Gå til innhold

Frykter at EU-direktiv kan bety slutten på alternativ ruter-fastvare

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Sandormen

Sandormen

Skrevet
Skrevet

snakker om micro management, EU har virkelig lite å gjøre fortiden...

Ja, kjenner ikke du også at nettet snører seg om forbrukerne? Sånn går det når man setter en problemstilling opp, og avgjørelser blir avgjort med hjelp av lobbyisme, grådighet og makt.

Åkkesom det er høyre-sida eller venstre-sida, blir avgjørelsene beslutta av ‘ugras’ som burde urvikle hjerne istedet for å ansette spindoktorer med professorat i retorikk.

Den ene politiker er verre enn den andre, og verre blir det hele tida.

???

  • Liker 3
Lenke til kommentar
NULL

NULL

Skrevet
Skrevet

Sett ut i fra et sikkerhetsperspektiv, ser jeg i utgangspunktet en rekke fordeler med at kun signerte programvaredistribusjoner kan installeres på denne typen enheter. For de aller fleste forbrukere, vil dette være noe som er med på å forbedre sikkerheten. Blant annet for at sikkerhetshull ikke skal kunne utnyttes til å laste ny software på ruteren like enkelt.

 

Kombinert med dette, burde det vært stilt krav til produsenter som skal selge sine produkter i EU, at de i X antall år er forpliktet til å holde dem oppdatert eller at de må angi End of support for ruteren.

 

Jeg har selv rutere med f.eks. DD-WRT og ser klare fordeler ovenfor standardprogramvaren til spesielle bruksområder.

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

Sett ut i fra et sikkerhetsperspektiv, ser jeg i utgangspunktet en rekke fordeler med at kun signerte programvaredistribusjoner kan installeres på denne typen enheter. For de aller fleste forbrukere, vil dette være noe som er med på å forbedre sikkerheten. Blant annet for at sikkerhetshull ikke skal kunne utnyttes til å laste ny software på ruteren like enkelt.

 

Med f.eks. Asus sin merlin firmware, så oppdaterer ikke enheten seg selv. Så argumentet ditt om at det lastes ny firmware uten brukerens viten holder ikke vann c.m.

 

firmware_upgrade_w_aimesh_nodes.png

Endret av G
  • Liker 2
Lenke til kommentar
Spoki0

Spoki0

Skrevet
Skrevet

 

Sett ut i fra et sikkerhetsperspektiv, ser jeg i utgangspunktet en rekke fordeler med at kun signerte programvaredistribusjoner kan installeres på denne typen enheter. For de aller fleste forbrukere, vil dette være noe som er med på å forbedre sikkerheten. Blant annet for at sikkerhetshull ikke skal kunne utnyttes til å laste ny software på ruteren like enkelt.

 

Med f.eks. Asus sin merlin firmware, så oppdaterer ikke enheten seg selv. Så argumentet ditt om at det lastes ny firmware uten brukerens viten holder ikke vann c.m.

 

firmware_upgrade_w_aimesh_nodes.png

Nå er vel ikke Asus kjent for å skrive malware heller, så hvordan er det relevant?

Lenke til kommentar
NULL

NULL

Skrevet
Skrevet

Merlin er en alternativ firmware til Asus-router'e. Så det er faktisk relevant.

 

Men at ruteren ikke automatisk oppdaterer firmware, kan i seg selv være et sikkerhetsproblem. Nå blir MerlinWRT "for spesielt interesserte", som man da kan håpe velger å ha litt kontroll på dette.

 

Men nettopp Asus er jo et kjempefint eksempel på hvor galt det kan gå når software ikke blir oppdatert automatisk, blant annet i forhold til problemene som var for noen år tilbake med AI Cloud og FTP på ruterne.

 

Asus brukte ei heller HTTPS for nedlasting av software som skulle gå via automatisk oppdatering. Her kunne man da via MITM/DNS egentlig kunne styrt ruterne til å hente en modifisert software.

 

Når det gjelder MerlinWRT, er dette vel et prosjekt som har støtte fra Asus. I praksis betyr det at hvis det kommer krav som digital signering av oppgraderingsfiler, kan Asus utføre denne signeringen av MerlinWRT-builds.

 

Slik sett kan også f.eks. Linksys for modellene som har "offisiell opensource-støtte" stå for signering av builds av DD-WRT/OpenWRT.

  • Liker 1
Lenke til kommentar
sedsberg

sedsberg

Skrevet
Skrevet

Nå er vel ikke Asus kjent for å skrive malware heller, så hvordan er det relevant?

Tror poenget var at siden Asus-routerne ikke oppdateres automatisk så vil et sikkerhetshull ligge åpent helt til brukeren selv opdpaterer. Noe som i mange tilfeller aldri skjer. Og hvis et sikkerhetshull da kan tillate fjernoppdatering med bad-ware så....

Lenke til kommentar
NULL

NULL

Skrevet
Skrevet

 

Nå er vel ikke Asus kjent for å skrive malware heller, så hvordan er det relevant?

Tror poenget var at siden Asus-routerne ikke oppdateres automatisk så vil et sikkerhetshull ligge åpent helt til brukeren selv opdpaterer. Noe som i mange tilfeller aldri skjer. Og hvis et sikkerhetshull da kan tillate fjernoppdatering med bad-ware så....

Nettopp. Og dette var bakgrunnen til at Asus var blant de første til å innføre automatisk nedlasting av oppdateringer. Men når de gjorde det, var det også svakheter i implementasjonen som kunne vært unngått gjennom signert firmware.

 

Litt info om Asus-problemene som var for noen år tilbake: https://anders.io/analyzing-asusgate/

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

Men at ruteren ikke automatisk oppdaterer firmware, kan i seg selv være et sikkerhetsproblem. Nå blir MerlinWRT "for spesielt interesserte", som man da kan håpe velger å ha litt kontroll på dette.

 

Men artikkelen tar jo nettopp for seg alternativ firmware og det vil også gjelde merlin-firmware til Asus-router'e da dersom EU får slagkraft.

 

Artikkelsitat:

 

 

 

– Vi ser en stor fare for prosjektet vårt ved denne forskriften, fordi den vil hindre oss i å forbedre wifi-en til disse forbrukerenheten, og mest sannsynlig gjøre det fullstendig umulig å installere OpenWrt på forbrukerenheter. De fleste wifi-brikkesett fra brikkeleverandører støtter ikke et klart skille mellom radiodelen og den generelle programvaren. Normalt selges den samme maskinvaren globalt, og lokale restriksjoner blir implementert i leverandørprogramvaren som kjører i hoved-CPU-en i det sentrale Linux-operativsystemet, ikke i fastvaren til wifi-brikkesettet, skriver OpenWrt-prosjektet i høringsuttalelsen.
Endret av G
Lenke til kommentar
NULL

NULL

Skrevet
Skrevet

 

Men at ruteren ikke automatisk oppdaterer firmware, kan i seg selv være et sikkerhetsproblem. Nå blir MerlinWRT "for spesielt interesserte", som man da kan håpe velger å ha litt kontroll på dette.

 

Men artikkelen tar jo nettopp for seg alternativ firmware og det vil også gjelde merlin-firmware til Asus-router'e da dersom EU får slagkraft.

 

Artikkelsitat:

 

 

 – Vi ser en stor fare for prosjektet vårt ved denne forskriften, fordi den vil hindre oss i å forbedre wifi-en til disse forbrukerenheten, og mest sannsynlig gjøre det fullstendig umulig å installere OpenWrt på forbrukerenheter. De fleste wifi-brikkesett fra brikkeleverandører støtter ikke et klart skille mellom radiodelen og den generelle programvaren. Normalt selges den samme maskinvaren globalt, og lokale restriksjoner blir implementert i leverandørprogramvaren som kjører i hoved-CPU-en i det sentrale Linux-operativsystemet, ikke i fastvaren til wifi-brikkesettet, skriver OpenWrt-prosjektet i høringsuttalelsen.

Tar man MerlinWRT her som et utgangspunkt - og ser bort fra visse funksjoner som evt. måtte være for å justere sendestyrke - vil jo Asus i teorien kunne sjekke at dette er "på stell" før de signerer programvaren.

 

(Og for standardprogramvaren til mange rutere, er det OpenWRT som ligger i grunn....).

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

(Og for standardprogramvaren til mange rutere, er det OpenWRT som ligger i grunn....).

 

Så noen router-produsenter nytter OpenWRT til å utvikle sin firmware oppå? Eller snakker man om de få router'ne som har blitt solgt med OpenWRT ferdiginnstallert?

Endret av G
Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

snakker om micro management, EU har virkelig lite å gjøre fortiden...

 

Det har vi jo visst ganske lenge.

Historien bak Euroen er jo slik at de satt jo å spillte Quake på møtene og hadde heftige tournaments de EU politikerne.

Helt til det var en kar som brøt ut "Vi har bare noen timer igjen og vi må lage noe så det ser ut som vi har gjort noe..."

 

Da var det en brilliant kar i rommet som tittet på coveret til Quake og roterte det 90 grader!

"Jeg har det! En ny valuta som vi kaller Euro! Og her er logoen!" og holder opp Quake logoen på coveret.

Og resten er som sagt historie :D

Lenke til kommentar
NULL

NULL

Skrevet
Skrevet

 

(Og for standardprogramvaren til mange rutere, er det OpenWRT som ligger i grunn....).

 

Så noen router-produsenter nytter OpenWRT til å utvikle sin firmware oppå? Eller snakker man om de få router'ne som har blitt solgt med OpenWRT ferdiginnstallert?

Snakker om rutere som er basert på OpenWRT i grunn. Men her kan det ellers være lite som i "øvre lag" minner om funksjonaliteten man kjenner fra OpenWRTs standardbuilds. Men det kan så være bygget helt annen funksjonalitet oppå. OpenWRT kan her være utgangspunktet for en egen fork, eller at de baserer seg på en av flere forks som har har sitt utgangspunkt i OpenWRT. Dette vil ikke bare gjelde rutere man får kjøpt over disk, men også rutere i bruk av internettleverandører.

 

F.eks. litt info fra Intel om bruk av OpenWRT på rutere basert på deres brikker: https://openwrtsummit.files.wordpress.com/2017/09/use-of-openwrt-in-intel-cpes.pdf

(Intels brikker er her nødvendigvis ikke brukt av så mange "over disken"-rutere, men er en del av dem i bruk hos diverse internettleverandører).

 

Mange produsenter ønsker i liten grad å bygge opp noe eget her, når de kan basere seg på velprøvde open source-plattformer som har en utvikling. Ser man på en del av funksjonaliteten i OpenWRT, er det helt klart at målgruppen også er internettleverandører - få ellers som skulle ha behov for TR-069-støtte o.l.

 

Sett slik, kan det også være at aktører som f.eks. Broadcom - som er den største leverandøren av WiFi SoC til rutere - også tilpasser sine produkter for at en separering med tanke på noe av det EU-forslaget her viser til. Selv om OpenWRT på en del rutere skulle være mulig uansett, bare produsenten selv ønsker det.

 

Det EU her foreslår, er vel egentlig ganske likt noen av kravene som kom fra FCC for et par-tre år siden. Noe av bakgrunnen her var vel at flere produsenter i sin "stock-firmware" allerede overgikk spesifikasjonene for sendestyrke.

 

Og man skal ikke glemme at bruk av ekstra høy sendestyrke i en del sammenhenger vil være ødeleggende for annet/andres utstyr.

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

Det EU her foreslår, er vel egentlig ganske likt noen av kravene som kom fra FCC for et par-tre år siden. Noe av bakgrunnen her var vel at flere produsenter i sin "stock-firmware" allerede overgikk spesifikasjonene for sendestyrke.

 

Og man skal ikke glemme at bruk av ekstra høy sendestyrke i en del sammenhenger vil være ødeleggende for annet/andres utstyr.

 

Det kan være ødeleggende, men det behøver jo ikke å være det vel dersom funksjonalitet for å gjenkjenne andre senderes kanaler er slått på. Så lenge senderen holder seg til en lite brukt av korrekte FCC godkjente kanaler så burde det jo gå greit. Men, det er jo en ekstra risiko for at utstyret da kommer i kontakt med litt for mange router'e som må tas hensyn til da.

Endret av G
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...