Tja... Leveranciers moeten inderdaad update maken.

Echter de consument kiest bijna altijd het goedkoopste product.
En installeert de consument de updates wel? Er zijn voor veel consumenten producten gewoon updates, maar die worden nooit geïnstalleerd.

https://www.security.nl/posting/642227/Overheid+start+campagne+voor+het+updaten+van+IoT-apparaten

Begin nou gewoon eens met het aanvalsoppervlak drastisch te verkleinen. Mijn koelkast hoeft echt niet zelf voer te bestellen en de kachel kan ik ook wel bedienen als ik thuis ben.

Mooi dat dit door de Consumentenbond onder de aandacht is gebracht. En hiermee wordt ook meteen het grootste probleem van IoT-apparaten aan het licht gebracht. Sommige mensen hier roepen dat het aan de software ligt die de makers van het apparaat erop plempen, maar dat is véél te kort door de bocht en klopt van geen kant. Vaak worden deze devices voorzien van Linux, maar ook even zo vaak met een legacy versie die al jaren niet meer voorzien wordt van updates en hopeloos out-of-date zijn. Ik heb ze zelfs gezien die draaiden op een 2.6 kernel, en die branche wordt al járen niet meer ondersteund. Dat is vragen om problemen.

Het is dus niet de software die schuldig is, maar de bouwers van de hardware. Zouden zij een actuele(re) kernel nemen die nog actief onderhouden wordt, dan ben je goed bezig en is het uitrollen van updates niet zo'n probleem. Maar ja... dat is de focus van die IoT-devicebouwers helemaal niet. Die willen poen verdienen op een makkelijke manier. De markt wordt dus ook overspoeld met dergelijke apparatuur, en dat is kwalijk. Jammer is wel dat meteen het vingertje wordt gewezen naar Linux en open source. In die hoek is bekend dat het updatesysteem zwaar deugt, maar dan moet je wel gesupporte systemen op je devices installeren.

Voor wat betreft de bedrijven die zich schandalig gedragen en niks doen aan veiligheid van hun producten: ik zou de schandpaal maar weer invoeren. Naming-and-shaming, zodat we de keuze kunnen maken om met een grote boog om de producten van deze fabrikanten heen te lopen. En dat er ook printerfabrikanten bij dit lijstje zitten verbaast me niks. De hele printerbranche is door-en-door verrot, en zijn alleen maar uit op het maximaliseren van hun winsten. En dat ten koste van de consument. Hun verdienmodel is al té schandalig voor woorden (verdiep je er maar eens in zodat je weet wat ik bedoel), en nu wordt er ook nog eens met de pet naar gegooid met betrekking tot security? Ik heb een tijdje geleden ook besloten om nooit meer in mijn leven nog één printer te kopen. Ik print ook zelden nog, dus ik mis er niks aan. En.... het bespaart me een enorme kostenpost, want reken maar eens uit wat een printer je kost in zijn werkbare "leven". Je schrikt je te pletter. En wie lacht je uit? Juist: diezelfde printerfabrikant.

Maarreh... even iets anders: een vibrator met wifi en een camera? Serieus jôh? Het moet niet gekker worden. Moet werkelijk echt alles met het internet verbonden zijn? Waar gaat dit nog over?

Tja, iedereen wil alles op het internet aangesloten hebben. Gemak dient de mens. En als het gemak om de hoek komt kijken, dan interesseert het mensen meteen geen klap meer dat het bepaalde implicaties kán hebben.

Lulkoek! Je schaft die dingen ZELF aan!

hi hi en dan gaan zeuren over je k*t verbinding?

Lulkoek?
Hoe zie jij dat?
Als ik zie staan "begin nou eens het aanvalsoppervlak drastische te verkleinen" dan denk ik aan breng het aantal en omvang van aantal contactpunten en interfaces die iets met internet kunnen terug, daarbij ook dus de verbindingen tussen apparaten onderling die elkaars internet/netwerk-verbinding "delen".
Lijkt mij niet meer dan gezond verstand.
En ja, ook dat je daarna minder apparaten zou moeten willen verkopen/kopen, omdat die toevallig of doelbewust (?) oooook een internet aansluiting hebben.

Als fabrikanten laks zijn met updates, dan moet je de producten niet meer toelaten op de Nederlandse markt.

Ondertussen hebben we zo'n nitwit/papegaai van een minister die blaat dat 'we' zwakkere encryptie moeten gebruiken. Alweer voor de ....'veiligheid'. Tegen kinderwapens, hardpr0n en andere drugs, toch?
Dus updaten wordt straks downgraden.
Hoe denkt de consumentenbond hierover? Over het desinformeren van argeloze digibeten. Door het ministerie. Omtrent deze zwakzinnigheid is het oorverdovend stil. Jammer

Nee hoor. Volgens minister Grapperhaus zijn de fabrikanten goed bezig. De manden zijn lek genoeg.

De Consumentenbond is er voor Consumenten, ze verdedigt de belangen van Consumenten, en redeneert (Echt onafhankelijk) vanuit het Consumentenperspectief. Met hetgeen we nu weten van beveiliging (en wat ook door vele experts wordt geuit), is het voor iedereen beter als encryptie niet wordt verzwakt.

Het standpunt van de minister is overigens wel te begrijpen. Het is daarbij ook in lijn met politieke tendenzen in andere westerse landen, zoals het VK en de VS. De overheid heeft (ook) een zekere verantwoordelijkheid voor fysieke veiligheid.

Aangenomen dat je verzwakte encrypie op de een of ander manier goed zou kunnen beheersen... Dan gaat het om vertrouwen in de overheid, die op de een of andere manier een sleutel heeft. Dit vertrouwen kan _nu_ voldoende zijn. In de toekomst kan dat toch veranderen.
Dat maakt dat het verzwakken van encryptie alsnog niet zo'n goed idee is.

Als je het in één keer goed en veilig programmeert, heb je geen updates nodig.

Ik zou zeggen: "Kom van de bank af en laat de wereld even zien hoe het moet!"