Näin päivität kotireitittimen ohjelmiston

Vaarallista ajatella, että vanha tai perinteinen tekniikka suojaisi haavoittuvuuksilta. Siellä voi lymytä ties mitä, jota jo käytetään tai tullaan käyttämään rikollisiin tarkoituksiin. Näissäkin pitäisi olla zero trust -ajattelu. 

Microsoft avaa käsitettä artikkelissaan:

https://www.microsoft.com/en-us/security/business/zero-trust

Kyllä, "älä luota, vaan varmista". Siksi ajatus vanhoista laitteista, että niistä on vaikea enää löytää haavoittuvuuksia on vaarallinen.
Lisäisin Zero Trustin toteuttamiseen PDCA-mallin (plan, do, check, act). Tietoturvan ylläpitäminen on jatkuva prosessi, joka ei pääty koskaan. Uusia uhkia ja haavoittuvuuksia ilmenee koko ajan. 
Laitekannan päivittämisen suunnittelu ja toteutus pitäisi tehdä säännöllisesti ja ajoissa. Toisin sanoen toteutusvaiheen pitäisi olla jo pitkällä käynnissä niiden laitteiden osalta, joiden päivittäminen on joko loppumassa, tai jo loppunut. 

Eli siis päivityksiä ei ole tulossa mobiilireitittimelle, joiden ohjesivulla on tämä “ajankohtaista”-ilmoitus?

Tuossa kun ei mitenkään mainita päivitysten loppumisesta mitään. Tuon tekstin voi helposti ymmärtää myyntipuheena, jonka tarkoitus on saada ostamaan uusi reititin vaikka vanha olisi toimiva. Jos siinä sanottaisiin että päivityksiä ei ole tulossa, olisi viesti paljon selkeämpi.

Siinä vaiheessa , kun operaattorin monitorointi huomaa haittaliikennettä , ollaan jo auttamattomasti myöhässä. Hakkerit ovat jo korkanneet asiakkaan laitteet ja operaattori ei voi muuta kuin sulkea liittymän.

Ei ihan se toivottavin tilanne asiakkaan kannalta ja kaikki vain siksi , että operaattori ei ajoissa päivittänyt myymiensä laitteiden softia. 👎

Mikäli suosittelemme laitteen vaihtamista lisätään tieto ensisijaisesti asiakastuen ohjeisiin. Tottakai poikkeuksia voi tulla ja tarvittaessa tiedotamme näistä asioista esimerkiksi telia.fi etusivulla tai asiakastiedotteiden kautta. Asiakaskohtaista tiedottamista ei ole suunniteltu.

Tietoturvapäivitysten loppuminen ja pitkä aika edellisestä päivityksestä ovat tärkeimpiä syitä milloin lähdemme suosittelemaan laitteenvaihtoa. Myös laitteen vanhentuneet ominaisuudet ovat myös yksi syy miksi suosittelemme laitteen päivittämistä uudempaan. Esimerkiksi uudella mobiilireitittimellä asiakas voi liittymästä ja verkosta saada enemmän irti kuin vanhalla reitittimellä. 

Tahtotila -sanaa käytin, koska me emme pysty takamaan päivityksiä sillä päivitysten tekeminen on ensisijaisesti laitevalmistajan käsissä. Me voimme suurena jälleenmyyjänä ja operaattorina luonnollisesti “keskustella” laitevalmistajan kanssa laitteiden tuen jatkamisesta. 

Minulla ei ole sellaista tietoa etteikö laitetta päivittäisi, jos laitteesta havaittaisiin jokin haavoittuvuus.

Liittymien sulkeminen ja niiden avaaminen suurissa määrin aiheuttaa täysin tarpeetonta työtä ja sitä myöten turhia kuluja. Lisäksi myös heikkoa asiakaskokemusta, jos syylliseksi sulkuun paljastuu meiltä hankittu reititin. Meillä on selkeä taloudellinen intressi pitää laitteet ja siten myös verkko puhtaana. 

Hienoa. Saan nyt näistä vastauksista parsittua kasaan vastauksen siihen mitä kysyin. Tietoturvapäivitysten loppumisesta ei tiedoteta(edes asiakastukisivulla), vaikka laitevalmistaja siitä teille ilmottaisi vaan sen lisäksi tulee kulua ennalta määrittämätön aika edellisestä päivityksestä ennenkuin asiasta kerrotte. Asiakkaana kuulostaa erittäin huolestuttavalta, enkä suosittele siis näitä operaattorin päivittämiä “tietoturvallisia” laitteita kellekkään.

Niin, mutta te pystytte viestimään asiakkaille reaaliaikaisesti päivitysten tilanteesta vaikkapa sen asiakastukisivustonne kautta jolloin tahtotilanne jopa näkyisi. Viestinnällisesti muutenkin, näissä keskusteluissa olisi todellakin ihana saada suoria vastauksia suoriin kysymyksiin eikä vastauksilla levitettäisi aihetta siten että alkuperäistä kysymystä joutuu toistamaan useasti. 

Olisiko mahdollista nyt sitten saada laitevastaavan kanta asiaan? Siis tällä kertaa koskien tietoturvapäivityksiä eikä ominaisuuspäivityksiä, koska eriytit tämän nyt niin että sinulla ei ole tietoa, eli laitevastaavan virallinen kanta uupuu ja täällä on nyt ristiriitaista tietoa. Kummallista muutenkin ettei laitevastaava olisi ymmärtänyt aiemmin mainita tietoturvapäivitysten jatkosta.

Toistaiseksi olemme asiakastuen laiteohjeisiin lisäämässä varmuudella tiedon, kun suosittelemme laitteen vaihtamista. Keskustelemme edelleen laitevastaavien kanssa ja katsotaan miten he kokevat järkeväksi ilmoittaa, kun saamme tiedon ettei laitevalmistaja tule jatkossa tarjoamaan tietoturvapäivityksiä laitteelle. 

Tällä hetkellä meillä on harkinnassa, että tulisimme lisäämään asiakastuesta löytyville laiteohjeille laitteen viimeisimmän ohjelmistoversion numeron sekä viimeisimmän päivityksen julkaisun ajankohdan. Samaan lisätietoon varmasti mahtuisi myös lisäys, jos laitevalmistaja on lopettanut laitteen tietoturvapäivitykset. 

Aiemmassa viestissäni sanoin, että minulla ei ole sellaista tietoa etteikö CGA2121 -modeemille tarjottaisi tietoturvapäivitystä, jos laitteesta havaitaan jokin uusi haavoittuvuus. Varmistan vielä tämän laitevastaavalta. 

Nämä ovat kieltämättä äärimmäisen ikäviä tilanteita. Oman kokemuksen kautta voin kommentoida, että suurin osa liittymien sulkemista tehdään edelleen saastuneen päätelaitteen vuoksi, ei saastuneen reitittimen vuoksi. Heikkolaatuiset verkkoon liitettävät älylaitteet eivät tätä tilannetta ainakaan paranna. Sitä en tietenkään kiellä tai vähättele etteikö edelleen saastuneen reitittimen vuoksi liittymiä suljettaisi. 

Operaattorilla on käytössä myös muita keinoja, joilla laitteiden haavoittuvuuksien hyödyntämistä voidaan tietyissä tilanteissa lieventää 

Hyvänen aika miten turhauttavaa. Tuon olisit heti voinut sanoa, että teillä on siellä keskustelu aiheesta josta kysyin käynnissä, jolloin ei tarvitsisi päätellä kysymyksen vierestä annetuista vastauksista mikä se toimintatapanne on. 

“Niin ja oletettavasti tiedotatte heti julkisesti kun laitevalmistaja ilmoittaa päivitystuen loppuneen, eikö?”

Vastaus: Ei, Keskustelemme edelleen laitevastaavien kanssa ja katsotaan miten he kokevat järkeväksi ilmoittaa, kun saamme tiedon ettei laitevalmistaja tule jatkossa tarjoamaan tietoturvapäivityksiä laitteelle. 

Kas noin olisi säästynyt muutama viesti.

Edellinen tiivistikin hyvin ajatukset harkintaanne kohtaan.

Niin sanoit. Siksi haluankin tuon laitevastaavan kannan koska täällä on nyt ilmoitettu että a) päivityksiä ei tule b) tietoturvapäivitykset tulee c) ei ole tietoa etteikö tulisi tietoturvapäivityksiä. A tai B on oikein. C on spekulatiivinen.

Eli tietoturvapäivitykset tulee, kuten pitääkin laitteelle jota aktiivisesti jaellaan kuluttajille. Tarkkuutta viestintään, on aavistuksen noloa teille että yksi sanoo toista ja toinen toista 🙂

Juu, ei.

Ohjelmistokehitys on jatkuvasti kehittyvä prosessi, ja virheetön koodi on käytännössä mahdotonta saavuttaa. Jopa laadukkaassa koodissa on aina virheitä, ja ohjelmistotuotannon vähäiset päivitykset voivat usein viitata huonoon ylläpitoon pikemminkin kuin virheettömään koodiin.

Perehdy vaikka mitä sellaiset asiat, kuin Agile methodology, tai DevOps, CI/CD-pipeline ja continuous deployment tarkoittavat.
Vinkkinä ne ovat käsitteitä, jotka liittyvät tähän jatkuvaan kehitysprosessin. Itse asiassa… Kirjoitan suoraan, koska tämä alusta heittää niin usein linkkejä sisältävät viestit moderoitavaksi.

- DevOps on käytäntö, joka korostaa ohjelmistokehittäjien (Dev) ja IT-toimintojen (Ops) välistä yhteistyötä. Tavoitteena on tehostaa ohjelmistojen toimitusprosessia ja parantaa tuotteen laatua.

- CI/CD-pipeline tarkoittaa jatkuvan integraation (CI) ja jatkuvan toimituksen (CD) putkea. Se on sarja automatisoituja prosesseja, jotka mahdollistavat koodin nopean ja luotettavan testauksen ja toimituksen.

- Continuous deployment on osa CI/CD-pipelinea, jossa kaikki koodimuutokset viedään tuotantoon automaattisesti testauksen jälkeen.

Em. käytännöt auttavat kehittäjiä löytämään ja korjaamaan virheitä nopeammin, parantamaan ohjelmiston laatua ja nopeuttamaan uusien ominaisuuksien toimittamista.

Lisää faktoihin perustuvaa asiaa ohjelmistokehityksestä voit etsiä googlettamalla.

Tervehdys

Jo oli aikakin keskustella reitittimistä ja niiden päivityksestä sekä turvallisuudesta. Itselläni on Huawei reititin jonka olen hankkinut Telialta mistäpä muualta niinkuin aikaisemmatkin. Olen mielenkiinnolla seurannut keskustelua kenen on jos reititin ei ole päivitetty ja kumottu operaattorin vastuu kyseiseen ongelmaan. Olen seurannut reitittimen päivityksiä ja kertaakaan ei ole löytynyt uutta päivitystä valmistajan tai operaattorinkaan kautta.  Tuossa kun on eräs operaattori syystä yt asiasta päivityksen puutteista. Kyllähän se täytyy olla operaattori joka myy ja välittää niitä myös pitää huoli päivityksen saamisesta niihin. Peruste on kun he myyvät niitä, kaikki asiakkaat eivät ole tietotekniikan neroja. Operaattorin täytyy vastata siitä mitä kauppaa ja myy. Omana esimerkkinä voin sanoa ettei ole kertaakaan tullut reitittimeen uutta päivitystä. Eikä reittitimen sovellus ole osannut päivittää päivitystä automaattisesti. Asiakkaan pitäisi olla sen verran tekniikkaa taitava ja rohjeta aukaisemaan sovellus ja tarkistaa onko tullut päivitystä ja sen jälkeen tsiä mistä antaa lupa päivittää sen. Itse olen 30 vuotta värkännyt laitteiden, ohjelmien sekä käyttänyt niitä. Lisäämä tähän että reitittimen uusiminen ei välttämättä lisää nopeutta se on kiinni operaattorin omasta tahdosta millä tulee. Itse esimerkkinä ei kannata vaihtaa isompaan nopeuteen kun operaatoreilla ei pysty toimittamaan sitä mitä kaupataan. Omani pitäisi olla 200 m mutta ei tule edes 100 m nyt yli 6kk aikana. Pitäisi olla valtakunnallisesti huippua. Tämä toteamus jonka olen todennut. 

Ohessa kysytyt tiedot reitittimestä. Tuohon vaihtaminen hitaampaan verkkoon tarkoitus onkin hankki semmoiselta operaattorilta joka pystyy tarjoamaan mitä kauppaa. Teliallahan on täälläkin 2 km päässä verkko johon saa yhteyden sattuman varaisesti vaikka masto on hyvällä paikalla ja alueen asukkaille on luvattu kaksi vuotta että paranee. Tuohon lisäten että matkapuhemimellakin saa yhteyden hetkellisesti 1 tai kahta tolppaa näyttää silloin. En avaa sitä sen enempää kunhan valaisen alueen tilasta.