Als consumenten zijn we allemaal gedwongen om een bepaald vertrouwen te stellen in de technologiebedrijven die we gebruiken. De meesten van ons zijn tenslotte niet bekwaam genoeg om op eigen kracht beveiligingslekken en kwetsbaarheden te ontdekken.
Het debat rond privacy en de recente drukte veroorzaakt door Windows 10 Vertoont de WiFi Sense-functie van Windows 10 een beveiligingsrisico? Ondersteunt de WiFi Sense-functie van Windows 10 een beveiligingsrisico? Meer lezen is slechts een deel van de legpuzzel. Een ander - helemaal meer sinister deel - is wanneer de hardware zelf gebreken vertoont.
Een slimme computergebruiker kan zijn online aanwezigheid beheren en voldoende instellingen aanpassen om zijn privacyproblemen te beperken Alles wat u moet weten Over de privacy van Windows 10 gaat alles wat u moet weten over de privacykwesties van Windows 10 Hoewel Windows 10 enkele problemen heeft die gebruikers moeten weten van, veel claims zijn opgeblazen. Hier is onze gids voor alles wat u moet weten over de privacyproblemen van Windows 10. Meer lezen, maar een probleem met de onderliggende code van een product is ernstiger; het is veel moeilijker te herkennen en moeilijker voor een eindgebruiker om aan te pakken.
Wat is er gebeurd?
Het nieuwste bedrijf dat zich een weg weet te banen in een nachtmerrie over beveiliging is de populaire Taiwanese fabrikant van netwerkapparatuur, D-Link. Veel van onze lezers zullen hun producten thuis of op kantoor gebruiken; in maart 2008 werden ze de nummer één leverancier van Wi-Fi-producten ter wereld en hebben ze momenteel ongeveer 35 procent van de markt in handen.
Het nieuws brak eerder vandaag van blunder die het bedrijf zijn privé sleutels van de codehandtekening binnen de broncode van een recente ingebouwde programmatuurupdate liet vrijgeven. Privésleutels worden gebruikt als een manier voor een computer om te controleren of een product echt is en dat de code van het product niet is gewijzigd of beschadigd sinds het oorspronkelijk is gemaakt.
In termen van de leek betekent deze maas in de wet dat een hacker de gepubliceerde sleutels van zijn eigen programma's zou kunnen gebruiken om een computer te laten denken dat zijn of haar kwaadaardige code daadwerkelijk een D-Link-product was.
Hoe is het gebeurd?
D-Link is al heel lang trots op zijn openheid. Onderdeel van die openheid is een toezegging om al zijn firmware open te sourcen onder een licentie voor algemene openbare licenties (GPL). In de praktijk betekent dit dat iedereen toegang heeft tot de code van elk D-Link-product - waardoor ze het kunnen aanpassen en aanpassen aan hun eigen specifieke vereisten.
In theorie is het een lovenswaardige positie om te nemen. Degenen onder jullie die op de hoogte blijven van het debat tussen Apple iOS en Android, zullen zich ongetwijfeld realiseren dat een van de grootste kritieken van het in Cupertino gevestigde bedrijf hun niet-aflatende toewijding is om gesloten te blijven voor mensen die de bron graag willen aanpassen code. Dit is de reden waarom er geen aangepaste ROM's zijn, zoals Android's Cyanogen Mod. Hoe CyanogenMod op je Android-apparaat te installeren CyanogenMod op je Android-apparaat installeren Veel mensen kunnen het ermee eens zijn dat het Android-besturingssysteem behoorlijk indrukwekkend is. Het is niet alleen geweldig om te gebruiken, maar het is ook gratis als in open source, zodat het kan worden aangepast ... Lees meer voor de mobiele apparaten van Apple.
De keerzijde van de medaille is dat wanneer grootschalige open source blunders worden gemaakt, deze een enorm domino-effect kunnen hebben. Als hun firmware closed-source was, zou dezelfde fout veel minder een probleem zijn geweest en veel minder waarschijnlijk zijn ontdekt.
Hoe werd het ontdekt?
De fout werd ontdekt door een Noorse ontwikkelaar bekend als "bartvbl" die onlangs de DCS-5020L-bewakingscamera van D-Link had gekocht.
Als een competente en nieuwsgierige ontwikkelaar, besloot hij rond te snuffelen "onder de motorkap" in de broncode van het apparaat. Daarin vond hij zowel de privésleutels als de wachtzinnen die nodig waren om de software te ondertekenen.
Hij begon zijn eigen experimenten uit te voeren en ontdekte snel dat hij in staat was een Windows-applicatie te maken die werd ondertekend door een van de vier toetsen - waardoor het leek alsof hij van D-Link afkomstig was. De andere drie toetsen werkten niet.
Hij deelde zijn bevindingen met de Nederlandse tech-nieuwssite Tweakers, die de ontdekking doorliep aan het Nederlandse beveiligingsbedrijf Fox IT.
Ze bevestigden de kwetsbaarheid en gaven de volgende verklaring af:
"Het code-ondertekeningscertificaat is inderdaad voor een firmwarepakket, firmwareversie 1.00b03. De brondatum is 27 februari dit jaar, wat betekent dat de sleutels van dit certificaat zijn vrijgegeven ruim voordat het certificaat is verlopen. Het is een grote fout ".
Waarom is het zo serieus?
Het is serieus op een aantal niveaus.
Ten eerste meldde Fox IT dat er vier certificaten in dezelfde map waren. Die certificaten waren afkomstig van Starfield Technologies, KEEBOX Inc. en Alpha Networks. Allemaal hadden ze kunnen worden gebruikt om kwaadaardige code te maken die de antivirussoftware kan omzeilen Vergelijk de prestaties van uw antivirus met deze 5 topsites Vergelijk de prestaties van uw antivirus met deze 5 topsites Welke antivirussoftware zou gebruiken? Welke is het beste"? Hier bekijken we vijf van de beste online bronnen voor het controleren van antivirusprestaties, zodat u een weloverwogen beslissing kunt nemen. Meer lezen en andere traditionele beveiligingscontroles - inderdaad, de meeste beveiligingstechnologieën zullen bestanden vertrouwen die ondertekend zijn en ze zonder vragen laten passeren.
Ten tweede worden aanvallen met geavanceerde persistente dreiging (APT) een steeds meer gewenste modus operandi voor hackers. Ze maken bijna altijd gebruik van verloren of gestolen certificaten en sleutels om hun slachtoffers te onderwerpen. Recente voorbeelden zijn de Destover wiper malware 2014's Final Controversy: Sony Hack, The Interview & North Korea 2014's laatste controverse: Sony Hack, The Interview & Noord-Korea Heeft Noord-Korea Sony Pictures echt gekraakt? Waar is het bewijs? Is er iemand anders te winnen bij de aanval en hoe is het incident in promotie voor een film terechtgekomen? Read More gebruikt tegen Sony in 2014 en de Duqu 2.0-aanval op de Chinese fabrikanten van Apple.
Meer kracht toevoegen aan het arsenaal van de misdadiger is duidelijk niet verstandig en komt terug op het vertrouwenselement dat aan het begin werd genoemd. Als consumenten hebben we deze bedrijven nodig om waakzaam te zijn bij het beschermen van hun op beveiliging gebaseerde middelen om de dreiging van cybercriminelen te helpen bestrijden.
Wie heeft er last van?
Het eerlijke antwoord hier is dat we het niet weten.
Hoewel D-Link al nieuwe versies van de firmware heeft uitgebracht, is er geen manier om te vertellen of hackers erin slaagden de sleutels te extraheren en te gebruiken voorafgaand aan de openbare ontdekking van bartvbl.
Gehoopt wordt dat het analyseren van malware-samples op diensten zoals VirusTotal uiteindelijk een antwoord op de vraag kan opleveren, we moeten eerst wachten tot een mogelijk virus wordt ontdekt.
Schudt dit incident uw vertrouwen in techniek?
Wat is jouw mening over deze situatie? Zijn dit soort onvolkomenheden een onvermijdelijkheid in de wereld van de technologie, of zijn de bedrijven verantwoordelijk voor hun slechte houding ten opzichte van de veiligheid?
Zou een dergelijk incident je in de toekomst afhouden van het gebruik van D-Link-producten, of zou je het probleem accepteren en doorgaan, ongeacht?
Zoals altijd horen we graag van u. U kunt ons uw mening laten weten in de opmerkingen hieronder.
Image Credit: Matthias Ripp via Flickr.com