פרסומת

כצרכנים, כולנו נאלצים לשים אמון מסוים בחברות הטכנולוגיה בהן אנו משתמשים. אחרי הכל, רובנו לא מיומנים מספיק כדי לגלות פרצות אבטחה ופגיעויות בכוחות עצמנו.

הוויכוח סביב הפרטיות והזמן האחרון זעם שנגרם על ידי Windows 10 האם תכונת ה- WiFi Sense של Windows 10 מייצגת סיכון אבטחה? קרא עוד הוא רק חלק אחד של הפאזל. חלק אחר - חלק יותר מוחלט - הוא כאשר לחומרה עצמה יש פגמים.

משתמש מחשב מתמצא יכול לנהל את הנוכחות המקוונת שלו ולהגדיר מספיק הגדרות להגביל את חששות הפרטיות שלהם כל מה שאתה צריך לדעת על בעיות הפרטיות של Windows 10בעוד של- Windows 10 יש כמה בעיות שמשתמשים צריכים להיות מודעים אליהם, טענות רבות פוצצו ללא פרופורציה. להלן המדריך שלנו לכל מה שאתה צריך לדעת על בעיות הפרטיות של Windows 10. קרא עוד , אך בעיה בקוד הבסיסי של מוצר חמורה יותר; הרבה יותר קשה לאתר, וקשה יותר למשתמש קצה להתייחס אליו.

מה קרה?

החברה האחרונה שהפכה את דרכה לסיוט ביטחוני היא יצרנית ציוד הרשת הטייוואנית הפופולרית, D-Link. רבים מהקוראים שלנו ישתמשו במוצריהם בבית או במשרד; במארס 2008 הם הפכו להיות הספק מספר 1 של מוצרי Wi-Fi בעולם, והם שולטים כיום בכ- 35 אחוז מהשוק.

instagram viewer
קוד dlink

חדשות פרצו מוקדם יותר היום על גאפה שראתה שהמשרד משחרר את מפתחות החתימה על הקוד הפרטי שלה בתוך קוד המקור של עדכון קושחה שנערך לאחרונה. מפתחות פרטיים משמשים כדרך למחשב לאמת שמוצר אמיתי ושקוד המוצר לא השתנה או פגום מאז שנוצר במקור.

במונחי הדיוט, איפוא פירצה זו פירושה שהאקר יכול להשתמש במפתחות שפורסמו בעצמם תוכניות כדי להערים על מחשב לחשוב שהקוד הזדוני שלו או שלה היה למעשה לגיטימי D-Link מוצר.

איך זה קרה?

D-Link התגאה בפתיחותו במשך זמן רב. חלק מפתיחות זו היא התחייבות למקור פתוח לכל הקושחה שלה תחת רישיון כללי לציבור (GPL). בפועל זה אומר שכל אחד יכול לגשת לקוד של כל מוצר D-Link - מה שמאפשר לו לצבוט ולתקן אותו כך שיתאים לדרישות המדויקות שלו.

בתיאוריה זו עמדה ראויה לשבח לנקוט. אלה מכם אשר מתעדכנים בוויכוח Apple iOS לעומת אנדרואיד, ללא ספק יהיו מודעים לכך שאחת הביקורות הגדולות ביותר בחברה מבוססת קופרטינו היא המחויבות הבלתי נסבלת שלהם להישאר סגורה בפני אנשים שרוצים לצבוט את המקור קוד. זו הסיבה לכך שאין ROM מותאם אישית כמו ה- Cyanogen Mod של אנדרואיד כיצד להתקין CyanogenMod בהתקן ה- Android שלךהרבה אנשים יכולים להסכים שמערכת ההפעלה אנדרואיד די מדהימה. לא רק שהוא נהדר לשימוש, אלא שהוא גם בחינם כמו בקוד פתוח, כך שניתן לשנות אותו ... קרא עוד עבור המכשירים הניידים של אפל.

הצד ההפוך של המטבע הוא שכאשר מתבצעות שגיאות קוד פתוח בקנה מידה גדול, הן יכולות להיות בעלות אפקט דפוק ענק. אם הקושחה שלהם הייתה מקור סגור, אותה טעות הייתה הרבה פחות נושא והרבה פחות סביר שהיא הייתה מתגלה.

איך התגלה?

הפגם התגלה על ידי מפתח נורווגי המכונה "bartvbl" שרכש לאחרונה את מצלמת המעקב DCS-5020L של D-Link.

בהיותו מפתח מיומן וסקרן, הוא החליט להתבונן "מתחת למכסה המנוע" בקוד המקור של הקושחה של המכשיר. בתוכו הוא מצא גם את המפתחות הפרטיים וגם את ביטויי הסיסמה הדרושים כדי להחתים את התוכנה.

הוא החל לערוך ניסויים משלו, ומצא במהירות שהוא מסוגל ליצור חלונות יישום שנחתם על ידי אחד מארבעת המפתחות - ובכך נותן לו את המראה שהוא מגיע מ- D-Link. שלושת המפתחות האחרים לא פעלו.

הוא שיתף את ממצאיו עם אתר החדשות הטכנולוגי ההולנדי Tweakers, שכעת הוא העביר את הגילוי לחברת האבטחה ההולנדית Fox IT.

הם אישרו את הפגיעות והנפיקו את ההצהרה הבאה:

"אישור חתימת הקוד הוא אכן עבור חבילת קושחה, גרסת הקושחה 1.00b03. תאריך המקור שלה הוא ה -27 בפברואר השנה, כלומר, מפתחות האישור שוחררו זמן רב לפני שתוקף האישור פג. זו טעות גדולה ".

מדוע זה כל כך רציני?

זה רציני במספר מישורים.

ראשית, Fox IT דיווחה כי היו באותה האישור ארבע אישורים. האישורים הללו הגיעו מסטארפילד טכנולוגיות, KEEBOX בע"מ ומאלפא נטוורקס. ניתן היה להשתמש בכולם כדי ליצור קוד זדוני שיש לו יכולת לעקוף תוכנת אנטיוירוס השווה את ביצועי האנטי-ווירוס שלך עם חמשת האתרים המובילים הללואיזו תוכנת אנטי-וירוס צריכה להשתמש? שהוא הטוב ביותר"? כאן אנו מסתכלים על חמישה מהמשאבים המקוונים הטובים ביותר לבדיקת ביצועי אנטי-וירוס, בכדי לעזור לכם לקבל החלטה מושכלת. קרא עוד ובדיקות אבטחה מסורתיות אחרות - אכן, רוב טכנולוגיות האבטחה יסמכו על קבצים שנחתמים ויאפשרו להם לעבור ללא עוררין.

שנית, התקפות איום מתמשך מתמשכות (APT) הופכות למצב פעולה מועדף יותר ויותר עבור האקרים. כמעט תמיד הם משתמשים בתעודות ובמפתחות אבודים או גנובים כדי לשעבד את קורבנותיהם. דוגמאות אחרונות כוללות את הרס תוכנות זדוניות נגד מגבים המחלוקת הסופית לשנת 2014: סוני האק, הראיון וצפון קוריאההאם צפון קוריאה באמת פרצה תמונות של סוני? היכן הראיות? האם מישהו אחר עמד להרוויח מהמתקפה, ואיך התקרית התגלתה לקידום לסרט? קרא עוד הופעלה נגד סוני בשנת 2014 והתקפת Duqu 2.0 על היצרנים הסיניים של אפל.

הוספת כוח רב יותר לחימוש הפושע אינה ברורה, והיא חוזרת למרכיב האמון שהוזכר בהתחלה. כצרכנים, אנו זקוקים לחברות אלה להיות ערניים בהגנה על נכסיהן מבוססי האבטחה כדי לסייע במאבק של פושעי הסייבר.

מי מושפע?

התשובה הכנה כאן היא שאנחנו לא יודעים.

למרות ש- D-Link כבר פרסמו גרסאות חדשות לקושחה, אין דרך לדעת אם האקרים הצליחו לחלץ ולהשתמש במפתחות לפני הגילוי הציבורי של Bartvbl.

יש לקוות כי ניתוח דגימות תוכנה זדונית בשירותים כמו VirusTotal עשוי בסופו של דבר להעניק תשובה לשאלה, ראשית עלינו לחכות לגילוי וירוס פוטנציאלי.

האם תקרית זו מעוררת את אמונכם בטכנולוגיה?

מה דעתך על המצב הזה? האם פגמים כאלה הם בלתי נמנעים בעולם הטכנולוגיה, או שמא האשמות של החברות ביחסם הגרוע לביטחון?

האם מקרה אחד כזה היה מפריע לך להשתמש במוצרי D-Link בעתיד, או שהיית מקבל את הבעיה וממשיך בלי קשר?

כתמיד, נשמח לשמוע ממך. תוכל ליידע אותנו במחשבותיך בסעיף ההערות שלהלן.

אשראי תמונה: מתיאס ריפ דרך Flickr.com

דן הוא גולה בריטי המתגורר במקסיקו. הוא העורך המנהל של אתר האחות של MUO, Blocks Decoded. בזמנים שונים הוא שימש כעורך חברתי, עורך יצירתי ועורך כספים עבור MUO. אתה יכול למצוא אותו משוטט בקומת התצוגה ב- CES בלאס וגאס מדי שנה (אנשי יחסי ציבור, מושיטים יד!), והוא עושה המון אתר מאחורי הקלעים...