„D-Link“ klavišų suklydimas kelia pavojų visiems

Skelbimas

Kaip vartotojai, mes visi esame priversti tam tikru mastu pasitikėti mūsų naudojamomis technologijų įmonėmis. Galų gale, dauguma iš mūsų nėra pakankamai įgudę patys išsiaiškinti saugumo spragų ir pažeidžiamumų.

Diskusijos apie privatumą ir naujausios furor, kurį sukėlė „Windows 10“ Ar „Windows 10“ „WiFi Sense“ funkcija kelia pavojų saugumui? Skaityti daugiau yra tik viena dėlionės dalis. Kita - visiškai grėsmingesnė dalis - yra tada, kai pati aparatūra turi trūkumų.

Patikimas kompiuterio vartotojas gali valdyti savo buvimą internete ir pataisyti pakankamus nustatymus apriboti jų susirūpinimą dėl privatumo Viskas, ką reikia žinoti apie „Windows 10“ privatumo problemasNors „Windows 10“ turi keletą problemų, kurias vartotojams reikia žinoti, daugelis pretenzijų buvo išpūstos per daug. Čia yra mūsų vadovas visko, ką reikia žinoti apie „Windows 10“ privatumo problemas. Skaityti daugiau , tačiau pagrindinio produkto kodo problema yra rimtesnė; tai žymiai sunkiau pastebėti, o galutiniam vartotojui - sunkiau.

Kas nutiko?

Naujausia kompanija, sukliudžiusi į saugumo košmarą, yra populiari Taivano tinklo įrangos gamintoja „D-Link“. Daugelis mūsų skaitytojų savo gaminius naudos namuose arba biure; 2008 m. kovo mėn. jie tapo pirmuoju „Wi-Fi“ produktų pardavėju pasaulyje ir šiuo metu kontroliuoja apie 35 procentus rinkos.

Šiandien „Gaffe“ žiniasklaidoje pasirodė žinios, kad įmonė išleido privataus kodo pasirašymo raktus naujausio programinės įrangos naujinio šaltinio kode. Asmeniniai raktai yra naudojami kaip būdas kompiuteriui patikrinti, ar produktas yra tikras ir ar produkto kodas nebuvo pakeistas ar sugadintas nuo tada, kai jis buvo sukurtas.

Taigi, pasauliečiams tariant, ši spraga reiškia, kad įsilaužėlis galėjo savarankiškai naudoti paskelbtus raktus programos apgauti kompiuterį manydamos, kad jo kenkėjiškas kodas iš tikrųjų buvo teisėtas D-Link produktas.

Kaip tai nutiko?

„D-Link“ ilgą laiką didžiuojasi savo atvirumu. Dalis šio atvirumo yra įsipareigojimas atidaryti programinės įrangos programinę įrangą pagal „General Public License“ (GPL) licenciją. Praktiškai tai reiškia, kad kiekvienas gali prieiti prie bet kurio „D-Link“ produkto kodo - tai leidžia jį patikslinti ir pakeisti pagal savo tikslius reikalavimus.

Teoriškai tai yra pagirtina pozicija. Tie iš jūsų, kurie neatsilieka nuo „Apple iOS“ ir „Android“ diskusijų, be abejo, žinos, kad viena didžiausių priekaištų „Cupertino“ įsikūrusioje įmonėje yra jų tvirtas pasiryžimas likti uždaram žmonėms, kurie norėtų pataisyti šaltinį kodas. Tai yra priežastis, kodėl nėra tokių tinkintų ROM „Android“ „Cyanogen Mod“ Kaip įdiegti „CyanogenMod“ „Android“ įrenginyjeDaugybė žmonių gali sutikti, kad „Android“ operacinė sistema yra gana nuostabi. Tai ne tik puiku naudoti, bet ir nemokama, kaip ir atvirojo kodo, kad jį būtų galima modifikuoti ... Skaityti daugiau skirtas „Apple“ mobiliesiems įrenginiams.

Priešinga medalio pusė yra ta, kad, sukūrus didelio masto atvirojo kodo suklydimus, jie gali turėti didžiulį paspaudimo efektą. Jei jų programinė įranga būtų buvusi uždarojo kodo, ta pati klaida būtų buvusi daug mažiau aktuali ir daug mažiau tikėtina, kad ji būtų aptikta.

Kaip jis buvo atrastas?

Trūkumą atrado norvegų kūrėjas, žinomas kaip „bartvbl“, neseniai įsigijęs „D-Link“ stebėjimo kamerą DCS-5020L.

Būdamas kompetentingas ir smalsus kūrėjas, jis nusprendė pasislėpti „po varikliu“ įrenginio programinės įrangos šaltinio kode. Joje jis rado ir privačių raktų, ir slaptafrazių, reikalingų programinei įrangai pasirašyti.

Jis pradėjo vykdyti savo eksperimentus, greitai sužinojęs, kad sugeba sukurti „Windows“ paraiška, kurią pasirašė vienas iš keturių raktų - tokiu būdu jai atrodo, kad ji ateina iš „D-Link“. Kiti trys raktai neveikė.

Jis pasidalino savo pastebėjimais su Nyderlandų technologijų naujienų svetaine „Tweakers“, kuri savo atradimą perdavė Nyderlandų saugumo įmonei „Fox IT“.

Jie patvirtino pažeidžiamumą, paskelbdami šį pareiškimą:

„Kodo pasirašymo sertifikatas iš tikrųjų yra programinės-aparatinės įrangos paketui, programinės-aparatinės įrangos versijai 1.00b03. Jo išleidimo data yra šių metų vasario 27 d., Tai reiškia, kad šio sertifikato raktai buvo išleisti dar gerokai iki sertifikato galiojimo pabaigos. Tai didelė klaida “.

Kodėl ji tokia rimta?

Tai rimta daugeliu lygių.

Pirmiausia „Fox IT“ pranešė, kad tame pačiame aplanke yra keturi sertifikatai. Šiuos sertifikatus gavo „Starfield Technologies“, „KEEBOX Inc.“ ir „Alpha Networks“. Visi jie galėjo būti naudojami kuriant kenksmingą kodą, kurį galima apeiti antivirusinė programinė įranga Palyginkite savo antivirusinės programos našumą su šiomis 5 geriausiomis svetainėmisKuri antivirusinė programinė įranga turėtų būti naudojama? Kuris yra „geriausias“? Čia apžvelgsime penkis geriausius internetinius išteklius, skirtus patikrinti antivirusinius veiksmus, kad padėtume priimti pagrįstą sprendimą. Skaityti daugiau ir kiti tradiciniai saugumo patikrinimai - iš tikrųjų dauguma saugumo technologijų patikės pasirašytais failais ir leis jiems praeiti be jokių abejonių.

Antra, išplėstinės nuolatinės grėsmės (APT) atakos tampa vis palankesniu įsilaužėlių modus operandi. Jie beveik visada naudojasi pamestais ar pavogtais pažymėjimais ir raktais, norėdami pavergti savo aukas. Naujausi pavyzdžiai yra „Destover“ valytuvo kenkėjiška programa 2014 m. Baigiamasis ginčas: „Sony Hack“, „Interviu“ ir Šiaurės KorėjaAr Šiaurės Korėja tikrai nulaužė „Sony Pictures“? Kur yra įrodymai? Ar dar kas nors pasinaudojo išpuoliu ir kaip šis įvykis paskatino filmo reklamą? Skaityti daugiau panaudota prieš „Sony“ 2014 m. ir „Duqu 2.0“ ataką prieš Kinijos „Apple“ gamintojus.

Akivaizdu, kad neprotinga pridėti daugiau nusikaltėlio ginkluotės ginklų, jis grįžta prie pradžioje minėto pasitikėjimo elemento. Mums, vartotojams, reikia, kad šios įmonės budriai saugotų savo saugumu pagrįstą turtą, kad padėtų kovoti su kibernetinių nusikaltėlių grėsme.

Kas yra paveiktas?

Sąžiningas atsakymas yra tas, kad mes nežinome.

Nors „D-Link“ jau išleido naujas programinės aparatinės įrangos versijas, nėra galimybės pasakyti, ar įsilaužėliams pavyko išgauti ir naudoti raktus prieš viešą „bartvbl“ atradimą.

Tikimasi, kad analizuojant kenkėjiškų programų pavyzdžius tokiose paslaugose kaip „VirusTotal“ galiausiai bus gautas atsakymas į klausimą, pirmiausia turime palaukti, kol bus aptiktas galimas virusas.

Ar šis įvykis sukrėtė jūsų pasitikėjimą technika?

Kokia jūsų nuomonė apie šią situaciją? Ar tokie trūkumai yra neišvengiami reiškiniai technologijų pasaulyje, ar dėl to blogas požiūris į saugumą yra kaltos įmonės?

Ar dėl vieno tokio įvykio ateityje neteksite „D-Link“ produktų naudojimo, ar sutiktumėte su problema ir tęstumėtės toliau?

Kaip visada, norėtume išgirsti jus. Galite pranešti mums apie savo mintis žemiau esančiame komentarų skyriuje.

Vaizdo kreditas: Matthiasas Rippas per Flickr.com