Forside Sikkerhed D-Link-taster Blunder sætter alle i fare

D-Link-taster Blunder sætter alle i fare

  • Harry James
  • 0
  • 2260
  • 3
Reklame

Som forbrugere er vi alle tvunget til at stille en vis tillid til de teknologiselskaber, vi bruger. Når alt kommer til alt er de fleste af os ikke dygtige nok til at opdage sikkerhedsløjfer og sårbarheder på egen hånd.

Debatten om privatlivets fred og den nylige ild, som skyldes Windows 10, repræsenterer Windows 10's WiFi Sense Feature en sikkerhedsrisiko? Er Windows 10's WiFi Sense-funktion en sikkerhedsrisiko? er kun en del af puslespillet. En anden - helt mere uhyggelig del - er, når selve hardwaren har mangler.

En erfaren computerbruger kan administrere deres online tilstedeværelse og finjustere tilstrækkelige indstillinger til at begrænse deres privatlivspolitiske problemer Alt hvad du behøver at vide om Windows 10s privatlivsproblemer Alt hvad du behøver at vide om Windows 10s privatlivsproblemer Mens Windows 10 har nogle problemer, som brugerne skal være opmærksomme på af, mange påstande er blevet sprængt ud af proportioner. Her er vores guide til alt hvad du har brug for at vide om Windows 10's privatlivspolitiske problemer. , men et problem med den underliggende kode for et produkt er mere alvorligt; det er meget vanskeligere at få øje på og hårdere for en slutbruger at adressere.

Hvad er der sket?

Det seneste selskab, der fløjter sig ind i et sikkerheds mareridt, er den populære taiwanesiske producent af netværksudstyr, D-Link. Mange af vores læsere vil bruge deres produkter enten hjemme eller på kontoret; i marts 2008 blev de verdens største leverandør af Wi-Fi-produkter i verden, og de kontrollerer i øjeblikket omkring 35 procent af markedet.

Nyheder brød tidligere i dag af gaffe, som så firmaet frigive sin private kodesignaturnøgler inde i kildekoden til en nylig firmwareopdatering. Private nøgler bruges som en måde for en computer at bekræfte, at et produkt er ægte, og at produktets kode ikke er ændret eller ødelagt, siden det oprindeligt blev oprettet.

I lægmannsbetingelser betyder dette smuthul derfor, at en hacker kunne bruge de offentliggjorte nøgler på deres egne programmer til at narre en computer til at tro, at hans eller hendes ondsindede kode faktisk var legitim for et D-Link-produkt.

Hvordan skete det?

D-Link har stolt på sin åbenhed i lang tid. En del af denne åbenhed er en forpligtelse til at åbne sourcing af al dens firmware under en General Public License (GPL) -licens. I praksis betyder det, at enhver kan få adgang til koden til ethvert D-Link-produkt - hvilket giver dem mulighed for at finpusse og ændre den, så de passer til deres egne nøjagtige krav.

I teorien er det en prisværdig position at tage. De af jer, der holder sig ajour med Apple iOS vs Android-debatten, vil uden tvivl være opmærksomme på, at en af ​​de største kritikker, der er rettet mod det Cupertino-baserede selskab, er deres urokkelige forpligtelse til at forblive lukket for folk, der gerne vil justere kilden kode. Det er grunden til, at der ikke er nogen brugerdefinerede ROM, som Android's Cyanogen Mod. Sådan installeres CyanogenMod på din Android-enhed Sådan installeres CyanogenMod på din Android-enhed Mange mennesker kan være enige om, at Android-operativsystemet er temmelig fantastisk. Det er ikke kun godt at bruge, men det er også gratis som i open source, så det kan ændres ... til Apples mobile enheder.

Den modsatte side af mønten er, at når der laves storskala open source-tabletter, kan de have en enorm knock-on-effekt. Hvis deres firmware var lukket, ville den samme fejl have været meget mindre af et problem og langt mindre sandsynligt at være blevet opdaget.

Hvordan blev det opdaget?

Fejlen blev opdaget af en norsk udvikler kendt som “bartvbl” der for nylig havde købt D-Links DCS-5020L overvågningskamera.

Som en kompetent og nysgerrig udvikler besluttede han at pirke rundt “under motorhjelmen” i enhedens firmwarekildekode. Inden i det fandt han både de private nøgler og de adgangssætninger, der var nødvendige for at underskrive softwaren.

Han begyndte at udføre sine egne eksperimenter, og hurtigt fandt han ud af, at han var i stand til at oprette en Windows-applikation, der var underskrevet af en af ​​de fire nøgler - og dermed gav det udseendet, at det kom fra D-Link. De andre tre nøgler fungerede ikke.

Han delte sine konklusioner med det hollandske tech-nyhedswebsted Tweakers, som det igen overførte opdagelsen til det hollandske sikkerhedsfirma Fox IT.

De bekræftede sårbarheden og udsendte følgende erklæring:

“Kodesigneringscertifikatet er faktisk til en firmwarepakke, firmwareversion 1.00b03. Kildedato den 27. februar i år, hvilket betyder, at dette certifikats nøgler blev frigivet, længe før certifikatet udløb. Det er en stor fejltagelse”.

Hvorfor er det så alvorligt?

Det er alvorligt på flere niveauer.

For det første rapporterede Fox IT, at der var fire certifikater i den samme mappe. Disse certifikater kom fra Starfield Technologies, KEEBOX Inc. og Alpha Networks. Alle af dem kunne have været brugt til at oprette ondsindet kode, der har evnen til at omgå antivirus-software Sammenlign din anti-virus 'ydelse med disse 5 topsider Sammenlign din anti-virus' ydelse med disse 5 topsider Hvilken antivirus-software skal bruge? Hvilken er den "bedste"? Her ser vi på fem af de bedste online ressourcer til kontrol af anti-virus-ydeevne for at hjælpe dig med at tage en informeret beslutning. og andre traditionelle sikkerhedskontroller - de fleste sikkerhedsteknologier vil faktisk stole på filer, der er underskrevet og lade dem passere uden spørgsmål.

For det andet bliver avancerede vedvarende trusselangreb (APT) angreb en stadig mere foretrukken modus operandi for hackere. De gør næsten altid brug af mistede eller stjålne certifikater og nøgler for at underkaste deres ofre. Nye eksempler inkluderer Destover-visker malware 2014's endelige kontrovers: Sony Hack, Interviewet og Nordkorea 2014's Final Controversy: Sony Hack, Interviewet og Nordkorea Hackede Nordkorea virkelig Sony Pictures? Hvor er beviserne? Var det en anden, der tjente på angrebet, og hvordan blev hændelsen spundet til promovering til en film? brugt mod Sony i 2014 og Duqu 2.0-angrebet på Apples kinesiske producenter.

At tilføje mere magt til den kriminelle bevæbning er tydelig ikke fornuftig og kommer tilbage til det element af tillid, der blev nævnt i starten. Som forbrugere har vi brug for, at disse virksomheder er opmærksomme på at beskytte deres sikkerhedsbaserede aktiver for at hjælpe med at bekæmpe truslen fra cyberkriminelle.

Hvem er berørt?

Det ærlige svar her er, at vi ikke ved.

Selvom D-Link allerede har frigivet nye versioner af firmwaren, er der ingen måde at fortælle, om hackere formåede at udtrække og bruge tasterne inden bartvbls offentlige opdagelse.

Man håber, at analyse af malware-prøver på tjenester som VirusTotal i sidste ende kan give et svar på spørgsmålet, vi skal først vente på, at der opdages en potentiel virus.

Rystes denne hændelse din tillid til teknik?

Hvad er din mening om denne situation? Er mangler som dette en uundgåelighed i teknologiens verden, eller er virksomhederne skylden for deres dårlige holdning til sikkerhed?

Ville en sådan hændelse udsætte dig for at bruge D-Link-produkter i fremtiden, eller ville du acceptere problemet og fortsætte uanset?

Som altid vil vi meget gerne høre fra dig. Du kan fortælle os dine tanker i kommentarfeltet nedenfor.

Billedkredit: Matthias Ripp via Flickr.com




Endnu ingen kommentarer

Hvad er opskalering? Hvordan virker det? Er det det værd?
Teknologi forklaret
Sådan øges din Wi-Fi-signal 6 metoder
Teknologi forklaret
Det bedste 18650 batteri og hvordan man undgår at købe forfalskninger
Teknologi forklaret
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.