet je niet gek staan te kijken dat beslissers dat gaan geloven, zeker niet als de eerste maanden niets omvalt. Het is het korte termijn denken met fiancieel gewin en de belofte dat van alles gratis en voor niets is.
Historisch gezien is het nog wel aardig dat het os/2 debacle van ibm alle ruimte voor Windows gaf. Os/2 een zwaar gesloten iets met volledige vendor lockin als basis voor oss.
Zoiets alaat nergens op. Je ziet dan pas hoe je opgelicht wordt via evangelisme. Nu moet je wel de politiek van grote commerciëlen iets verder doorzien.
Door karma4:
Door Kapitein Haddock: ....
Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Siemens is zeker niet door Microsoft verteld dat beheer en onderhoud gratis is.Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Nee, dat het (veel) geld zou gaan kosten zal vanaf het begin wel duidelijk zijn geweest. Wat je als klant echter niet meteen verwacht en wat er natuurlijk niet bij werd verteld is dat je tot in de lengte van dagen vastzit in een vendor lock-in, waar je door de closed source niet uit kan en waarbij je geen inzicht hebt in wat de leverancier van je software onder de motorkap allemaal uitvoert en toevoegt/weghaalt. Wat gebeurt er nu écht met jouw gevoelige gegevens? Hoeveel risico op datalekken en hacks loop je eigenlijk? Met closed source kan je alleen maar vertrouwen op de blauwe ogen van de leverancier, want je weet niet wat er in je software zit. We zien in de dagelijkse berichtgeving waar dit toe kan leiden.
Door karma4: Die promotie komt geheel voor rekening vanuit de oss evangelisten.
Windows (XP) is toch closed source? Hoe kom je dan bij OSS-evangelisten terecht? Die zullen er destijds niks mee te maken hebben gehad want Siemens heeft hiervoor immers Windows gebruikt. Bovendien zal hoe dan ook niemand verkondigen dat maatwerk software of onderhoud en ondersteuning gratis is bij open source software. Natuurlijk niet. Als klant heb je echter wel een aantal voordelen t.o.v. closed source. Zie hierboven.
Door Kapitein Haddock: <geknipt>
Windows (XP) is toch closed source? Hoe kom je dan bij OSS-evangelisten terecht? Die zullen er destijds niks mee te maken hebben gehad want Siemens heeft hiervoor immers Windows gebruikt. Bovendien zal hoe dan ook niemand verkondigen dat maatwerk software of onderhoud en ondersteuning gratis is bij open source software. Natuurlijk niet. Als klant heb je echter wel een aantal voordelen t.o.v. closed source. Zie hierboven.
Door karma4: Die promotie komt geheel voor rekening vanuit de oss evangelisten.
Windows (XP) is toch closed source? Hoe kom je dan bij OSS-evangelisten terecht? Die zullen er destijds niks mee te maken hebben gehad want Siemens heeft hiervoor immers Windows gebruikt. Bovendien zal hoe dan ook niemand verkondigen dat maatwerk software of onderhoud en ondersteuning gratis is bij open source software. Natuurlijk niet. Als klant heb je echter wel een aantal voordelen t.o.v. closed source. Zie hierboven.
Exact! En wat vaak vergeten wordt is dat je bij open source ook inzicht krijgt in wijzigingen die er worden gedaan tijdens de fase van onderhoud en support. De gehele source zit normaliter namelijk in een versiebeheersysteem, waarmee de volledige historie van alle wijzigingen is vastgelegd en is terug te halen. De verantwoordingsplicht van de AVG is het begin van een nieuwe trend waarin men dit soort dingen moet kunnen aantonen.
Door Kapitein Haddock:
Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Door karma4:
Met oss en iedereen kan d code zien gaat dat nog makkelijker.
Door Kapitein Haddock: Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:
.....
Je geeft het prima voorbeeld van afschuiven van de verantwoordelijkheid. Die ligt hier overduidelijk bij Siemens......
Met oss en iedereen kan d code zien gaat dat nog makkelijker.
Siemens is destijds natuurlijk verleid met mooie verhalen van Microsoft. Het is nu wel duidelijk geworden in welke ellende zij zich daarmee hebben gestort. Gevangen in een vendor lock-in, met closed source, dus geen enkele uitweg mogelijk. Ik heb eerder medelijden met hen dan dat ik ze verantwoordelijk acht. Ze zitten nu echt compleet klem en alleen een complete rewrite naar open source zou hen nog kunnen redden. Maar ja, te laat vrees ik.
Die open source IOT spullen zijn ook zo enorm veilig omdat het linux draait.
Door Anoniem:
Die open source IOT spullen zijn ook zo enorm veilig omdat het linux draait.
Door Kapitein Haddock:<knip>
Die open source IOT spullen zijn ook zo enorm veilig omdat het linux draait.
Dat is natuurlijk een sofisme want als je als fabrikant bewust ervoor kiest om niet aan support en onderhoud te doen en - sterker nog - niet eens de moeite neemt om je systeem fatsoenlijk in te richten en te configureren, ja, dan gaat zelfs open source je niet redden.
Door Kapitein Haddock:
De leverancier zou beter moeten weten dan een closed source besturingssysteem voor consumentengebruik en kantoortoepassingen toe te passen in medische apparatuur.
Geweldig. Je moet ze gaan bedanken hiervoor want met closed source ben je volledig afhankelijk van de fabrikant. Vendor lock-in heet dat en dat voor medische apparatuur...
Het issue is hier niet open of closed-source. Het issue is dat dit een medisch device betreft, welke gecertificeerd is (voor patiëntveiligheid) op 'n bepaalde OS-versie/patchlevel. Als je dan gaat updaten/patchen/virusscanner erop installeert, etc, vervalt deze certificering, waardoor de leverancier de patiëntveiligheid niet meer garandeert, waardoor je in dit soort vreemde hoeken gedrukt wordt:Door Anoniem:
Door _R0N_: 2 redenen:
- Die spullen zouden al lang niet meer op XP moeten draaien
in een afgeschermd omgeving kan dit nog best. ideaal is dit zeker niet.- Die spullen zouden al lang niet meer op XP moeten draaien
- Zelfs voor XP is er een patch en die is niet geinstaleerd
Op medische apparaten installeer je niet zomaar even iets. Leverancier moet dit ondersteunen.De leverancier zou beter moeten weten dan een closed source besturingssysteem voor consumentengebruik en kantoortoepassingen toe te passen in medische apparatuur.
Door Anoniem:
Microsoft heeft tegen dit lek zelfs voor XP en voor Windows 2003 een patch geleverd, dus MS heeft zijn best gedaan.
Klopt. Nu kunnen andere bedrijven de patch inderdaad gaan valideren en daarna approven.Geweldig. Je moet ze gaan bedanken hiervoor want met closed source ben je volledig afhankelijk van de fabrikant. Vendor lock-in heet dat en dat voor medische apparatuur...
Patchen = patiëntveiligheid niet meer gegarandeerd, met risico dat je claims aan je broek krijgt als er iets mis gaat
Niet patchen = risico op 'n hack
Daarom worden dit soort devices in aparte VLAN's geïsoleerd, waardoor het risico op 'n hack geminimaliseerd wordt...
De echte oplossing zou zijn dat leveranciers/keurmerken hun medische software en devices los van OS-patchlevel gaan certificeren... maarja, als MS dan een update uitbrengt waardoor de software iets anders reageert (hoe groot is de kans dat dat gebeurd?), waardoor er doden vallen (hoe groot is de kans dat dat gebeurd, en waar ligt de grens van wat nog acceptabel is): wie is dan verantwoordelijk...
Dus.. dat..
De
Een 'smart' koelkast die op Android draait. Ga je die vervangen als Google na 2 jaar geen updates meer uitbrengt?
Een medisch device wat een ton gekost heeft: ga je die vervangen, alleen maar omdat MS het OS niet meer ondersteund?
Denk je dat Tesla over 20 jaar nog steeds updates uitbrengt voor hun 1e generatie auto's (als Tesla tegen die tijd nog bestaat)
DAT is het echte probleem ...
Door Kapitein Haddock: Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:/[/url]
De vraag is ook: hoe lang gaat 'n product mee, en hoe lang blijven alle onderdelen van dat product door alle verschillende leveranciers ondersteund.Een 'smart' koelkast die op Android draait. Ga je die vervangen als Google na 2 jaar geen updates meer uitbrengt?
Een medisch device wat een ton gekost heeft: ga je die vervangen, alleen maar omdat MS het OS niet meer ondersteund?
Denk je dat Tesla over 20 jaar nog steeds updates uitbrengt voor hun 1e generatie auto's (als Tesla tegen die tijd nog bestaat)
DAT is het echte probleem ...
Door Anoniem:
Door Kapitein Haddock: Geweldig. Je moet ze gaan bedanken hiervoor want met closed source ben je volledig afhankelijk van de fabrikant. Vendor lock-in heet dat en dat voor medische apparatuur...
Het issue is hier niet open of closed-source. Het issue is dat dit een medisch device betreft, welke gecertificeerd is (voor patiëntveiligheid) op 'n bepaalde OS-versie/patchlevel.Natuurlijk, dat neemt echter niet weg dat je bij open source in een versiemanagement systeem (zoals Krakatau schrijft) veel beter in staat bent om - als fabrikant zelf - je source code in te zien en wijzigingen inzichtelijk te houden. Dat wil je niet aan een leverancier overlaten en in deze tijd van je steeds meer moeten verantwoorden kan dat inderdaad uiteindelijk ook niet meer.
Door Anoniem: De
Een 'smart' koelkast die op Android draait. Ga je die vervangen als Google na 2 jaar geen updates meer uitbrengt?
Een medisch device wat een ton gekost heeft: ga je die vervangen, alleen maar omdat MS het OS niet meer ondersteund?
Denk je dat Tesla over 20 jaar nog steeds updates uitbrengt voor hun 1e generatie auto's (als Tesla tegen die tijd nog bestaat)
DAT is het echte probleem ...
Door Kapitein Haddock: Stel je voor dat je als fabrikant van medische apparatuur hebt gekozen voor Windows 10. Dan zit je goed toch? Qua beveiliging en zo. De nieuwste versie, ondersteund, etc. Helaas:<knip>]
De vraag is ook: hoe lang gaat 'n product mee, en hoe lang blijven alle onderdelen van dat product door alle verschillende leveranciers ondersteund.Een 'smart' koelkast die op Android draait. Ga je die vervangen als Google na 2 jaar geen updates meer uitbrengt?
Een medisch device wat een ton gekost heeft: ga je die vervangen, alleen maar omdat MS het OS niet meer ondersteund?
Denk je dat Tesla over 20 jaar nog steeds updates uitbrengt voor hun 1e generatie auto's (als Tesla tegen die tijd nog bestaat)
DAT is het echte probleem ...
Smith: I stand here, right here, and I'm supposed to say something. I say, "Everything that has a beginning has an end, Neo." - The Matrix Revolutions (2003)
Alles heeft een bepaalde levensduur. Maar met open source heb je, naast het voordeel van inzichtelijkheid in je software en de wijzigingen daarop, ook de mogelijkheid - althans in theorie - om je software bij een end-of-life situatie te (laten) aanpassen naar een nieuwe situatie. Ook als de oorspronkelijke fabrikant allang heeft afgehaakt, failliet is gegaan, etc.
Door Anoniem:
Kun je lollig om doen maar je zult net aan de beademing hangen terwijl het beademingsapparaat wordt stilgelegd door ransomware.
Door Anoniem: Nou leuk hoor, blijk je een endoscopie camera gehackt te hebben en kun je live mee kijken ????
Kun je lollig om doen maar je zult net aan de beademing hangen terwijl het beademingsapparaat wordt stilgelegd door ransomware.
of door een update..... kies maar.
Door Kapitein Haddock:....
Alles heeft een bepaalde levensduur. Maar met open source heb je, naast het voordeel van inzichtelijkheid in je software en de wijzigingen daarop, ook de mogelijkheid - althans in theorie - om je software bij een end-of-life situatie te (laten) aanpassen naar een nieuwe situatie. Ook als de oorspronkelijke fabrikant allang heeft afgehaakt, failliet is gegaan, etc.
Siemens heeft alle code en toch hebben ze met al die wetenschap ef niets mee gedaan. Alles heeft een bepaalde levensduur. Maar met open source heb je, naast het voordeel van inzichtelijkheid in je software en de wijzigingen daarop, ook de mogelijkheid - althans in theorie - om je software bij een end-of-life situatie te (laten) aanpassen naar een nieuwe situatie. Ook als de oorspronkelijke fabrikant allang heeft afgehaakt, failliet is gegaan, etc.
Een ander heeft niets aan de code omdat het apparaat van Siemens als geheel gekeurd en gevalideerd wordt.
Nee de hobbyist in het gratis en voor niets heeft niets in die wereld te zoeken.
Ik maak me er wel druk omdat managers soms van die rare denkbeelden uit de oss promotie kringen.
Door karma4:
Door Kapitein Haddock:....
Alles heeft een bepaalde levensduur. Maar met open source heb je, naast het voordeel van inzichtelijkheid in je software en de wijzigingen daarop, ook de mogelijkheid - althans in theorie - om je software bij een end-of-life situatie te (laten) aanpassen naar een nieuwe situatie. Ook als de oorspronkelijke fabrikant allang heeft afgehaakt, failliet is gegaan, etc.
Siemens heeft alle code en toch hebben ze met al die wetenschap ef niets mee gedaan. Alles heeft een bepaalde levensduur. Maar met open source heb je, naast het voordeel van inzichtelijkheid in je software en de wijzigingen daarop, ook de mogelijkheid - althans in theorie - om je software bij een end-of-life situatie te (laten) aanpassen naar een nieuwe situatie. Ook als de oorspronkelijke fabrikant allang heeft afgehaakt, failliet is gegaan, etc.
Ach, heeft Siemens de Windows broncode denk je? Echt?
Door karma4: Een ander heeft niets aan de code omdat het apparaat van Siemens als geheel gekeurd en gevalideerd wordt. Nee de hobbyist in het gratis en voor niets heeft niets in die wereld te zoeken.
Welke ander? Het gaat er alleen om dat Siemens alle code moet hebben, zodat ze niet in een vendor lock-in terecht komen. Welke hobbyist? Wat gratis en voor niks? Waar heb je het toch over karma4? De insteek is open source en dat hoeft helemaal niet gratis en voor niks te zijn. Je ijlt.
Door karma4: Ik maak me er wel druk omdat managers soms van die rare denkbeelden uit de oss promotie kringen.
Het is maar goed dat je aan de zijlijn staat want anders zou je nog over je toeren raken.
Hier en daar draait nog oude meuk.
Je gaat het niet veranderen, want het hangt er al zo lang in, toch?
En het draait toch nog steeds goed.
Ouwe kassasysteem. twee MS OSsen terug, maar ja.
Siemens, wat was daar ook al weer mee met dat Stuxnet destijds?
Nu weer Mirai met 13 ingebouwde exploits. O.a. Uphp uitgeschakeld?
Smart-Connect op IoT wordt ook leuk, de bot infectie gaat sneller dan het led-licht, grapje.
IoT, een biljoen keer biljoen adressen, dus kansen plenty op mal-vuurwerk.
Hang maar aan Interwebz, makkelijk centraal te beheren, het hangt aan de wand en is onveilig, ra, ra?
J.O.
Je gaat het niet veranderen, want het hangt er al zo lang in, toch?
En het draait toch nog steeds goed.
Ouwe kassasysteem. twee MS OSsen terug, maar ja.
Siemens, wat was daar ook al weer mee met dat Stuxnet destijds?
Nu weer Mirai met 13 ingebouwde exploits. O.a. Uphp uitgeschakeld?
Smart-Connect op IoT wordt ook leuk, de bot infectie gaat sneller dan het led-licht, grapje.
IoT, een biljoen keer biljoen adressen, dus kansen plenty op mal-vuurwerk.
Hang maar aan Interwebz, makkelijk centraal te beheren, het hangt aan de wand en is onveilig, ra, ra?
J.O.
Door Anoniem: Ik heb een aantal maanden in een ziekenhuis gewerkt waar ik werd ingehuurd ter ondersteuning van het eigen personeel. Ze hebben daar een bizar grote hoeveelheid aan verschillende systemen en applicaties (600+), waarvan veel enigszins tot sterk verouderd is.
Maar zo kwam er ook een arts naar de IT afdeling, want hij had geen rechten op USB apparaten maar moest wel een filmpje op het netwerk plaatsen. Zo'n robotarm waar ze een baarmoeder losknipte van ik dacht de blaas, een of andere aandoening. Veel Windows systemen zijn goed dicht te timmeren (geen USB, geen admin, etc), maar de medische apparaten die buiten IT vallen .. hij gebruikte prive USB sticks om video's eraf te kopieren.
Direct een encrypted USB stick meegegeven en hem gevraagd niet meer prive dingen erin te steken, je moet niet denken dat een niet netwerk-connected medisch apparaat opeens toch besmet is omdat meneer thuis geinfecteerd is.. Ik bedoel alleen maar te zeggen dat er genoeg zaken zijn, ook in de medische wereld, die echt nog sterk verbeterd moeten worden.
Maar zo kwam er ook een arts naar de IT afdeling, want hij had geen rechten op USB apparaten maar moest wel een filmpje op het netwerk plaatsen. Zo'n robotarm waar ze een baarmoeder losknipte van ik dacht de blaas, een of andere aandoening. Veel Windows systemen zijn goed dicht te timmeren (geen USB, geen admin, etc), maar de medische apparaten die buiten IT vallen .. hij gebruikte prive USB sticks om video's eraf te kopieren.
Direct een encrypted USB stick meegegeven en hem gevraagd niet meer prive dingen erin te steken, je moet niet denken dat een niet netwerk-connected medisch apparaat opeens toch besmet is omdat meneer thuis geinfecteerd is.. Ik bedoel alleen maar te zeggen dat er genoeg zaken zijn, ook in de medische wereld, die echt nog sterk verbeterd moeten worden.
Maar de arts had toch zijn handen wel twee keer gewassen - is dat niet genoeg meer? ;-)
Door Anoniem: Siemens loopt altijd achter op alles. Hun OPC voor PLC communicatie voor PC's is alleen nu in 2019 ook beschikbaar voor x86, alleen x86 !!! Ja dat heb je goed gehoord, er is geen x64 library beschikbaar.. Dus dat betekend dat je alles x86 moet compileren anders werkt de rotzooi niet.
Waarom is x86 erg v.w.b security? Ja, 't is niet hip of zo, maar als het voldoet voor waar je het voor nodig hebt (d.w.z vooral maximaal 2GB geheugen te gebruiken). Als Siemens die antieke code gaat converteren, weet je niet wat er allemaal stuk gaat, dat weer repareren kost nog meer tijd (en geld, developers zijn niet gratis) en er komen nieuwe bugs in. Daarnaast hebben de huidige x86_64 cpu's gewoon de 32-bit mode gewoon ingebakken, dus geen business case hier.
Door Kapitein Haddock:
Nee, dat het (veel) geld zou gaan kosten zal vanaf het begin wel duidelijk zijn geweest. Wat je als klant echter niet meteen verwacht en wat er natuurlijk niet bij werd verteld is dat je tot in de lengte van dagen vastzit in een vendor lock-in, waar je door de closed source niet uit kan en waarbij je geen inzicht hebt in wat de leverancier van je software onder de motorkap allemaal uitvoert en toevoegt/weghaalt.
De vendor locking is de siemens. Niet een OS. Closed of opensource maakt hier helemaal niet uit.Nee, dat het (veel) geld zou gaan kosten zal vanaf het begin wel duidelijk zijn geweest. Wat je als klant echter niet meteen verwacht en wat er natuurlijk niet bij werd verteld is dat je tot in de lengte van dagen vastzit in een vendor lock-in, waar je door de closed source niet uit kan en waarbij je geen inzicht hebt in wat de leverancier van je software onder de motorkap allemaal uitvoert en toevoegt/weghaalt.
Daarnaast even iets met intellectual property. Daar draait het hele apparaat op en om. Je gaat nooit hiervan de broncode zien.
Wat gebeurt er nu écht met jouw gevoelige gegevens? Hoeveel risico op datalekken en hacks loop je eigenlijk?
Configuratie fouten komen veel vaker voor. Die zijn eigenlijk altijd de grote risico's. Daarnaast ondanks dat er zoveel code gezien kan worden, zijn er nog steeds zoveel grote security issues. We zien in de dagelijkse berichtgeving waar dit toe kan leiden.
Ik weet niet wat jij dagelijks allemaal leest. Maar ik zie dit niet dagelijks gebeuren, dat er grote datalekken plaatst vinden op hacks die dit soort datalekken laten zien.Door Anoniem: Siemens loopt altijd achter op alles. Hun OPC voor PLC communicatie voor PC's is alleen nu in 2019 ook beschikbaar voor x86, alleen x86 !!! Ja dat heb je goed gehoord, er is geen x64 library beschikbaar.. Dus dat betekend dat je alles x86 moet compileren anders werkt de rotzooi niet.
En de toegevoegde waarde van x64 is? Is dit direct noodzakelijk? Is het al goed stabiel in de PLC?Is alles ook 100% compatible?
Wat is de business need om x64 te gebruiken?
Klinkt meer als dat iemand eigenlijk niet weet wat echt belangrijk is om een productie omgeving.
Door Anoniem:
Daarnaast even iets met intellectual property. Daar draait het hele apparaat op en om. Je gaat nooit hiervan de broncode zien.
Door Kapitein Haddock:
Nee, dat het (veel) geld zou gaan kosten zal vanaf het begin wel duidelijk zijn geweest. Wat je als klant echter niet meteen verwacht en wat er natuurlijk niet bij werd verteld is dat je tot in de lengte van dagen vastzit in een vendor lock-in, waar je door de closed source niet uit kan en waarbij je geen inzicht hebt in wat de leverancier van je software onder de motorkap allemaal uitvoert en toevoegt/weghaalt.
De vendor locking is de siemens. Niet een OS. Closed of opensource maakt hier helemaal niet uit.Nee, dat het (veel) geld zou gaan kosten zal vanaf het begin wel duidelijk zijn geweest. Wat je als klant echter niet meteen verwacht en wat er natuurlijk niet bij werd verteld is dat je tot in de lengte van dagen vastzit in een vendor lock-in, waar je door de closed source niet uit kan en waarbij je geen inzicht hebt in wat de leverancier van je software onder de motorkap allemaal uitvoert en toevoegt/weghaalt.
Daarnaast even iets met intellectual property. Daar draait het hele apparaat op en om. Je gaat nooit hiervan de broncode zien.
Je bent de weg kwijt. Het ging om Siemens die een closed source besturingssysteem gebruikt heeft in haar producten. Dat is software waarvan Siemens de broncode niet heeft en waarmee zij is overgeleverd aan de grillen van de fabrikant. Vendor lock-in bij Microsoft dus. Dat moet je niet willen en moet je hoe dan ook proberen te vermijden!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
