Zero-day - en ny utmaning inom låsindustrin när de traditionella låsen digitaliseras
It-säkerhetsexperter talar ibland om ”zero-day” eller ”0-day” när de beskriver en säkerhetsbrist eller attack. Zero-day är en sårbarhet i ett system som ännu inte har åtgärdats - det finns alltså ingen säkerhetsuppdatering eller patch tillgänglig. Detta betyder att leverantören måste ta fram en säkerhetsuppdatering samt att systemet sedan måste uppdateras för att hålet ska täppas igen.
Knowits säkerhetskonsult Patrick Mattsson upptäckte ett säkerhetshål i ett system som tillverkats av Aptus Elektronik AB och kontaktade företaget.
– Vi uppskattade informationen som vi fick ifrån Patrick. Han beskrev i detalj vad han hade upptäckt och vi verifierade det senare i vår testmiljö, berättar Peter Johannesson, produktchef hos Aptus Elektronik AB.
Redan en vecka efter att Patrick hade informerat Aptus om problemet utfärdades en säkerhetsuppdatering för tidigare versioner av låssystemet och en ny version var klar. Patrick testade systemet och verifierade att säkerhetshålet var borta. Aptus informerade kunder att uppdatera sina system. Uppdateringen pågår och alla nya system är åtgärdade från leverans.
– För att underlätta för säkerhetsuppdateringar av system när nya sårbarheter upptäcks är det viktigt att arbeta fram en lösning för detta redan i designfasen. När jag kontaktade Aptus fick jag full attention direkt, säger Patrick Mattsson.
Det är också en stor fördel att säkerhetstesta produkten vid flera tillfällen under utveckling och när den släpps. Rutinen finns på plats hos många av de stora it-leverantörerna, men nu när många andra typer av produkter digitaliseras är det viktigt att komma ihåg att det måste finnas en process för uppdateringar. Aptus gör kontinuerligt sådana säkerhetstester i sin utvecklingsmiljö.
Aptus riktar ett stort tack till Patrick Mattsson, Knowit, för uppmärksamhet och information.
Ta del av Aptus information kring säkerhetsuppdateringen här.
CVE-2017-7278
https://nvd.nist.gov/vuln/detail/CVE-2017-7278