D-Link-nøkler Blunder setter alle i faresonen

Annonse

Som forbrukere er vi alle tvunget til å sette en viss grad av tillit til teknologiselskapene vi bruker. Tross alt er de fleste av oss ikke dyktige nok til å oppdage smutthull og sikkerhetsproblemer på egen hånd.

Debatten rundt personvern og den siste furor forårsaket av Windows 10 Representerer Windows 10s WiFi Sense-funksjon en sikkerhetsrisiko? Les mer er bare en del av stikksagen. En annen - helt mer uhyggelig del - er når maskinvaren i seg selv har feil.

En kunnskapsrik datamaskinbruker kan administrere sin online tilstedeværelse og finjustere tilstrekkelige innstillinger til begrense deres personvernhensyn Alt du trenger å vite om Windows 10s personvernproblemerSelv om Windows 10 har noen problemer som brukere trenger å være klar over, er mange påstander blitt blåst ut av proporsjoner. Her er vår guide til alt du trenger å vite om Windows 10s personvernproblemer. Les mer , men et problem med den underliggende koden til et produkt er mer alvorlig; det er mye vanskeligere å oppdage og tøffere for en sluttbruker å adressere.

Hva har skjedd?

Det siste selskapet som fliset inn i et sikkerhetsmareritt, er den populære taiwanske produsenten av nettverksutstyr, D-Link. Mange av leserne våre vil bruke produktene sine enten hjemme eller på kontoret; i mars 2008 ble de den største leverandøren av Wi-Fi-produkter i verden, og de kontrollerer i dag rundt 35 prosent av markedet.

Nyheter brøt tidligere i dag om gaffe som så firmaet gi ut sine private kodesigneringsnøkler i kildekoden til en fersk firmwareoppdatering. Private nøkler brukes som en måte for en datamaskin å bekrefte at et produkt er ekte, og at koden til produktet ikke har blitt endret eller ødelagt siden det opprinnelig ble opprettet.

I lekmannsbetingelser betyr derfor dette smutthullet at en hacker kan bruke de publiserte nøklene på egenhånd programmer for å lure en datamaskin til å tro at hans eller hennes ondsinnede kode faktisk var legitim en D-Link produkt.

Hvordan skjedde det?

D-Link har stolt på sin åpenhet i lang tid. En del av den åpenheten er en forpliktelse til å åpne sourcing av all firmware under en GPL-lisens (General Public License). I praksis betyr det at hvem som helst kan få tilgang til koden til ethvert D-Link-produkt - slik at de kan finjustere og endre den for å passe til sine egne presise krav.

I teorien er det en prisverdig posisjon å ta. De av dere som følger med på debatten om Apple iOS vs Android, vil uten tvil være klar over at en av de største kritikkene utjevnet hos det Cupertino-baserte selskapet er deres urokkelige forpliktelse til å forbli stengt for folk som ønsker å finpusse kilden kode. Det er grunnen til at det ikke er noen tilpassede ROM-er som Android's Cyanogen Mod Slik installerer du CyanogenMod på din Android-enhetMange mennesker kan være enige i at Android-operativsystemet er ganske fantastisk. Ikke bare er det flott å bruke, men det er også gratis som i åpen kildekode, slik at det kan endres ... Les mer for Apples mobile enheter.

Den motsatte siden av mynten er at når storskala open source blunders lages, kan de ha en enorm knock-on-effekt. Hvis firmware deres var lukket, ville den samme feilen vært mye mindre problematisk og langt mindre sannsynlig å ha blitt oppdaget.

Hvordan ble det oppdaget?

Feilen ble oppdaget av en norsk utvikler kjent som “bartvbl” som nylig hadde kjøpt D-Links DCS-5020L overvåkningskamera.

Som en kompetent og nysgjerrig utvikler bestemte han seg for å pirke rundt "under panseret" i enhetens firmwarekildekode. Innenfor det fant han både de private nøklene og passordene som var nødvendige for å signere programvaren.

Han begynte å utføre sine egne eksperimenter, og fant raskt ut at han var i stand til å lage et Windows applikasjon som ble signert av en av de fire nøklene - og dermed gi den utseendet at den kom fra D-Link. De tre andre tastene fungerte ikke.

Han delte funnene sine med det nederlandske teknisk nyhetsnettstedet Tweakers, som det ble gitt funnet videre til det nederlandske sikkerhetsfirmaet Fox IT.

De bekreftet sårbarheten, og ga ut følgende uttalelse:

“Kodesigneringssertifikatet er faktisk for en firmwarepakke, firmwareversjon 1.00b03. Kildedato 27. februar i år, noe som betyr at nøkkelene til dette sertifikatet ble utgitt i god tid før sertifikatet gikk ut. Det er en stor feil ”.

Hvorfor er det så alvorlig?

Det er alvorlig på flere nivåer.

For det første rapporterte Fox IT at det var fire sertifikater i samme mappe. Disse sertifikatene kom fra Starfield Technologies, KEEBOX Inc. og Alpha Networks. Alle av dem kunne ha blitt brukt til å lage ondsinnet kode som har muligheten til å omgå antivirus programvare Sammenlign Anti-Virus ytelse med disse 5 toppsideneHvilken antivirusprogramvare skal bruke? Hvilken er den "beste"? Her tar vi en titt på fem av de beste online ressursene for å sjekke anti-virus ytelse, for å hjelpe deg med å ta en informert beslutning. Les mer og andre tradisjonelle sikkerhetskontroller - faktisk vil de fleste sikkerhetsteknologier stole på filer som er signert og la dem passere uten spørsmål.

For det andre blir avanserte angrep (APT) angrep på en stadig mer favorisert modus operandi for hackere. De benytter seg nesten alltid av tapte eller stjålne attester og nøkler for å underkue seg ofrene. Nylige eksempler inkluderer Destover wiper malware 2014s endelige kontrovers: Sony Hack, The Interview & North KoreaHakk Nord-Korea virkelig Sony Pictures? Hvor er bevisene? Var det noen andre som tjente på angrepet, og hvordan ble hendelsen spunnet til promotering for en film? Les mer brukt mot Sony i 2014 og Duqu 2.0-angrepet på Apples kinesiske produsenter.

Å tilføre mer makt til den kriminelle våpenforsvaret er tydelig ikke fornuftig, og kommer tilbake til det elementet av tillit som ble nevnt i starten. Som forbrukere trenger vi at disse selskapene er årvåken når det gjelder å beskytte sikkerhetsbaserte eiendeler for å bidra til å bekjempe trusselen fra nettkriminelle.

Hvem er berørt?

Det ærlige svaret her er at vi ikke vet.

Selv om D-Link allerede har utgitt nye versjoner av firmware, er det ingen måte å si fra om hackere klarte å trekke ut og bruke nøklene før bartvbls offentlige oppdagelse.

Man håper at å analysere malware-prøver på tjenester som VirusTotal til slutt kan gi et svar på spørsmålet, vi må først vente på at et potensielt virus blir oppdaget.

Rister denne hendelsen din tillit til teknikk?

Hva er din mening om denne situasjonen? Er mangler som dette en uunngåelighet i teknologiens verden, eller er selskapene skylden for deres dårlige holdning til sikkerhet?

Skulle en slik hendelse sette deg ut av å bruke D-Link-produkter i fremtiden, eller vil du akseptere problemet og fortsette uansett?

Som alltid vil vi gjerne høre fra deg. Du kan gi oss beskjed om tankene dine i kommentarfeltet nedenfor.

Bildekreditt: Matthias Ripp via Flickr.com