Habt ihr noch nicht genug Security-Apokalypse?

Noch ein zartes Pflänzchen der Hoffnung übrig?

Dem kann ich anhelfen. Ein Leserbrief kam noch rein.

eine kurze Anmerkung zum Laboralltag. Fefe meinte im Blog
> Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an
> Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt
> nicht ans Netz.

Dann sind die Dinger für uns ziemlich nutzlos. Diese Dinger dienen dazu Daten zu sammeln und an andere Computer weiterzuleiten… zur weiteren Auswertung, entweder später, oder sogar unmittelbar zur Prozesssteuerung.

Meßgeräte waren mit so ziemlich die erste Geräteklasse die eine Form von echter Vernetzung implementierten. Späte 1960er, IEEE-488/GPIB, ein Multi-Master-fähiger Bus. Da drüber fährt man üblicherweise ein ziemlich rustikales Protokoll (SCPI) das eigentlich auf OOB-Signaling für Fehler angewiesen ist.

Mittlerweile haben die Kisten alle IP und üblicherweise schickt man SCPI über einen unauthentifizierten, offenen TCP-Stream. Klar könnte man da ein TLS drüber stülpen. Aber die Leute die Meßgeräte verwenden, wollen die üblicherweise mit LabVIEW ansteuern (ein übelstes Stück Software dessen Update-Prozess mit Leichtigkeit jedes andere Produkt da draussen in Sachen Beschissenheit überbietet).

> Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist,

Die Dinger funktionieren wunderbar ohne Zugang zum Internet. Wenn man sich irgendwelchen DRM-Mist ans Bein binden will, dann läuft das in diesem Marksegment üblicherweise per SmartCards. Irgendwo innen drinnen gibt es einen Slot für eine SmartCard im SIM-Karten-Format, da tut der Hersteller eine Lizenzkarte rein und die regelt das.

Aber so richtig vom Internet abschotten kann man sie auch nicht. Das Problem mit internen Netzwerken und Firewalls habt ihr ja in Alternativlos 39 angesprochen. Und es ist nun mal sehr oft so, dass man die Dinger in einem internen Labornetz stehen hat, das aber über eine Firewall mit dem normalen Büronetz verbunden ist, damit man per Remote-Desktop nach dem Rechten sehen kann. Und natürlich auch, weil man auf den Geräten auch seine eigenen Programme laufen lassen kann, die man natürlich nicht auf den Geräten selber speichert, sondern auf einem zentralen Server. D.h. SMB ist üblicherweise auch notwendig, damit man vernünftig damit arbeiten kann.

Richtig krass ist es an Teilchenbeschleunigern. Da wird das Experiment aufgebaut, aber Strahlzeit bekommt man meistens erst viel später. Da sind einige Leute darauf angewiesen sich, teilweise vom anderen Ende der Welt, irgendwie Remote mit dem Experiment verbinden zu können um den Leuten vor Ort entweder mit Rat beiseite zu stehen, oder direkt Daten aufzunehmen. Das WWW (also HTTP) wurde nicht durch Zufall am CERN erfunden.

Oder man nehme Radioastronomie. Da werden Experimente einmal quer über den Erdball miteinander verschaltet; die Daten werden lokal aufgezeichnet, mit GPS-Timestamps versehen, aber die Steuerung erfolgt über das Internet.

Computer-Netzwerke waren schon immer lebensnotwendig für Experimentatoren.

> dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu
> versichern, dass da für Sicherheit gesorgt ist.

Meßgeräte haben die Eigenschaft, dass sie üblicherweise sehr langliebig sind. In vielen Labors findet man Geräte die 15 Jahre oder älter sind. So lange die Hardware noch funktioniert gibt es einfach keinen Grund die auszutauschen.

Nimm zum Beispiel mal das DPO7104 das auf Windows-XP läuft. Das wurde, wenn ich mich recht erinnere, irgendwann so um 2005 herum angeschafft. Zu diesem Zeitpunkt war Vista noch Longhorn. Wenn man da den Hersteller fragt "Wie sieht es mit Updates aus?", kommt als Anwtort "das müssen sie Microsoft fragen."

Als wir letztes Jahr das LeCroy und das Keysight angeschafft haben war einer der entscheidenden Punkte im Anforderungs-Katalog der Ausschreibung, wie denn die Software-Wartungs-Strategie bezüglich Betriebssystem-Updates und dadurch bedingt notwendiger Anpassungen aussieht. Einer der Anbieter hat sich mit folgender Aussage komplett disqualifiziert:

"Falls das System durch Software-Update unbenutzbar wird, kann es mittels dem Acronis-Recovery-Image auf dem System in den Fabrikzustand zurückgesetzt werden." — Themaverfehlung, setzen, 6.

Von zwei anderen Herstellern weiß ich, dass denen Windows-10 die Haarpracht schon ins Mithrandir-Weiß hat ergrauen lassen. Die sind echt nicht "ammused" von dem was Microsoft da fährt. Andererseits können die auch nicht einfach auf Linux oder FreeBSD wechseln, weil um diese Geräte ein regelrechtes Ökosystem aus Ranzsoftware existiert, die nur auf Windows läuft: Matlab, LabVIEW (dafür gibt es zwar eine Linux-Version, aber die ist echt übel), Origin, usw.. Und die Leute wollen auch in 10 Jahren weiterhin ihre Legacy-Software verwenden können.

Ich denke Microsoft wird in den nächsten Jahren der komplette Embedded- und Meßgeräte-Markt wegbrechen. Microsoft wird es nicht jucken. Mit Konsumenten verdient man Geld, nicht mit wenigen großen Fischen.

Ein generelles Problem, gerade was Security und Updates angeht ist, dass diese Geräte auch oft in Langzeitexperimenten stehen die über Wochen oder Monate kontinuierlich Daten aufnehmen sollen. Wenn da ein automatisierter Updateprozess die Kiste unvermittelt herunterfährt, oder sonstigen Mist macht kann das ziemlich schlecht sein. Deshalb sind die automatischen Updates aus solchen Geräten üblicherweise ausgeschaltet.

Was die Sache mit den Treiber-Signaturen angeht und dass man das doch alles sicher portieren könne, das Treibermodell habe sich ja nicht geändert. Nun, teilweise machen die Hersteller von diesen Kisten echt schräges Zeug auf der Hardware-Ebene — Elektroingenieure halt — die auf der Software-Seite zu echt üblen Hacks führen.

Nimm z.B. mal diese Tektronix-DPO-Scopes. Ein Manko das digitale Speicheroszilloskope lange hatten war, dass diese mit Frequenz-Aliasing nicht gut umgehen konnten. Bei analogen Oszis verschmiert einfach nur der Elektronenstrahl auf dem Bildschirm, aber Digitale haben da lange Zeit einfach nur Signal-Müll angezeigt und so getan als wäre das richtig.

Tektronix hat sich dann gedacht: Hey, emulieren wir doch einfach den Elektronenstrahl. Dazu haben die dem Oszi einen zweiten Graphik-Chip (von ATI) eingebaut in dessen Speicher dann die Datenerfassunghardware direkt Pixelwerte hineinmanipuliert. Und dieser Speicher hängt dann irgendwie elektrisch an dem Speicher vom Hauptgraphik-Chip dran. Und entsprechend genau dafür ist die Software ausgelegt. Nun ist das Treibermodell für Graphik-Hardware einer der Teile von Windows der sich schon mehrmals geändert hat. Nicht unbedingt das was im Kernel passiert und auch das Userland ist recht konstant, aber die Schnittstelle zwischen Kernel- und Userland. Und diese Tektronix-DPO-Scopes haben sich das mitten hineingesetzt und wollen eine bestimmte API sehen. Nebeneffekt: Das Programm von denen ist knallhart auf XGA-Auflösung festgenagelt.

Keysight und LeCroy haben solchen Mist zum Glück nie gemacht. Und diese beiden Kisten haben sich auch problemlos updaten lassen. Die Tektronix-Scopes dagegen erfordern echt finsteres Voodoo; der XP-Patch von Microsoft funktioniert nur für SP3, aber das alte Tektronix-Teil verträgt kein SP3. Ich bleibe am Ball.

Was gesetzliche Regelungen angeht: Ich vertrete schon seit Jahren die Ansicht, dass Hersteller im Rahmen der Produkthaftung dazu verdonnert werden sollten für Produkte für die es offiziell keinen Support mehr gibt alle Source-Codes und Hardware-Programmier-Informationen herauszurücken. Keine Diskussion. Falls die Hersteller das nicht wollen, müssen sie halt langfristig Software-Support auf dem aktuellen Stand der Technik anbieten.

Der Fall, dass durch Insolvenz eines Herstellers dies nicht gegeben ist, ist denkbar gering. Die Zahl an relevanten Firmen im Meßgerätebereich kann man an 3 Fingern abzählen (binär) und sind auch Zulieferer für die Rüstung, dass die nicht so schnell verschwinden.

Wobei, Tektronix würde ich keine Träne nachweinen. Früher haben die echt geile analoge Oszilloskope gebaut, aber deren Digital-Scopes waren eigentlich immer eher so "meh". Die DPOs so von vor ca. 15 Jahren waren mal kurzzeitig cool, aber die dümpeln jetzt wieder so vor sich rum.

5/18/2017