D-Link се съгласи да подобри сигурността на своите системи като част от сетълмента на FTC
Делото на Федералната търговска комисия на САЩ (FTC) от 2017 г. срещу D-Link най-накрая приключи. Американските власти обвиниха известния тайвански производител на мрежов хардуер, че не адекватна защита на своите устройства и игнориране на предупрежденията за най-критичната уязвимост в софтуера доклади.
Според първоначалната жалба, публикувана през 2017 г., D-Link се провали няколко пъти:[1]
Ответниците не са успели да предприемат разумни стъпки, за да защитят своите рутери и IPкамери от широко известни и разумно предвидими рискове от неоторизиран достъп, вкл като не успява защита срещу недостатъци, които проектът за сигурност на отворените уеб приложения е класиралсред най-критичните и широко разпространени уязвимости в уеб приложенията поне от 2007 г.
Действията на производителя на хардуер излагат на риск поверителността и онлайн безопасността на милиони американски граждани, тъй като потребителите на рутери и камери в цялата страна бяха уязвими от кибератаки.
Водещият производител на IoT беше обвинен, че използва твърдо кодирани и лесно отгатни идентификационни данни в софтуера на камерата си, твърдейки, че хардуерът е напълно безопасен от неоторизирани прониквания и съхраняване на данни за влизане в мобилното приложение в обикновен текст, освен че не успява да защити устройствата от добре познати уязвимости.
В резултат на това D-Link се съгласи да приложи нови мерки за сигурност, както и да включи необходимите промени в производството, документацията, тестването на сигурността и други процеси.
Цялостната програма за софтуерна сигурност ще продължи 20 години
За да поправи ситуацията, D-Link беше принуден да се съгласи с много условия, поставени от FTC, включително влизане в Програмата за сигурност на софтуера, която е настроена да продължи поне 20 години:[2]
СЕ ОПРЕДЕЛЯ, че ответникът трябва, за период от двадесет (20) години след влизане на тази заповед, да продължи с или да установи, внедри и поддържа всеобхватна софтуерна сигурност програма („Програма за софтуерна сигурност“), която е предназначена да осигури защита за сигурността на своите Покрити устройства, освен ако Ответникът престане да предлага на пазара, разпространява или продава каквито и да било Покрити Устройства.
Някои от новите отговорности на производителя на IoT включват:
- Създайте специални служители, които поддържат, оценяват и пишат съдържанието на програмата през годините;
- Планиране на процеси за сигурност и тестване на софтуер за уязвимости преди пускането на нови устройства;
- Извършване на оценка на заплахите за идентифициране на вътрешни и външни рискове, свързани със софтуера в произвежданите от компанията устройства;
- Настройка на автоматични актуализации на фърмуера;
- Текущо обучение за служители и доставчици, отговорни за разработката и прегледа на софтуер за произведения хардуер и др.
Освен това D-Link се съгласи да се подлага на обстойни одити на всеки две години през следващите десет години, за да достигне сертификат за съответствие със сигурността. Документацията от тези одити също трябва да бъде предоставена на Федералната търговска комисия на САЩ за следващите пет години.
D-Link прие промените и се съгласи с споразумението
Ясно е, че D-Link не успя да защити своите устройства, заедно с много потребители от кибератаки, а през последните 2,5 години киберпрестъпниците масово злоупотребяваха с пропуските на производителя.
През юни миналата година авторите на ботнет на Satori успяха да експлоатират критичен недостатък при изпълнение на код в устройствата на D-Link, използвани от Verizon и други потребители на интернет доставчик.[3] През юли 2018 г. участниците в заплахата успяха да откраднат предоставения от D-Link сертификат за сигурност, който им позволи да прокарат зловреден софтуер на хиляди устройства.[4] В резултат на това хакерите биха могли да откраднат пароли и да контролират устройството дистанционно чрез задната врата.
D-Link се съгласи с споразумението, тъй като Джон Векионе, главен изпълнителен директор и водещ съдебен съветник на D-Link, изрази следните мисли:[5]
Този случай ще има трайно въздействие и, надяваме се, ще очертае положително обществената политика във важните области на технологиите, сигурността на данните и поверителността. Да се надяваме, че отхвърлянето на исковата молба за „несправедливост“ на жалбата за неизтъкване на действителни вреди на потребителите ще пренасочи усилията на FTC върху практики които действително нараняват потребители, които могат да бъдат идентифицирани, осигурявайки на технологичните компании допълнителна сигурност, необходима за безразрешение и развитие иновация.