D-Link ha accettato di migliorare la sicurezza dei propri sistemi come parte dell'accordo FTC
La causa della Federal Trade Commission (FTC) degli Stati Uniti del 2017 contro D-Link è finalmente giunta al termine. Le autorità statunitensi hanno accusato il produttore di hardware di rete taiwanese di alto profilo di non proteggendo adeguatamente i propri dispositivi e ignorando gli avvisi di vulnerabilità del software più critici rapporti.
Secondo la denuncia originale pubblicata nel 2017, D-Link ha fallito in più occasioni:[1]
Gli imputati non sono riusciti a prendere misure ragionevoli per proteggere i loro router e IPtelecamere da rischi ampiamente noti e ragionevolmente prevedibili di accesso non autorizzato, inclusi non riuscendo a proteggere dai difetti che l'Open Web Application Security Project ha classificatotra le vulnerabilità delle applicazioni web più critiche e diffuse almeno dal 2007.
Le azioni del produttore di hardware hanno messo a rischio la privacy e la sicurezza online di milioni di cittadini statunitensi, poiché gli utenti di router e telecamere in tutto il paese erano vulnerabili agli attacchi informatici.
Il principale produttore di IoT è stato accusato di utilizzare credenziali codificate e facilmente individuabili nel software della fotocamera, sostenendo che l'hardware è completamente sicuro da intrusioni non autorizzate e memorizzazione dei dettagli di accesso dell'app mobile nel testo normale, oltre a non riuscire a proteggere i dispositivi da noti vulnerabilità.
Di conseguenza, D-Link ha accettato di implementare nuove misure di sicurezza, nonché di includere le modifiche necessarie alla produzione, alla documentazione, ai test di sicurezza e ad altri processi.
Il programma completo di sicurezza del software durerà 20 anni
Per porre rimedio alla situazione, D-Link è stata costretta ad accettare molte condizioni stabilite dalla FTC, incluso l'accesso al Software Security Program che dovrebbe durare almeno 20 anni:[2]
È ORDINATO che il Convenuto, per un periodo di venti (20) anni dall'entrata in vigore della presente Ordinanza, continui o stabilisca, implementi e mantenga una protezione completa del software programma ("Programma di sicurezza del software") progettato per fornire protezione per la sicurezza dei suoi Dispositivi coperti, a meno che il Convenuto non smetta di commercializzare, distribuire o vendere qualsiasi Dispositivi.
Alcune delle nuove responsabilità del produttore IoT includono:
- Stabilire dipendenti dedicati che mantengano, valutino e scrivono i contenuti per il programma nel corso degli anni;
- Pianificazione dei processi di sicurezza e test del software per le vulnerabilità prima del rilascio di nuovi dispositivi;
- Esecuzione della valutazione delle minacce per identificare i rischi interni ed esterni relativi al software all'interno dei dispositivi prodotti dall'azienda;
- Configurazione degli aggiornamenti automatici del firmware;
- Formazione continua per dipendenti e fornitori responsabili dello sviluppo e della revisione del software per l'hardware prodotto, ecc.
Inoltre, D-Link ha anche accettato di sottoporsi a controlli approfonditi ogni due anni per i prossimi dieci anni al fine di ottenere la certificazione di conformità della sicurezza. La documentazione di questi audit deve essere fornita anche alla Federal Trade Commission degli Stati Uniti per i prossimi cinque anni.
D-Link ha abbracciato le modifiche e ha accettato l'accordo
È chiaro che D-Link non è riuscito a proteggere i suoi dispositivi, insieme a molti utenti, dagli attacchi informatici e, negli ultimi 2,5 anni, i criminali informatici hanno ampiamente abusato degli errori dei produttori.
Nel giugno dello scorso anno, gli autori della botnet Satori sono riusciti a sfruttare il difetto critico di esecuzione del codice nei dispositivi D-Link utilizzati da Verizon e da altri utenti ISP.[3] Nel luglio 2018, gli autori delle minacce sono riusciti a rubare il certificato di sicurezza fornito da D-Link, che ha permesso loro di inviare malware a migliaia di dispositivi.[4] Di conseguenza, gli hacker potrebbero rubare le password e controllare il dispositivo in remoto tramite la backdoor.
D-Link ha concordato con l'accordo, poiché John Vecchione, CEO e consulente legale principale di D-Link, ha espresso i seguenti pensieri:[5]
Questo caso avrà un impatto duraturo e, speriamo, modellerà positivamente la politica pubblica nelle importanti aree della tecnologia, della sicurezza dei dati e della privacy. Si spera che il rigetto da parte della Corte della richiesta di "ingiustizia" della denuncia per mancata invocazione di un danno effettivo ai consumatori riorienterà gli sforzi di FTC sulle pratiche che effettivamente feriscono consumatori identificabili, fornendo alle aziende tecnologiche l'ulteriore certezza necessaria per l'assenza di autorizzazioni e l'evoluzione innovazione.