Η D-Link συμφώνησε να βελτιώσει την ασφάλεια των συστημάτων της ως μέρος του διακανονισμού της FTC
Η αγωγή του 2017 της Ομοσπονδιακής Επιτροπής Εμπορίου των ΗΠΑ (FTC) κατά της D-Link έφτασε τελικά στο τέλος της. Οι αρχές των ΗΠΑ κατηγόρησαν τον υψηλού προφίλ κατασκευαστή υλικού δικτύωσης της Ταϊβάν ότι δεν προστατεύει επαρκώς τις συσκευές του και αγνοεί τις προειδοποιήσεις των πιο κρίσιμων ευπάθειας λογισμικού Αναφορές.
Σύμφωνα με την αρχική καταγγελία που δημοσιεύθηκε το 2017, η D-Link απέτυχε σε πολλές περιπτώσεις:[1]
Οι κατηγορούμενοι δεν έχουν λάβει εύλογα μέτρα για την προστασία των δρομολογητών και της IP τουςκάμερες από ευρέως γνωστούς και ευλόγως προβλέψιμους κινδύνους μη εξουσιοδοτημένης πρόσβασης, συμπεριλαμβανομένων αποτυγχάνοντας να προστασία από ελαττώματα που έχει κατατάξει το Open Web Application Security Projectμεταξύ των πιο κρίσιμων και διαδεδομένων ευπαθειών εφαρμογών ιστού από τουλάχιστον το 2007.
Οι ενέργειες του κατασκευαστή υλικού έθεσαν σε κίνδυνο το απόρρητο και την ασφάλεια στο διαδίκτυο εκατομμυρίων πολιτών των ΗΠΑ, καθώς οι χρήστες δρομολογητών και καμερών σε όλη τη χώρα ήταν ευάλωτοι σε επιθέσεις στον κυβερνοχώρο.
Ο κορυφαίος κατασκευαστής IoT κατηγορήθηκε ότι χρησιμοποίησε σκληρά κωδικοποιημένα και εύκολα εικαστικά διαπιστευτήρια στο λογισμικό της κάμεράς του, υποστηρίζοντας ότι το υλικό είναι απολύτως ασφαλές από μη εξουσιοδοτημένες εισβολές και αποθήκευση στοιχείων σύνδεσης εφαρμογών για κινητά σε απλό κείμενο, εκτός από την αποτυχία ασφαλίσεως των συσκευών από γνωστά τρωτά σημεία.
Ως αποτέλεσμα, η D-Link συμφώνησε να εφαρμόσει νέα μέτρα ασφαλείας, καθώς και να συμπεριλάβει τις απαραίτητες αλλαγές στην κατασκευή, την τεκμηρίωση, τις δοκιμές ασφαλείας και άλλες διαδικασίες.
Το ολοκληρωμένο πρόγραμμα ασφάλειας λογισμικού θα διαρκέσει 20 χρόνια
Προκειμένου να αποκατασταθεί η κατάσταση, η D-Link αναγκάστηκε να συμφωνήσει με πολλούς όρους που έθεσε η FTC, συμπεριλαμβανομένης της εισαγωγής στο Πρόγραμμα Ασφάλειας Λογισμικού που έχει οριστεί να διαρκέσει για τουλάχιστον 20 χρόνια:[2]
ΔΙΑΤΑΖΕΤΑΙ ότι ο Εναγόμενος θα συνεχίσει, για περίοδο είκοσι (20) ετών μετά την καταχώριση του παρόντος Διατάγματος, να δημιουργήσει και να εφαρμόσει και να διατηρήσει μια ολοκληρωμένη ασφάλεια λογισμικού πρόγραμμα («Πρόγραμμα Ασφάλειας Λογισμικού») που έχει σχεδιαστεί για να παρέχει προστασία για την ασφάλεια των Καλυπτόμενων Συσκευών του, εκτός εάν ο Κατηγορούμενος σταματήσει να εμπορεύεται, να διανέμει ή να πουλά οποιοδήποτε Καλυπτόμενο Συσκευές.
Μερικές από τις νέες ευθύνες του κατασκευαστή IoT περιλαμβάνουν:
- Δημιουργήστε αφοσιωμένους υπαλλήλους που θα διατηρούν, θα αξιολογούν και θα γράφουν το περιεχόμενο του προγράμματος όλα αυτά τα χρόνια.
- Σχεδιασμός διαδικασιών ασφαλείας και δοκιμή λογισμικού για τρωτά σημεία πριν από την κυκλοφορία νέων συσκευών.
- Εκτέλεση αξιολόγησης απειλών για τον εντοπισμό εσωτερικών και εξωτερικών κινδύνων που σχετίζονται με το λογισμικό εντός των κατασκευασμένων συσκευών της εταιρείας.
- Ρύθμιση αυτόματων ενημερώσεων υλικολογισμικού.
- Διαρκής εκπαίδευση για υπαλλήλους και πωλητές που είναι υπεύθυνοι για την ανάπτυξη και αναθεώρηση λογισμικού για το παραγόμενο υλικό κ.λπ.
Επιπλέον, η D-Link συμφώνησε επίσης να υποβάλλεται σε εκτεταμένους ελέγχους κάθε δύο χρόνια για τα επόμενα δέκα χρόνια, προκειμένου να λάβει την πιστοποίηση συμμόρφωσης με την ασφάλεια. Η τεκμηρίωση αυτών των ελέγχων πρέπει επίσης να παρέχεται στην Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ για τα επόμενα πέντε χρόνια.
Η D-Link αγκάλιασε τις αλλαγές και συμφώνησε στη διευθέτηση
Είναι σαφές ότι η D-Link απέτυχε να προστατεύσει τις συσκευές της, μαζί με πολλούς χρήστες από επιθέσεις στον κυβερνοχώρο, και, τα τελευταία 2,5 χρόνια, οι εγκληματίες του κυβερνοχώρου έκαναν ευρέως κατάχρηση των ολισθήσεων του κατασκευαστή.
Τον Ιούνιο του περασμένου έτους, οι συντάκτες του botnet του Satori κατάφεραν να εκμεταλλευτούν ένα κρίσιμο ελάττωμα εκτέλεσης κώδικα σε συσκευές D-Link που χρησιμοποιήθηκαν από τη Verizon και άλλους χρήστες ISP.[3] Τον Ιούλιο του 2018, παράγοντες απειλών κατάφεραν να κλέψουν το πιστοποιητικό ασφαλείας που παρείχε η D-Link, το οποίο τους επέτρεψε να προωθήσουν κακόβουλο λογισμικό σε χιλιάδες συσκευές.[4] Ως αποτέλεσμα, οι χάκερ θα μπορούσαν να κλέψουν κωδικούς πρόσβασης και να ελέγξουν τη συσκευή από απόσταση μέσω της κερκόπορτας.
Η D-Link συμφώνησε με τον διακανονισμό, καθώς ο John Vecchione, ο Διευθύνων Σύμβουλος και επικεφαλής δοκιμαστικός σύμβουλος της D-Link, εξέφρασε τις ακόλουθες σκέψεις:[5]
Αυτή η υπόθεση θα έχει διαρκή αντίκτυπο και, ελπίζουμε, θα διαμορφώσει θετικά τη δημόσια πολιτική στους σημαντικούς τομείς της τεχνολογίας, της ασφάλειας δεδομένων και της ιδιωτικής ζωής. Η απόρριψη εκ μέρους του Δικαστηρίου του ισχυρισμού «αδικίας» της καταγγελίας για παράλειψη να επικαλεστεί πραγματική βλάβη των καταναλωτών, ελπίζουμε ότι θα εστιάσει εκ νέου τις προσπάθειες της FTC στις πρακτικές που πραγματικά τραυματίζουν αναγνωρίσιμους καταναλωτές, παρέχοντας στις εταιρείες τεχνολογίας πρόσθετη βεβαιότητα απαραίτητη για την αδειοδότηση και την εξέλιξη καινοτομία.