Firmware på din pc og din telefon fyldt med sikkerheds-huller: Så dårligt står det til

Sikkerhedseksperter finder tusindvis af alvorlige sårbarheder i firmwaren til nogle af it-løsninger, som du måske anvender allermest.

Bagdøren for hackere og andre står pivåben i den firmware, som embeddede løsninger i din telefon, din pc eller lignende anvender. Det gælder i routere, DSL-modemmer, VoIP-telefoner, IP-kameraer og andre embeddede enheder.

Det viser en stor sikkerhedstest af firmware - altså de små softwareprogrammer, som de embeddede løsninger styres af - som den franske sikkerhedsorganisation Eurecom samt universitetet i tyske Bochum har udarbejdet.

De to organisationer har bygget en løsning, der automatisk kan udpakke firmware og køre løsningerne i et emuleret miljø, hvor de sammenholdes med de embeddede web-servere, som hoster deres interfaces.

Testen omfatter 1.925 Linux-baserede stykker firmware-images til embeddede enheder fra 54 producenter. Det lykkedes dog kun at starte webs-serverne i 246 tilfælde.

Resultatet er slående: Organisationerne fandt 225 alvorlige sårbarheder i 46 af de testede stykker firmware.

Resultatet blev underbygget af flere tjek-forsøg, hvor organisationerne testede sikkerhedsniveauet med ændret vinkel - blandt andet med en statisk analyse med et open source-værktøj, der blev holdt op mod PHP-kode.

Tusindvis af sårbarheder
Denne alternative test resulterede i opdagelsen af yderligere 9.046 sårbarheder i 145 stykker firmware.

Ifølge organisationerne er fremgangsmåden, som de har anvendt, enkel og ligetil, og samtlige de opdagede sårbarheder ville være nemme at finde med helt almindelige standard-sikkerheds-tjek.

Så hvorfor er de ikke blevet opdaget og lappet af producenterne?

Ifølge organisationerne er svaret ligetil: Enten har de slet ikke testet, eller også er deres test-metoder af meget dårlig kvalitet.

Sikkerheds-udfordringerne i firmwaren er højaktuel i denne tid, hvor vi for fuld fart er på vej ind i en tid, hvor alverdens sensorer, maskiner og apparater bliver koblet sammen via 'Internet of Things.'

Med den ventede knopskydning af internettet til milliarder af meget forskellige slut-enheder følger også, at mange af de bittesmå it-systemer vil blive udviklet som en slags 'køb-og-smid-væk' - ganske som det er tilfældet med den køkkenmaskine eller den vandhane, som net-opkoblingen sidder i.

Det betyder, at mange af enhederne ikke vil blive opdateret løbende - hvis de altså overhovedet er udstyret med tilstrækkelig sikkerhed fra fødslen.

Det kan du læse mere om her: Sikkerhedsmareridt venter: Dine piv-åbne it-systemer kan hverken lappes eller opgraderes.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Roundtable: Start opgøret med kompleksitet og det manglende overblik: Få styr på mulighederne og planen

Overblik og kompleksitet er derfor i fokus på dette digitale roundtable, hvor vi deler erfaringer fra digitale ledere i danske virksomheder. Her kan du blandt andet kan høre om, hvordan du bedst muligt sikrer dig overblik og reducerer kompleksiteten af dine it-systemer.

09. marts 2021 | Læs mere


Inspiration til dit næste skridt med Microsoft Dynamics 365

Med Microsoft Dynamics 365 har Microsoft forsøgt at samle alle de grundlæggende funktioner, som en virksomhed har brug for, og de arbejder sammen ved hjælp af smarte virksomhedsapps og en fælles datamodel.

16. marts 2021 | Læs mere


Computerworld Digital Summit Days 2021: Sæt kursen med de rigtige it-beslutninger

Tre dage med unik viden og inspiration til din digitale organisation. Temaerne er digitalisering, it-sikkerhed og intelligent ERP. Du kan være med, når vi sætter ideerne, eksemplerne og de gode digitale erfaringer i centrum. Det sker gennem interaktive debatpaneler, konkrete erfaringer og oplagte keynotes.

23. marts 2021 | Læs mere





mest debatterede artikler

Premium
Exchange-sårbarhed truer selskaber over hele kloden: Sådan blev den opdaget af Dubex fra Søborg
En række akutte sårbarheder i Microsoft Exchange Server har sendt en panisk bølge gennem Exchange-miljøet. Sårbarhederne blev opdaget af danske Dubex. Se her, hvordan de blev opdaget af det danske selskab. "Var hackerne lykkedes med det, ville det være forholdsvist voldsomt," siger Jacob Herbst fra Dubex.
Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
IDC Nordic Cloud Survey 2020
IDC Nordic Cloud survey blev gennemført i efteråret 2020 med over 200 deltagende virksomheder. Det viser at multicloud er fremtidens løsning for digital infrastruktur blandt nordiske virksomheder. Det skyldes blandt andet en stigende interesse for private cloud løsninger til edge computing og innovation. Samtidig er det tydeligt at hvor de fleste virksomheder før enten brugte public cloud eller private cloud er fremtidens løsning multicloud.