D-Link se je strinjal, da bo izboljšal varnost svojih sistemov kot del poravnave FTC
Tožba Zvezne trgovinske komisije ZDA (FTC) iz leta 2017 proti D-Link se je končno končala. Ameriške oblasti so odmevnem tajvanskemu proizvajalcu omrežne strojne opreme obtožile, da ne ustrezno zaščiti svoje naprave in ignorira opozorila o najbolj kritični ranljivosti programske opreme poročila.
Glede na prvotno pritožbo, objavljeno leta 2017, je D-Link večkrat propadel:[1]
Obtoženi niso sprejeli razumnih ukrepov za zaščito svojih usmerjevalnikov in IPkamere iz splošno znanih in razumno predvidljivih tveganj nepooblaščenega dostopa, vključno z tako, da ne uspe zaščititi pred napakami, ki jih je uvrstil Open Web Application Security Projectmed najbolj kritičnimi in najbolj razširjenimi ranljivostmi spletnih aplikacij vsaj od leta 2007.
Dejanja izdelovalca strojne opreme so ogrozila zasebnost in spletno varnost milijonov ameriških državljanov, saj so bili uporabniki usmerjevalnikov in kamer po vsej državi ranljivi za kibernetske napade.
Vodilni proizvajalec interneta stvari je bil obtožen, da v programski opremi za kamero uporablja trdo kodirane in zlahka uganljive poverilnice, pri čemer trdi, da je strojna oprema popolnoma varna. pred nepooblaščenimi vdori in shranjevanjem podatkov za prijavo v mobilno aplikacijo v golo besedilo, poleg tega pa ni uspelo zavarovati naprav pred znanimi ranljivosti.
Posledično se je D-Link strinjal z uvedbo novih varnostnih ukrepov, pa tudi z vključitvijo potrebnih sprememb v svojo proizvodnjo, dokumentacijo, varnostno testiranje in druge postopke.
Celovit program varnosti programske opreme bo trajal 20 let
Da bi popravil situacijo, je bil D-Link prisiljen sprejeti številne pogoje, ki jih je postavila FTC, vključno z vstopom v program za zaščito programske opreme, ki naj bi trajal vsaj 20 let:[2]
SE ODLOŽI, da mora tožena stranka v obdobju dvajset (20) let po vnosu te odredbe nadaljevati ali vzpostaviti in izvajati ter vzdrževati celovito varnost programske opreme program (»Program za varnost programske opreme«), ki je zasnovan tako, da zagotavlja zaščito za varnost svojih zajetih naprav, razen če toženec ne preneha tržiti, distribuirati ali prodajati katerega koli zajetega Naprave.
Nekatere nove odgovornosti proizvajalca interneta stvari vključujejo:
- Vzpostavite predane zaposlene, ki skozi leta vzdržujejo, ocenjujejo in pišejo vsebine programa;
- Načrtovanje varnostnih procesov in testiranje programske opreme za ranljivosti pred izdajo novih naprav;
- Izvajanje ocene nevarnosti za prepoznavanje notranjih in zunanjih tveganj, povezanih s programsko opremo znotraj naprav, ki jih proizvaja podjetje;
- Nastavitev samodejnih posodobitev vdelane programske opreme;
- Stalno usposabljanje zaposlenih in prodajalcev, odgovornih za razvoj in pregled programske opreme za proizvedeno strojno opremo itd.
Poleg tega se je D-Link tudi strinjal, da bo v naslednjih desetih letih vsaki dve leti opravil obsežne revizije, da bi dosegel certifikat skladnosti z varnostjo. Dokumentacijo teh revizij je treba predložiti tudi Zvezni komisiji za trgovino ZDA za naslednjih pet let.
D-Link je sprejel spremembe in se strinjal s poravnavo
Jasno je, da D-Link ni uspel zaščititi svojih naprav skupaj s številnimi uporabniki pred kibernetskimi napadi, v zadnjih 2,5 letih pa so kibernetski kriminalci na široko zlorabljali napake proizvajalca.
Junija lani je avtorjem botneta Satori uspelo izkoristiti kritično napako pri izvajanju kode v napravah D-Link, ki so jih uporabljali Verizon in drugi uporabniki internetnih ponudnikov.[3] Julija 2018 je akterjem grožnje uspelo ukrasti varnostno potrdilo D-Link, ki jim je omogočilo, da zlonamerno programsko opremo potisnejo na tisoče naprav.[4] Posledično bi lahko hekerji ukradli gesla in nadzorovali napravo na daljavo prek zadnjih vrat.
D-Link se je strinjal s poravnavo, saj je John Vecchione, izvršni direktor in glavni sodni svetovalec družbe D-Link, izrazil naslednje misli:[5]
Ta primer bo imel trajen učinek in, upamo, da bo pozitivno oblikoval javno politiko na pomembnih področjih tehnologije, varnosti podatkov in zasebnosti. Upajmo, da bo Sodišče zavrnilo tožbeni zahtevek za „nepoštenost“ pritožbe zaradi neuspeha pri navedbi dejanske škode za potrošnike, bo upajmo, da bo prizadevanja FTC preusmerila na prakse. ki dejansko škodijo prepoznavnim potrošnikom, s čimer tehnološkim podjetjem zagotavljajo dodatno gotovost, potrebno za nedovoljeno in razvoj inovativnost.