Ως καταναλωτές, είμαστε όλοι αναγκασμένοι να τοποθετήσουμε μια ορισμένη εμπιστοσύνη στις εταιρείες τεχνολογίας που χρησιμοποιούμε. Μετά από όλα, οι περισσότεροι από εμάς δεν είναι αρκετά ικανός να ανακαλύψει τα κενά ασφαλείας και τα τρωτά σημεία από μόνος μας.
Η συζήτηση γύρω από την προστασία της ιδιωτικής ζωής και την πρόσφατη φούσκα που προκαλείται από τα Windows 10 Το χαρακτηριστικό WiFi Sense των Windows 10 αντιπροσωπεύει έναν κίνδυνο ασφάλειας; Η λειτουργία WiFi Sense των Windows 10 αντιπροσωπεύει έναν κίνδυνο ασφάλειας; Διαβάστε περισσότερα είναι μόνο ένα μέρος του παζλ. Ένα άλλο - εντελώς πιο απειλητικό μέρος - είναι όταν το ίδιο το υλικό έχει ελαττώματα.
Ένας καταλαβαίνω χρήστης του υπολογιστή μπορεί να διαχειριστεί την παρουσία τους στο διαδίκτυο και να τροποποιήσει επαρκείς ρυθμίσεις για να περιορίσουν τις ανησυχίες τους σχετικά με την προστασία της ιδιωτικής ζωής Όλα όσα πρέπει να ξέρετε για τα θέματα προστασίας προσωπικών δεδομένων των Windows 10 Όλα όσα πρέπει να ξέρετε για θέματα προστασίας προσωπικών δεδομένων των Windows 10 Ενώ τα Windows 10 έχουν κάποια προβλήματα που πρέπει να γνωρίζουν πολλών αξιώσεων έχουν εκτονωθεί. Εδώ είναι ο οδηγός μας για όλα όσα πρέπει να ξέρετε για τα θέματα προστασίας προσωπικών δεδομένων των Windows 10. Διαβάστε περισσότερα, αλλά ένα πρόβλημα με τον υποκείμενο κώδικα ενός προϊόντος είναι πιο σοβαρό. είναι πολύ πιο δύσκολο να εντοπιστεί και πιο δύσκολο να αντιμετωπιστεί ένας τελικός χρήστης.
Τι συνέβη?
Η πιο πρόσφατη εταιρεία που παραβιάζει το δρόμο τους σε έναν εφιάλτη ασφαλείας είναι ο δημοφιλής κατασκευαστής εξοπλισμού δικτύωσης της Ταϊβάν, η D-Link. Πολλοί από τους αναγνώστες μας θα χρησιμοποιούν τα προϊόντα τους είτε στο σπίτι είτε στο γραφείο. τον Μάρτιο του 2008, έγιναν ο νούμερο ένα πωλητής προϊόντων Wi-Fi στον κόσμο και σήμερα ελέγχουν το 35% περίπου της αγοράς.
Η είδηση έσπασε νωρίτερα σήμερα το gaffe, που είδε την εταιρεία να κυκλοφορήσει τα ιδιωτικά κλειδιά υπογραφής κώδικα μέσα στον πηγαίο κώδικα μιας πρόσφατης ενημέρωσης υλικολογισμικού. Τα ιδιωτικά κλειδιά χρησιμοποιούνται ως ένας τρόπος για έναν υπολογιστή για να επαληθεύσει ότι ένα προϊόν είναι αυθεντικό και ότι ο κώδικας του προϊόντος δεν έχει αλλοιωθεί ή αλλοιωθεί από τότε που δημιουργήθηκε αρχικά.
Ως εκ τούτου, αυτό το κενό σημαίνει ότι ένας χάκερ θα μπορούσε να χρησιμοποιήσει τα δημοσιευμένα κλειδιά στα δικά του προγράμματα για να εξαπατήσει έναν υπολογιστή να σκεφτεί ότι ο κακόβουλος κώδικας του ήταν πραγματικά νόμιμος προϊόν D-Link.
Πώς συνέβη?
Η D-Link έχει βραβευτεί για το άνοιγμά της για μεγάλο χρονικό διάστημα. Μέρος αυτού του ανοίγματος είναι η δέσμευση να ανοίξει το σύνολο του υλικολογισμικού με άδεια γενικής δημόσιας άδειας (GPL). Στην πράξη, αυτό σημαίνει ότι ο καθένας μπορεί να έχει πρόσβαση στον κώδικα οποιουδήποτε προϊόντος D-Link - επιτρέποντάς του να το τσίμπημα και να το τροποποιήσει για να ταιριάζει στις δικές του συγκεκριμένες απαιτήσεις.
Θεωρητικά πρόκειται για μια αξιέπαινη θέση. Όσοι από εσάς παρακολουθείτε τη συζήτηση Apple iOS vs Android δεν θα πρέπει να γνωρίζουν ότι μία από τις μεγαλύτερες κριτικές που επικρατούσαν στην εταιρεία που εδρεύει στο Cupertino είναι η αδιάκοπη δέσμευσή τους να παραμείνουν κλειστές στους ανθρώπους που θα ήθελαν να τσιμπήσουν την πηγή κώδικας. Αυτός είναι ο λόγος για τον οποίο δεν υπάρχουν προσαρμοσμένες ROMs όπως το Cyanogen Mod Android Πώς να εγκαταστήσετε το CyanogenMod στη συσκευή σας Android Πώς να εγκαταστήσετε το CyanogenMod στη συσκευή σας Android Πολλοί άνθρωποι μπορούν να συμφωνήσουν ότι το λειτουργικό σύστημα Android είναι πολύ φοβερό. Όχι μόνο είναι υπέροχο να το χρησιμοποιήσετε, αλλά είναι επίσης δωρεάν όπως και στην ανοιχτή πηγή, έτσι ώστε να μπορεί να τροποποιηθεί ... Διαβάστε περισσότερα για τις φορητές συσκευές της Apple.
Η αντίθετη πλευρά του νομίσματος είναι ότι όταν γίνονται μεγάλες κλίμακες ανοιχτής πηγής, μπορούν να έχουν τεράστιο αποτέλεσμα. Εάν το υλικολογισμικό τους ήταν κλειστός, το ίδιο λάθος θα ήταν πολύ λιγότερο θέμα και πολύ λιγότερο πιθανό να ανακαλυφθεί.
Πώς ανακάλυψε;
Το ελάττωμα ανακαλύφθηκε από έναν Νορβηγό προγραμματιστή γνωστό ως "bartvbl" ο οποίος είχε πρόσφατα αγοράσει την κάμερα παρακολούθησης DCS-5020L της D-Link.
Ως ικανός και περίεργος προγραμματιστής, αποφάσισε να σκαρφαλώσει "κάτω από το καπό" στον πηγαίο κώδικα του υλικολογισμικού της συσκευής. Μέσα σε αυτό, βρήκε τόσο τα ιδιωτικά κλειδιά όσο και τις φράσεις πρόσβασης που απαιτούνται για την υπογραφή του λογισμικού.
Ξεκίνησε τη διεξαγωγή των δικών του πειραμάτων, διαπιστώνοντας γρήγορα ότι ήταν σε θέση να δημιουργήσει μια εφαρμογή των Windows που υπογράφηκε από ένα από τα τέσσερα κλειδιά - δίνοντάς του έτσι την εμφάνιση ότι προέρχεται από τη D-Link. Τα άλλα τρία κλειδιά δεν λειτουργούσαν.
Μοιράστηκε τα ευρήματά του με την ολλανδική τεχνολογική εταιρία Tweakers, η οποία με τη σειρά της πέρασε την ανακάλυψη στην ολλανδική εταιρεία ασφαλείας Fox IT.
Επιβεβαίωσαν την ευπάθεια, εκδίδοντας την ακόλουθη δήλωση:
"Το πιστοποιητικό υπογραφής κώδικα είναι πράγματι ένα πακέτο firmware, έκδοση firmware 1.00b03. Η πηγή δεδομένων της 27ης Φεβρουαρίου του τρέχοντος έτους, που σημαίνει ότι τα κλειδιά αυτού του πιστοποιητικού κυκλοφόρησαν πολύ πριν λήξει το πιστοποιητικό. Είναι ένα μεγάλο λάθος ".
Γιατί είναι τόσο σοβαρό;
Είναι σοβαρό σε πολλά επίπεδα.
Πρώτον, η Fox IT ανέφερε ότι υπήρχαν τέσσερα πιστοποιητικά στον ίδιο φάκελο. Αυτά τα πιστοποιητικά προήλθαν από τις Starfield Technologies, KEEBOX Inc. και Alpha Networks. Όλα αυτά θα μπορούσαν να χρησιμοποιηθούν για τη δημιουργία κακόβουλου κώδικα που έχει τη δυνατότητα να παρακάμψει το λογισμικό προστασίας από ιούς Συγκρίνετε την απόδοση του αντι-ιού σας με αυτές τις 5 κορυφαίες τοποθεσίες Συγκρίνετε την απόδοση του αντι-ιού σας με αυτές τις 5 κορυφαίες τοποθεσίες Ποιο λογισμικό προστασίας από ιούς θα πρέπει να χρησιμοποιήσετε; Ποιο ειναι το καλυτερο"? Εδώ εξετάζουμε πέντε από τους καλύτερους σε απευθείας σύνδεση πόρους για τον έλεγχο των επιδόσεων κατά των ιών, για να σας βοηθήσουμε να λάβετε τεκμηριωμένη απόφαση. Διαβάστε περισσότερα και άλλους παραδοσιακούς ελέγχους ασφαλείας - πράγματι, οι περισσότερες τεχνολογίες ασφαλείας θα εμπιστεύονται τα αρχεία που έχουν υπογραφεί και θα τους αφήσουν να περάσουν χωρίς αμφιβολία.
Δεύτερον, οι επιθέσεις προχωρημένης επίμονης απειλής (APT) γίνονται όλο και πιο ευνοημένες modus operandi για τους χάκερς. Χρησιμοποιούν σχεδόν πάντα χαμένα ή κλεμμένα πιστοποιητικά και κλειδιά για να υποτάξουν τα θύματά τους. Πρόσφατα παραδείγματα είναι η τελική διαμάχη του προγράμματος Destover wiper malware 2014: Η τελευταία διαμάχη της Sony Hack, η συνέντευξη και η Βόρεια Κορέα για το 2014: η Sony Hack, η συνέντευξη και η Βόρεια Κορέα Πού είναι τα αποδεικτικά στοιχεία; Μήπως κάποιος άλλος σταθεί να κερδίσει από την επίθεση και πώς το περιστατικό έστρεψε σε προώθηση για μια ταινία; Διαβάστε περισσότερα που χρησιμοποιούνται εναντίον της Sony το 2014 και η επίθεση Duqu 2.0 στις κινεζικές κατασκευαστές της Apple.
Η προσθήκη περισσότερης δύναμης στο οπλοστάσιο του εγκληματία είναι σαφές ότι δεν είναι λογικό και επανέρχεται στο στοιχείο εμπιστοσύνης που αναφέρθηκε στην αρχή. Ως καταναλωτές, χρειαζόμαστε αυτές τις εταιρείες να επαγρυπνούν για την προστασία των περιουσιακών στοιχείων που βασίζονται στην ασφάλεια, προκειμένου να βοηθήσουν στην καταπολέμηση της απειλής των εγκληματιών στον κυβερνοχώρο.
Ποιος επηρεάζεται;
Η ειλικρινής απάντηση είναι ότι δεν ξέρουμε.
Παρόλο που η D-Link έχει ήδη κυκλοφορήσει νέες εκδόσεις του firmware, δεν υπάρχει τρόπος να πει εάν οι χάκερ κατάφεραν να εξαγάγουν και να χρησιμοποιήσουν τα κλειδιά πριν από την δημόσια ανακάλυψη του bartvbl.
Ελπίζουμε ότι η ανάλυση των δειγμάτων κακόβουλου λογισμικού σε υπηρεσίες όπως το VirusTotal θα μπορούσε τελικά να δώσει μια απάντηση στην ερώτηση, πρέπει πρώτα να περιμένουμε να ανακαλυφθεί ένας πιθανός ιός.
Το γεγονός αυτό κλονίζει την εμπιστοσύνη σας στην τεχνολογία;
Ποια είναι η γνώμη σας για αυτή την κατάσταση; Είναι τα ελαττώματα αυτού του τύπου αναπόφευκτα στον κόσμο της τεχνολογίας ή είναι οι εταιρείες να κατηγορούν για την κακή στάση τους απέναντι στην ασφάλεια;
Μήπως ένα τέτοιο περιστατικό θα σας απομακρύνει από τη χρήση προϊόντων D-Link στο μέλλον ή θα αποδεχθήκατε το πρόβλημα και θα συνεχίσατε ανεξάρτητα;
Όπως πάντα, θα θέλαμε να σας ακούσουμε. Μπορείτε να μας ενημερώσετε για τις σκέψεις σας στην παρακάτω ενότητα σχολίων.
Image Credit: Matthias Ripp μέσω του Flickr.com