D-Link-knappar Blunder sätter alla i riskzonen

Annons

Som konsumenter tvingas vi alla att lita ett visst förtroende på de teknologiföretag som vi använder. När allt kommer omkring är de flesta av oss inte tillräckligt duktiga för att upptäcka säkerhetsslingor och sårbarheter på egen hand.

Debatten kring integritet och den senaste tiden furor orsakad av Windows 10 Representerar Windows 10s WiFi Sense-funktion en säkerhetsrisk? Läs mer är bara en del av pusseln. En annan - helt meningsfullare del - är när hårdvaran själv har brister.

En smart datoranvändare kan hantera sin online-närvaro och justera tillräckliga inställningar till begränsa deras integritetsfrågor Allt du behöver veta om Windows 10: s sekretessproblemÄven om Windows 10 har några problem som användare måste vara medvetna om, har många påståenden blivit inaktuella. Här är vår guide till allt du behöver veta om Windows 10s sekretessproblem. Läs mer , men ett problem med den underliggande koden för en produkt är allvarligare; det är mycket svårare att upptäcka och tuffare för en slutanvändare att ta itu med.

Vad har hänt?

Det senaste företaget som slog sig in i en säkerhetsmardröm är den populära taiwanesiska tillverkaren av nätverksutrustning, D-Link. Många av våra läsare kommer att använda sina produkter antingen hemma eller på kontoret; i mars 2008 blev de den största leverantören av Wi-Fi-produkter i världen, och de kontrollerar för närvarande cirka 35 procent av marknaden.

Nyheter bröt tidigare i dag av gaffe som såg att företaget släppte sina privata kodsignaler i källkoden för en ny firmwareuppdatering. Privata nycklar används som ett sätt för en dator att verifiera att en produkt är äkta och att produktkoden inte har ändrats eller skadats sedan den ursprungligen skapades.

I lekmannens villkor betyder därför detta kryphål att en hackare kan använda de publicerade nycklarna på egen hand program för att lura en dator att tro att hans eller hennes skadliga kod faktiskt var legitim en D-Link produkt.

Hur hände det?

D-Link har stolt på sin öppenhet under lång tid. En del av denna öppenhet är ett åtagande att öppna alla sina firmware under en GPL-licens (General Public License). I praktiken betyder det att vem som helst kan komma åt koden för alla D-Link-produkter - vilket gör att de kan finjustera och ändra den för att passa sina egna exakta krav.

I teorin är det en prisvärdig ståndpunkt att ta. De av er som håller sig à jour med Apple iOS vs Android-debatten kommer utan tvekan att vara medvetna om att en av de största kritikernas nivå på det Cupertino-baserade företaget är deras oöverträffade åtagande att förbli avstängd för människor som vill justera källan koda. Det är anledningen till att det inte finns några anpassade ROM: er Android: s Cyanogen Mod Hur du installerar CyanogenMod på din Android-enhetMånga kan hålla med om att Android-operativsystemet är ganska fantastiskt. Det är inte bara bra att använda, utan det är också gratis som i open source, så att det kan modifieras ... Läs mer för Apples mobila enheter.

Den motsatta sidan av myntet är att när storskaliga öppen källkodsspridare görs kan de ha en enorm knock-on-effekt. Om deras firmware var stängd skulle samma misstag ha varit mycket mindre problem och mycket mindre troligt att ha upptäckts.

Hur upptäcktes det?

Bristen upptäcktes av en norsk utvecklare känd som "bartvbl" som nyligen hade köpt D-Links DCS-5020L övervakningskamera.

Han var en kompetent och nyfiken utvecklare och bestämde sig för att titta runt "under motorhuven" i enhetens källkod för firmware. Inom den hittade han både de privata nycklarna och lösenfraser som behövs för att signera programvaran.

Han började genomföra sina egna experiment och fann snabbt att han kunde skapa ett Windows ansökan som undertecknades av en av de fyra nycklarna - vilket därmed visade att det kom från D-Link. De andra tre nycklarna fungerade inte.

Han delade sina resultat med den nederländska tekniska nyhetswebbplatsen Tweakers, som i sin tur överförde upptäckten till det nederländska säkerhetsföretaget Fox IT.

De bekräftade sårbarheten och utfärdade följande uttalande:

”Kodsigneringscertifikatet är verkligen för ett firmwarepaket, firmwareversion 1.00b03. Källdatum 27 februari i år, vilket innebär att certifikatets nycklar släpptes långt innan certifikatet löpt ut. Det är ett stort misstag.

Varför är det så allvarligt?

Det är allvarligt på flera nivåer.

För det första rapporterade Fox IT att det fanns fyra certifikat i samma mapp. Dessa certifikat kom från Starfield Technologies, KEEBOX Inc. och Alpha Networks. Alla av dem kunde ha använts för att skapa skadlig kod som har möjlighet att kringgå antivirusprogram Jämför ditt antivirusprestanda med dessa 5 toppsidorVilken antivirusprogram ska användas? Vilken är bäst"? Här tittar vi på fem av de bästa resurserna online för att kontrollera antivirusprestanda, för att hjälpa dig att fatta ett välgrundat beslut. Läs mer och andra traditionella säkerhetskontroller - de flesta säkerhetstekniker litar faktiskt på filer som är signerade och låter dem passera utan ifrågasättande.

För det andra, avancerade APT-attacker blir ett alltmer gynnat modus operandi för hackare. De använder nästan alltid förlorade eller stulna certifikat och nycklar för att underkasta sina offer. Nya exempel inkluderar Destover wiper malware 2014 sista kontrovers: Sony Hack, The Interview & North KoreaHackade Nordkorea verkligen Sony Pictures? Var är bevisen? Stod någon annan att dra nytta av attacken, och hur blev incidenten snurrad till reklam för en film? Läs mer användes mot Sony 2014 och Duqu 2.0-attacken mot Apples kinesiska tillverkare.

Att lägga till mer makt till brottslingens armé är tydligt inte förnuftigt och kommer tillbaka till det förtroende som nämndes i början. Som konsumenter behöver vi dessa företag vara vaksamma när det gäller att skydda sina säkerhetsbaserade tillgångar för att hjälpa till att bekämpa hotet från cyberbrottslingar.

Vem påverkas?

Det ärliga svaret här är att vi inte vet det.

Även om D-Link redan har släppt nya versioner av firmware, finns det inget sätt att säga om hackare lyckades extrahera och använda nycklarna före bartvbls offentliga upptäckt.

Man hoppas att analys av skadlig kodprover på tjänster som VirusTotal i slutändan kan ge ett svar på frågan, vi måste först vänta på att ett potentiellt virus kan upptäckas.

Skakar denna incident ditt förtroende för teknik?

Vad är din åsikt om den här situationen? Är brister som detta en oundviklighet i teknikvärlden, eller är det företagen som har skylden för deras dåliga inställning till säkerhet?

Skulle en sådan händelse hindra dig med att använda D-Link-produkter i framtiden, eller skulle du acceptera problemet och fortsätta oavsett?

Som alltid vill vi gärna höra från dig. Du kan låta oss veta dina tankar i kommentarerna nedan.

Bildkredit: Matthias Ripp via Flickr.com