/dev/null - Overig

Security vs. duurzaamheid?

05-03-2021, 14:01 door Anoniem, 9 reacties
Door ICT apparatuur minder snel weg te gooien, kan vervuiling (door de productie)met tientallen procenten worden vermindert, aldus https://usi.nl/omslag-naar-circulaire-ict-inkoop-moet-afvalstapel-drastisch-inperken/.

Sinds jaren is er toch echt wel minder innovatie, dus jaartje langer met je mobiel doen is eigenlijk goed te doen. Of je opa/oma/neefje/nichtje/zoon/dochter kan die jaren nog wel opvullen. Maar vaak wil je een nieuwe mobiel, omdat de security updates niet meer geïnstalleerd kunnen worden en de oude kun je dan beter ook maar niet weggeven (want dan zadel je de ontvanger op met een apparaat dat onveilig is).

Zouden wij als branchegenoten in security misschien ook eens moeten gaan oproepen:
Zorg dat je systeem gepatched wordt, maar patch ook een (voorlaatste) versie van het systeem waar bv. nog 20% van gebruikers opzitten?

Je ziet dat bv. Apple die al doet, waar ze iOS 12 nog voorzien van updates terwijl iOS 14 uit is (13 slaan ze over, want iedereen die dat heeft kan ook naar 14). En op de Mac hetzelfde beeld (laatste 3 majors krijgen de patch). In totaal kun je daardoor met een iPhone zeker wel 4-8 jaar uit de voeten (ipv ongeveer 3-4 als je niet meer kunt upgraden naar nieuw OS) en met een mac nog veel langer.

Hoe kijkt de rest van de branche hiernaar? :)
(positief kritisch graag, kom met oplossingen)
Reacties (9)
05-03-2021, 20:57 door Anoniem
Out-of-the-box: wat denk je van duurzame security?
06-03-2021, 08:57 door Anoniem
Op Europees niveau is een verplichting ingevoerd om onderdelen nog zeven tot tien jaar te blijven leveren, maar voor zover ik weet slaat dat alleen op fysieke componenten en niet op software. Die verplichting zou wat mij betreft ook moeten gelden voor security updates voor software waar apparaten van afhankelijk zijn, en met dezelfde termijn als voor de fysieke onderdelen van het betreffende apparaat gelden.

Een andere insteek is om de koppeling tussen apparaat en besturingssysteem los te laten. De pc heeft ooit de wereld veroverd omdat hardware en besturingssysteem afzonderlijke produkten waren. Dat hielp om een levendige markt in klonen van de IBM-pc op gang te brengen en de prijzen drastisch omlaag te brengen (de originele IBM-pc's kostten iets van tienduizend gulden per stuk). Als de drempels om een alternatief OS op je apparaat te installeren er niet zouden zijn zou het probleem van niet meer door de leverancier bijgewerkte software langs die weg omzeild kunnen worden. Een verbod op het opwerpen van drempels voor het installeren van alternatieve software, inclusief een verbod om garantie op de hardware te laten vervallen[*], zou ook niet slecht zijn.

[*] Ik weet dat daar serieuze haken en ogen aan kleven. Er bestaan apparaten die fysieke schade kunnen oplopen als de software ze verkeerd aanstuurt, bijvoorbeeld, en het is mogelijk dat drivers voor componenten propriëtaire licenties hebben die niet zomaar beschikbaar zijn voor alternatieve besturingssystemen. Maar als ik mijn fantasie even de vrije loop laat kan ik me een opzet voorstellen waar die drivers in een soort niet meer zo basic super-BIOS worden opgenomen en via gestandaardiseerde en (voor de hardware) veilige high-level-interfaces aan het OS worden aangeboden. De licentie voor die BIOS en de daarin aanwezige drivers is dan gekoppeld aan het fysieke apparaat, en niet aan het OS dat gebruikt wordt. Natuurlijk brengt dat het probleem weer terug dat de fabrikant dan beveiligingsupdates van die BIOS moet garanderen gedurende bijvoorbeeld die zeven tot tien jaar. Dat lijkt me voor de fabrikant echter een kleinere opgave dan een compleet besturingssysteem te blijven ondersteunen.
06-03-2021, 09:31 door Anoniem
Door Anoniem: Out-of-the-box: wat denk je van duurzame security?

Wat zou het inhouden? Wat zouden we beter kunnen doen?
06-03-2021, 11:11 door Anoniem
Door Anoniem:
Door Anoniem: Out-of-the-box: wat denk je van duurzame security?

Wat zou het inhouden? Wat zouden we beter kunnen doen?

Niet steeds na een paar jaar de ondersteuning van software beeindigen "want verouderd" en de klanten dwingen om nieuwe spullen te kopen met software die wel onderhouden wordt.
Wat je nu ziet is dat nog goed werkende hardware niet meer gebruikt kan worden (of in ieder geval niet meer gebruikt MAG worden in de opinie van security mensen) hoewel die hardware nog goed is, echter de software die er op staat niet meer onderhouden wordt.
Meestal wordt software bij introductie geroemd als "de veiligste ooit" terwijl een paar jaar later de handdoek in de ring gegooid wordt omdat het zo brak is dat het echt niet meer onderhouden kan worden. En het alternatief is dan "stap over op ons nieuwste product" (wat achteraf net zo onveilig is) en die overstap is voor de eindgebruiker niet zomaar mogelijk.
Dat geeft milieuschade omdat die gebruiker dan ten einde raad maar nieuwe spullen koopt en de oude weggooit.

Misschien moeten softwarefabrikanten gedwongen worden om als ze zelf niet meer in staat zijn om de spullen goed te krijgen, de migratie naar concurrerende producten die het wel kunnen gemakkelijker te maken. Dan worden ze vast wel wakker.
06-03-2021, 12:25 door Anoniem
Door Anoniem:
Een andere insteek is om de koppeling tussen apparaat en besturingssysteem los te laten.

Dit zou nog wel eens heel goed kunnen werken. Op hele oude macs die Apple 'retired' noemt draait bijvoorbeeld Windows 10 of Linux nog perfect en wordt door anderen goed ondersteund. Windows 10 zelfs officieel via bootcamp (m.u.v. updates op drivers dan).

Mogelijk zou je leveranciers die dit niet willen kunnen tegemoetkomen door te zeggen: de dag dat jullie een (serie van een) apparaat dat bv. meer dan 25 miljoen keer* is verkocht afschrijven (geen security updates meer geven) moet je gebruikers in de gelegenheid stellen alternatieve software te gaan gebruiken en ook drivers beschikbaar stellen voor tenminste een veelgebruikt alternatief (bv. linux). Met een maximum van bv. 7 jaar. Dan kunnen ze kiezen: of zelf 7 jaar security-updates support of bv 4 jaar en daarna dus de gebruiker zelf (met een eenmalige actie) de mogelijkheden geven te switchen naar iets dat dat wel doet (bv. drivers open-source maken).

*Voor kleinere hoeveelheden apparaten is het niet zo nuttig, dan is je kans op ondersteuning achteraf veel te klein en dan zit je hooguit start-ups te plagen. Met series voorkom je dan dat er ineens heel veel varianten worden gemaakt om zo iets te omzeilen.

Denk dat vooral bij Android dan ineens heel veel devices echt wel veel langer mee kunnen gaan. Bv. een Samsung J-serie.
06-03-2021, 12:31 door Anoniem
Door Anoniem:
Door Anoniem: Out-of-the-box: wat denk je van duurzame security?

Wat zou het inhouden? Wat zouden we beter kunnen doen?

Een minder aan de kleptocratie verbonden cryptocurrency uitvinden. die geen energie vreet en geen CO2 uitstoot heeft.
06-03-2021, 12:50 door Anoniem
Firmware locked devices aan Google accounts zijn he-le-maal niet milieuvriendelijk. Ik dacht dat ze bij Google juist op duurzaamheid willen inzetten of is dat alleen maar schijn voor een paar promotiefilmpjes?

Ik zou heel graag de toestellen recyclen en voorzien van een ander OS zoals /e, of Graphene of Calyx of Lineage zodat de hardware wel nog updated blijven. Repareren kan ik zelf. Zo kun je nieuwe 'veilige' telefoons weggeven en nog 5 jaar doorgebruiken (ik heb zelfs nog eeen S3 in gebruik !!!)

Het is maar 1 bit die diefstal moet tegengaan. Maar wat voor waarde heeft dit? De meeste smartphone repair shops kunnen hier niet eens omheen. Zit je dan in een constant bootup feedback loop zonder toegang tot je vergeten account oid.

Hallo? Is er nog wel iemand wakker? Deze maatregel is helemaal niet anti-diefstal. Het is gewoon mensen aan de fabrieks OS binden via een Google Account. Het is totaal niet milieauvriendelijk... dus beste Google, begin eerst eens met deze kleine dingetjes voort ge grote datacenters voor de fashion en een filmpje milieauvriendelijk gaat pimpen.

Diefstal zou totaal geen probleem moeten zijn voor je smartphone: volledige backup in een (veilige) cloud, en volledige encryptie op je toestel maken beschermen je al. Die encryptie zie ik in de laatste Android ook niet meer terug? Waar is die gebleven?

Diegenen die het hardst schreeuwen voor het klimaat... zijn schijnheilig. Klimaat zal vast ook wel een of andere global business zijn gebaseerd op illusies maar dat zal zich nog wel gaan ontvouwen... de generatie Z is al gebrainwashed "het is onze toekomst" (quoten letterlijk beleidsmakers) maar het gedrag is er niet naar. Nog nooit een generatie gezien die zo veel consumed , sorrie hoor maar de jeugd is verwend met plastic rotzooi wat snel wordt weggesmeten.

In de jaren 80 en 90 waren we veel zuiniger met computers en hardware. Er werd veel meer geruild, gehandeld buiten de winkels. Een PC kast ging gewoon 10 jaar mee, af en toe een component eruit of erin. Daar moest je ook voor sparen. Nu krijgen kids van 10 jaar een vette gamecomputer die ik als ITer nog niet eens heb.. "ja maar is wel langzaam" eerste klacht. En die "oude" computer van je dan? Ja..... "gooi ik maar weg want te langzaam geworden".... Format C fixt je probleem knul... "Nee ouders kopen wel een nieuwe".
06-03-2021, 15:46 door Anoniem
Door Anoniem:
Door Anoniem: Out-of-the-box: wat denk je van duurzame security?

Wat zou het inhouden? Wat zouden we beter kunnen doen?

Duurzaam kan betekenen in deze context dat je een ontwerp maakt dat enerzijds secure is, maar ook dat je onderdelen gemakkelijk kunt uitfaseren en vervangen (inclusief het security ontwerp zelf).

Dit betekent dat je het security model dat je implementeert zeer goed uitgelijnd moet zijn met de verschillende doelstellingen in een organisatie. Dit betekent goede samenwerking tussen ontwikkelaars, adviseurs, management, en de business eromheen.

Wat dus niet werkt is een organisatie met eilandjes waar ieder zich alleen bezig houdt met een mini-taakje, dan lukt de integratie nooit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.