D-Link согласилась улучшить безопасность своих систем в рамках урегулирования спора FTC
Иск Федеральной торговой комиссии США (FTC) 2017 года против D-Link наконец-то подошел к концу. Власти США обвинили известного тайваньского производителя сетевого оборудования в том, что он не адекватно защищая свои устройства и игнорируя предупреждения о наиболее критических уязвимостях программного обеспечения отчеты.
Согласно первоначальной жалобе, опубликованной в 2017 году, D-Link несколько раз выходил из строя:[1]
Ответчики не приняли разумных мер для защиты своих маршрутизаторов и IP.камеры от широко известных и разумно предсказуемых рисков несанкционированного доступа, в том числе не сумев защищать от недостатков, которые оцениваются проектом Open Web Application Security Projectсреди наиболее критических и широко распространенных уязвимостей веб-приложений по крайней мере с 2007 года.
Действия производителя оборудования поставили под угрозу конфиденциальность и безопасность миллионов граждан США в Интернете, поскольку пользователи маршрутизаторов и камер по всей стране были уязвимы для кибератак.
Ведущего производителя Интернета вещей обвинили в использовании жестко запрограммированных и легко угадываемых учетных данных в программном обеспечении камеры, утверждая, что оборудование полностью безопасно. от несанкционированных вторжений и хранения данных для входа в мобильное приложение в виде обычного текста, в дополнение к невозможности защитить устройства от хорошо известных уязвимости.
В результате D-Link согласилась внедрить новые меры безопасности, а также внести необходимые изменения в свое производство, документацию, тестирование безопасности и другие процессы.
Программа комплексной безопасности программного обеспечения продлится 20 лет
Чтобы исправить ситуацию, D-Link была вынуждена согласиться со многими условиями, установленными FTC, включая участие в Программе обеспечения безопасности программного обеспечения, рассчитанной на срок не менее 20 лет:[2]
ПРИКАЗЫВАЕТСЯ, что Ответчик должен в течение двадцати (20) лет после вступления в силу настоящего Приказа продолжать или устанавливать, внедрять и поддерживать комплексную защиту программного обеспечения. программа («Программа безопасности программного обеспечения»), которая предназначена для обеспечения защиты защищенных устройств, за исключением случаев, когда Ответчик прекращает продавать, распространять или продавать какие-либо Защищенные устройства. Устройств.
Некоторые из новых обязанностей производителя Интернета вещей включают:
- Установить преданных сотрудников, поддерживающих, оценивающих и пишущих содержание программы на протяжении многих лет;
- Планирование процессов безопасности и тестирование программного обеспечения на уязвимости перед выпуском новых устройств;
- Проведение оценки угроз для выявления внутренних и внешних рисков, связанных с программным обеспечением внутри устройств, производимых компанией;
- Настройка автоматического обновления прошивки;
- Постоянное обучение сотрудников и поставщиков, ответственных за разработку и анализ программного обеспечения для производимого оборудования и т. Д.
Кроме того, D-Link также согласилась проходить обширные аудиты каждые два года в течение следующих десяти лет, чтобы получить сертификат соответствия требованиям безопасности. Документация по этим аудитам также должна быть предоставлена в Федеральную торговую комиссию США на следующие пять лет.
D-Link приняла изменения и согласилась на мировое соглашение.
Понятно, что D-Link не смогла защитить свои устройства вместе со многими пользователями от кибератак, и в течение последних 2,5 лет киберпреступники широко злоупотребляли ошибками производителя.
В июне прошлого года авторам ботнета Satori удалось использовать критическую ошибку выполнения кода в устройствах D-Link, которые использовались Verizon и другими пользователями интернет-провайдеров.[3] В июле 2018 г. злоумышленникам удалось украсть предоставленный D-Link сертификат безопасности, который позволил им распространять вредоносное ПО на тысячи устройств.[4] В результате хакеры могут украсть пароли и управлять устройством удаленно через бэкдор.
D-Link согласился с соглашением, поскольку Джон Веккьоне, генеральный директор и ведущий судебный советник D-Link, высказал следующие мысли:[5]
Этот случай окажет долгосрочное влияние и, как мы надеемся, положительно повлияет на государственную политику в важных областях технологий, безопасности данных и конфиденциальности. Отклонение судом иска о «несправедливости» жалобы в связи с неспособностью сослаться на фактический ущерб потребителю, как мы надеемся, переориентирует усилия FTC на практику. которые фактически наносят вред идентифицируемым потребителям, обеспечивая технологическим компаниям дополнительную уверенность, необходимую для неразрешенных и развивающихся инновации.