D-Link je pristao poboljšati sigurnost svojih sustava kao dio FTC nagodbe
Tužba američke Federalne trgovinske komisije (FTC) protiv D-Link-a iz 2017. konačno je okončana. Američke vlasti optužile su tajvanskog proizvođača mrežnog hardvera visokog profila da nije adekvatnu zaštitu svojih uređaja i ignoriranje upozorenja o najkritičnijoj ranjivosti softvera izvještaji.
Prema izvornoj žalbi objavljenoj 2017., D-Link je pao u više navrata:[1]
Optuženi nisu poduzeli razumne korake da zaštite svoje usmjerivače i IPkamere od nadaleko poznatih i razumno predvidljivih rizika od neovlaštenog pristupa, uključujući neuspjehom zaštititi od nedostataka koje je projekt sigurnosti otvorenih web aplikacija rangiraomeđu najkritičnijim i najraširenijim ranjivostima web aplikacija od najmanje 2007.
Radnje proizvođača hardvera dovele su milijune američkih građana u opasnost privatnost i sigurnost na internetu, budući da su korisnici usmjerivača i kamera diljem zemlje bili ranjivi na cyber napade.
Vodeći proizvođač IoT-a optužen je da koristi tvrdo kodirane i lako pogodne vjerodajnice u softveru svoje kamere, tvrdeći da je hardver potpuno siguran od neovlaštenih upada i pohranjivanja podataka za prijavu na mobilnu aplikaciju u običan tekst, osim što nisu osigurali uređaje od poznatih ranjivosti.
Kao rezultat toga, D-Link je pristao provesti nove sigurnosne mjere, kao i uključiti potrebne izmjene u svoju proizvodnju, dokumentaciju, sigurnosno testiranje i druge procese.
Sveobuhvatni program sigurnosti softvera trajat će 20 godina
Kako bi popravio situaciju, D-Link je bio prisiljen pristati na mnoge uvjete koje je postavio FTC, uključujući ulazak u Program sigurnosti softvera koji bi trebao trajati najmanje 20 godina:[2]
NALAŽE SE da će tuženik, u razdoblju od dvadeset (20) godina nakon unošenja ove Naredbe, nastaviti sa ili uspostaviti i implementirati i održavati sveobuhvatnu softversku sigurnost program (“Program za sigurnost softvera”) koji je osmišljen da pruži zaštitu za sigurnost svojih Pokrivenih uređaja, osim ako optuženik prestane plasirati, distribuirati ili prodavati bilo koje Pokrivene Uređaji.
Neke od novih odgovornosti proizvođača IoT-a uključuju:
- Uspostaviti predane zaposlenike koji održavaju, procjenjuju i pišu sadržaje za program tijekom godina;
- Planiranje sigurnosnih procesa i testiranje softvera na ranjivosti prije izlaska novih uređaja;
- Izvođenje procjene prijetnji radi identificiranja internih i eksternih rizika povezanih sa softverom unutar uređaja proizvedenih u tvrtki;
- Postavljanje automatskog ažuriranja firmvera;
- Stalna obuka za zaposlenike i dobavljače odgovorne za razvoj i pregled softvera za proizvedeni hardver itd.
Dodatno, D-Link je također pristao podvrgnuti opsežnim revizijama svake dvije godine u sljedećih deset godina kako bi se postigao certifikat o usklađenosti sa sigurnošću. Dokumentacija ovih revizija također se mora dostaviti američkoj Federalnoj trgovinskoj komisiji za sljedećih pet godina.
D-Link je prihvatio promjene i pristao na nagodbu
Jasno je da D-Link nije uspio zaštititi svoje uređaje, kao i mnoge korisnike od kibernetičkih napada, a tijekom protekle 2,5 godine cyber kriminalci su naveliko zlorabili greške proizvođača.
U lipnju prošle godine, Satori botnet autori uspjeli su iskoristiti kritičnu grešku u izvršavanju koda na D-Link uređajima koje su koristili Verizon i drugi ISP korisnici.[3] U srpnju 2018. akteri prijetnji uspjeli su ukrasti sigurnosni certifikat D-Link koji im je omogućio da zlonamjerni softver proguraju na tisuće uređaja.[4] Kao rezultat toga, hakeri bi mogli ukrasti lozinke i daljinski kontrolirati uređaj putem stražnjih vrata.
D-Link se složio s nagodbom, jer je John Vecchione, izvršni direktor i glavni sudski savjetnik za D-Link, izrazio sljedeća razmišljanja:[5]
Ovaj slučaj će imati trajan utjecaj i, nadamo se, pozitivno oblikovati javnu politiku u važnim područjima tehnologije, sigurnosti podataka i privatnosti. Nadamo se da će odbacivanje tužbenog zahtjeva za 'nepravednost' pritužbe zbog propusta u izjašnjavanju o stvarnoj šteti potrošačima preusmjeriti napore FTC-a na prakse koji zapravo nanose štetu prepoznatljivim potrošačima, dajući tehnološkim tvrtkama dodatnu sigurnost potrebnu za neovlašteni razvoj i razvoj inovacija.