Bagdøren for hackere og andre står pivåben i den firmware, som embeddede løsninger i din telefon, din pc eller lignende anvender. Det gælder i routere, DSL-modemmer, VoIP-telefoner, IP-kameraer og andre embeddede enheder.
Det viser en stor sikkerhedstest af firmware – altså de små softwareprogrammer, som de embeddede løsninger styres af – som den franske sikkerhedsorganisation Eurecom samt universitetet i tyske Bochum har udarbejdet.
De to organisationer har bygget en løsning, der automatisk kan udpakke firmware og køre løsningerne i et emuleret miljø, hvor de sammenholdes med de embeddede web-servere, som hoster deres interfaces.
Testen omfatter 1.925 Linux-baserede stykker firmware-images til embeddede enheder fra 54 producenter. Det lykkedes dog kun at starte webs-serverne i 246 tilfælde.
Resultatet er slående: Organisationerne fandt 225 alvorlige sårbarheder i 46 af de testede stykker firmware.
Resultatet blev underbygget af flere tjek-forsøg, hvor organisationerne testede sikkerhedsniveauet med ændret vinkel – blandt andet med en statisk analyse med et open source-værktøj, der blev holdt op mod PHP-kode.
Tusindvis af sårbarheder
Denne alternative test resulterede i opdagelsen af yderligere 9.046 sårbarheder i 145 stykker firmware.
Ifølge organisationerne er fremgangsmåden, som de har anvendt, enkel og ligetil, og samtlige de opdagede sårbarheder ville være nemme at finde med helt almindelige standard-sikkerheds-tjek.
Så hvorfor er de ikke blevet opdaget og lappet af producenterne?
Ifølge organisationerne er svaret ligetil: Enten har de slet ikke testet, eller også er deres test-metoder af meget dårlig kvalitet.
Sikkerheds-udfordringerne i firmwaren er højaktuel i denne tid, hvor vi for fuld fart er på vej ind i en tid, hvor alverdens sensorer, maskiner og apparater bliver koblet sammen via ‘Internet of Things.’
Med den ventede knopskydning af internettet til milliarder af meget forskellige slut-enheder følger også, at mange af de bittesmå it-systemer vil blive udviklet som en slags ‘køb-og-smid-væk’ – ganske som det er tilfældet med den køkkenmaskine eller den vandhane, som net-opkoblingen sidder i.
Det betyder, at mange af enhederne ikke vil blive opdateret løbende – hvis de altså overhovedet er udstyret med tilstrækkelig sikkerhed fra fødslen.
Det kan du læse mere om her: Sikkerhedsmareridt venter: Dine piv-åbne it-systemer kan hverken lappes eller opgraderes.
Leave a Reply