Klucze D-Link Blunder naraża wszystkich na ryzyko

Reklama

Jako konsumenci wszyscy jesteśmy zmuszeni pokładać pewne zaufanie w firmach technologicznych, z których korzystamy. W końcu większość z nas nie ma wystarczających umiejętności, aby samodzielnie odkryć luki w zabezpieczeniach i luki w zabezpieczeniach.

Debata wokół prywatności i niedawna furor spowodowany przez Windows 10 Czy funkcja WiFi Sense systemu Windows 10 stanowi zagrożenie dla bezpieczeństwa? Czytaj więcej jest tylko jedną częścią układanki. Kolejna - całkowicie złowroga część - dotyczy tego, że sam sprzęt ma wady.

Zręczny użytkownik komputera może zarządzać swoją obecnością w sieci i dostosować wystarczające ustawienia ograniczyć ich obawy dotyczące prywatności Wszystko, co musisz wiedzieć o problemach z prywatnością w systemie Windows 10Chociaż w systemie Windows 10 występują pewne problemy, o których użytkownicy powinni wiedzieć, wiele roszczeń zostało pozbawionych proporcji. Oto nasz przewodnik po wszystkim, co musisz wiedzieć o problemach z prywatnością w systemie Windows 10. Czytaj więcej

, ale problem z podstawowym kodem produktu jest poważniejszy; jest znacznie trudniejszy do wykrycia i trudniejszy do rozwiązania przez użytkownika końcowego.

Co się stało?

Najnowszą firmą, która wpadła w koszmar bezpieczeństwa, jest popularny tajwański producent urządzeń sieciowych, D-Link. Wielu naszych czytelników będzie używać swoich produktów w domu lub w biurze; w marcu 2008 roku stali się numerem jeden wśród dostawców produktów Wi-Fi na świecie i obecnie kontrolują około 35 procent rynku.

Dzisiaj pojawiły się wiadomości o gaffe, w której firma wypuściła klucze do prywatnego podpisywania kodu wewnątrz kodu źródłowego ostatniej aktualizacji oprogramowania układowego. Klucze prywatne są używane jako sposób na sprawdzenie przez komputer, czy produkt jest oryginalny i czy kod produktu nie został zmieniony ani uszkodzony od czasu jego utworzenia.

Dlatego, w kategoriach laika, ta luka oznacza, że ​​haker może korzystać z opublikowanych kluczy we własnym zakresie programy oszukańcze, aby komputer pomyślał, że jego złośliwy kod jest rzeczywiście zgodny z D-Link produkt.

Jak to się stało?

D-Link od dawna szczyci się swoją otwartością. Częścią tej otwartości jest zobowiązanie do open-sourcingu całego oprogramowania układowego na licencji General Public License (GPL). W praktyce oznacza to, że każdy może uzyskać dostęp do kodu dowolnego produktu D-Link - pozwalając mu na poprawianie i modyfikowanie go w celu dostosowania do własnych, precyzyjnych wymagań.

Teoretycznie jest to godna pochwały pozycja. Ci z was, którzy śledzą debatę na temat Apple iOS vs Android, bez wątpienia będą świadomi, że jedna z największych krytyek została zniesiona w firmie z Cupertino jest ich niezachwiane zobowiązanie do pozostania zamkniętym dla ludzi, którzy chcieliby poprawić źródło kod. To jest powód, dla którego nie ma żadnych niestandardowych ROM-ów Android Cyanogen Mod Jak zainstalować CyanogenMod na urządzeniu z AndroidemWiele osób może zgodzić się, że system operacyjny Android jest niesamowity. Jest nie tylko świetny w użyciu, ale także darmowy jak w open source, dzięki czemu można go modyfikować ... Czytaj więcej dla urządzeń mobilnych Apple.

Przeciwną stroną monety jest to, że kiedy powstają wielkoskalowe błędy typu open source, mogą one mieć ogromny efekt domina. Gdyby ich oprogramowanie było zamknięte, ten sam błąd byłby znacznie mniejszym problemem i znacznie mniej prawdopodobne, że zostałby wykryty.

Jak zostało odkryte?

Błąd został odkryty przez norweskiego programistę znanego jako „bartvbl”, który niedawno kupił kamerę monitorującą DCS-5020L firmy D-Link.

Będąc kompetentnym i ciekawskim programistą, postanowił przeszukać „pod maską” kod źródłowy oprogramowania urządzenia. W nim znalazł zarówno klucze prywatne, jak i hasła potrzebne do podpisania oprogramowania.

Zaczął przeprowadzać własne eksperymenty, szybko stwierdzając, że był w stanie stworzyć system Windows aplikacja, która została podpisana przez jeden z czterech kluczy - dzięki czemu wygląda na to, że nadchodzi z D-Link. Pozostałe trzy klucze nie działały.

Podzielił się swoimi odkryciami z holenderskim serwisem informacyjnym Tweakers, który z kolei przekazał odkrycie holenderskiej firmie ochroniarskiej Fox IT.

Potwierdzili lukę, wydając następujące oświadczenie:

„Certyfikat podpisywania kodu rzeczywiście dotyczy pakietu oprogramowania układowego w wersji 1.00b03. Jego data źródła to 27 lutego tego roku, co oznacza, że ​​klucze tego certyfikatu zostały wydane na długo przed wygaśnięciem certyfikatu. To duży błąd ”.

Dlaczego to takie poważne?

Jest poważny na wielu poziomach.

Po pierwsze, Fox IT poinformowało, że w tym samym folderze znajdują się cztery certyfikaty. Certyfikaty te pochodzą od Starfield Technologies, KEEBOX Inc. i Alpha Networks. Wszystkie z nich mogły zostać wykorzystane do stworzenia złośliwego kodu, który może ominąć oprogramowanie antywirusowe Porównaj skuteczność swojego antywirusa z tymi 5 najpopularniejszymi witrynamiZ jakiego oprogramowania antywirusowego należy korzystać? Które jest najlepsze"? Poniżej przedstawiamy pięć najlepszych zasobów online do sprawdzania wydajności antywirusowej, aby pomóc ci podjąć świadomą decyzję. Czytaj więcej oraz inne tradycyjne kontrole bezpieczeństwa - w rzeczywistości większość technologii bezpieczeństwa zaufa plikom, które są podpisane i pozwolą im przejść bez pytania.

Po drugie, zaawansowane ataki uporczywe (APT) stają się coraz bardziej uprzywilejowanym sposobem działania hakerów. Prawie zawsze wykorzystują zagubione lub skradzione certyfikaty i klucze w celu podporządkowania swoich ofiar. Ostatnie przykłady obejmują Zniszcz złośliwe oprogramowanie wycieraczek Ostatni kontrowersja 2014: Sony Hack, wywiad i Korea PółnocnaCzy Korea Północna naprawdę zhakowała Sony Pictures? Gdzie są dowody? Czy ktoś inny mógł zyskać na tym ataku i jak incydent ten zyskał promocję do filmu? Czytaj więcej użyty przeciwko Sony w 2014 roku i atakowi Duqu 2.0 na chińskich producentów Apple.

Dodanie większej mocy do zbrojowni przestępcy jest oczywiste, że nie ma sensu i powraca do elementu zaufania wspomnianego na początku. Jako konsumenci potrzebujemy, aby te firmy zachowywały czujność w zakresie ochrony swoich aktywów opartych na bezpieczeństwie, aby pomóc w walce z zagrożeniem ze strony cyberprzestępców.

Kogo to dotyczy?

Szczera odpowiedź tutaj jest taka, że ​​nie wiemy.

Chociaż D-Link wydało już nowe wersje oprogramowania układowego, nie ma sposobu, aby stwierdzić, czy hakerom udało się wyodrębnić i użyć kluczy przed publicznym odkryciem bartvbl.

Mamy nadzieję, że analiza próbek złośliwego oprogramowania w serwisach takich jak VirusTotal może ostatecznie dać odpowiedź na pytanie, najpierw musimy poczekać na wykrycie potencjalnego wirusa.

Czy ten incydent budzi Twoje zaufanie do technologii?

Jakie jest twoje zdanie na temat tej sytuacji? Czy takie wady są nieuniknione w świecie technologii, czy też firmy są winne złemu podejściu do bezpieczeństwa?

Czy taki incydent zniechęciłby Cię do korzystania z produktów D-Link w przyszłości, czy zaakceptowałbyś problem i trwałby nadal?

Jak zawsze, chcielibyśmy usłyszeć od ciebie. Możesz przekazać nam swoje przemyślenia w sekcji komentarzy poniżej.

Źródło zdjęcia: Matthias Ripp przez Flickr.com