Det som bör förvåna t ex säkerhetsexperter (men egentligen också konsumenter, återförsäljare och politiker också) är inte att hemroutrar är osäkrade, utan industrins oförmåga att ta tag i problemet.
Jag jobbade ett tag med just mjukvara för routrar. Jag tycker inte att det är särskilt förvånande, eftersom ingen part i leveranskedjan har något intresse av att ta tag i problemet.
1. Hårdvarutillverkaren är intresserad av att sälja chip. Att exempelmjukvaran som hårdvarutillverkaren skickar med för sina kunder att titta på är jättegammal och o-uppdaterad rör inte denna i ryggen. Det är ju bara exempelkod, right?
2. Mjukvarutillverkaren är intresserad av att uppfylla kraven som leverantören ställer. Denna skrivs typiskt sett i låglöneländer, och säkerhetskompetensen är det lite si och så med. Visst skulle mjukvarutillverkaren kunna ta betalt för säkerhet också, men det skulle bli dyrt. Mycket dyrt.
3. Leverantören är intresserad av att få tag på en router som uppfyller vissa minimikrav till så lågt pris som möjligt för att kunna göra så stor vinst som möjligt. Visst skulle de kunna ställa högre krav på säkerhet från mjukvaruleverantören, men priset per router skulle bli så högt att ingen konsument eller internetleverantör skulle vilja betala för den.
I slutändan får vi slutkonsumenter den mjukvara vi betalar för. Jag är av uppfattningen att hela tragedin med osäkra hemmarouters bara är en annan aspekt av den slit-och-släng-mentalitet vi tycks ha anammat sedan årtionden i västvärlden.
Det som bör förvåna t ex säkerhetsexperter (men egentligen också konsumenter, återförsäljare och politiker också) är inte att hemroutrar är osäkrade, utan industrins oförmåga att ta tag i problemet.
Jag jobbade ett tag med just mjukvara för routrar. Jag tycker inte att det är särskilt förvånande, eftersom ingen part i leveranskedjan har något intresse av att ta tag i problemet.
1. Hårdvarutillverkaren är intresserad av att sälja chip. Att exempelmjukvaran som hårdvarutillverkaren skickar med för sina kunder att titta på är jättegammal och o-uppdaterad rör inte denna i ryggen. Det är ju bara exempelkod, right?
2. Mjukvarutillverkaren är intresserad av att uppfylla kraven som leverantören ställer. Denna skrivs typiskt sett i låglöneländer, och säkerhetskompetensen är det lite si och så med. Visst skulle mjukvarutillverkaren kunna ta betalt för säkerhet också, men det skulle bli dyrt. Mycket dyrt.
3. Leverantören är intresserad av att få tag på en router som uppfyller vissa minimikrav till så lågt pris som möjligt för att kunna göra så stor vinst som möjligt. Visst skulle de kunna ställa högre krav på säkerhet från mjukvaruleverantören, men priset per router skulle bli så högt att ingen konsument eller internetleverantör skulle vilja betala för den.
I slutändan får vi slutkonsumenter den mjukvara vi betalar för. Jag är av uppfattningen att hela tragedin med osäkra hemmarouters bara är en annan aspekt av den slit-och-släng-mentalitet vi tycks ha anammat sedan årtionden i västvärlden.