D-Link, FTC anlaşmasında güvenliğini artırmayı kabul ediyor

D-Link, FTC anlaşmasının bir parçası olarak sistem güvenliğini iyileştirmeyi kabul etti

D-Link UzlaşmasıD-Link aleyhindeki 2017 davası, Salı günü 32 sayfalık bir anlaşmayla sonuçlandı.

D-Link'e karşı 2017 ABD Federal Ticaret Komisyonu (FTC) davası nihayet sona erdi. ABD makamları, yüksek profilli Tayvanlı ağ donanımı üreticisini cihazlarını yeterince korumak ve en kritik yazılım güvenlik açığı uyarılarını görmezden gelmek raporlar.

2017'de yayınlanan orijinal şikayete göre, D-Link birden çok kez başarısız oldu:[1]

Sanıklar, yönlendiricilerini ve IP'lerini korumak için makul adımları atmakta başarısız oldular.kameralar dahil olmak üzere, yaygın olarak bilinen ve makul olarak öngörülebilir yetkisiz erişim risklerine karşı başaramayarak Açık Web Uygulaması Güvenlik Projesi'nin derecelendirdiği kusurlara karşı korumaen az 2007'den beri en kritik ve yaygın web uygulaması güvenlik açıkları arasında yer alıyor.

Donanım üreticisinin eylemleri, ülkenin dört bir yanındaki yönlendiriciler ve kamera kullanıcıları siber saldırılara karşı savunmasız olduğundan, milyonlarca ABD vatandaşının gizliliğini ve çevrimiçi güvenliğini riske attı.

Önde gelen IoT üreticisi, donanımın tamamen güvenli olduğunu iddia ederek kamera yazılımında sabit kodlanmış ve kolayca tahmin edilebilir kimlik bilgileri kullanmakla suçlandı. izinsiz izinsiz girişlerden ve mobil uygulama oturum açma bilgilerinin düz metinde saklanmasından ve cihazları iyi bilinen tehlikelerden koruyamamaktan güvenlik açıkları.

Sonuç olarak, D-Link, üretim, dokümantasyon, güvenlik testleri ve diğer süreçlerinde gerekli değişiklikleri dahil etmenin yanı sıra yeni güvenlik önlemleri uygulamayı kabul etti.

Kapsamlı Yazılım Güvenliği Programı 20 yıl sürecek

Durumu düzeltmek için D-Link, en az 20 yıl sürecek Yazılım Güvenlik Programına girmek de dahil olmak üzere FTC tarafından belirlenen birçok koşulu kabul etmek zorunda kaldı:[2]

Davalının, bu Emrin girişinden sonraki yirmi (20) yıl boyunca kapsamlı bir yazılım güvenliğine devam etmesi veya kurması ve uygulaması ve sürdürmesi EMRİDİR. Davalı, Kapsam dahilindeki herhangi bir ürünü pazarlamayı, dağıtmayı veya satmayı bırakmadıkça, Kapsam Kapsamındaki Cihazların güvenliğini sağlamak üzere tasarlanmış bir program (“Yazılım Güvenliği Programı”). Cihazlar.

IoT üreticisinin yeni sorumluluklarından bazıları şunlardır:

  • Yıllar boyunca programın içeriğini koruyan, değerlendiren ve yazan kendini işine adamış çalışanlar oluşturmak;
  • Yeni cihaz piyasaya çıkmadan önce güvenlik süreçlerini planlamak ve yazılımları güvenlik açıkları için test etmek;
  • Şirketin ürettiği cihazların içindeki yazılımlarla ilgili iç ve dış riskleri belirlemek için tehdit değerlendirmesi yapmak;
  • Otomatik üretici yazılımı güncellemelerini ayarlama;
  • Üretilen donanım vb. için yazılımın geliştirilmesinden ve gözden geçirilmesinden sorumlu çalışanlar ve satıcılar için sürekli eğitim.

Ek olarak, D-Link, güvenlik uygunluk sertifikasına ulaşmak için önümüzdeki on yıl boyunca her iki yılda bir kapsamlı denetimlerden geçmeyi de kabul etti. Bu denetimlerin belgeleri de önümüzdeki beş yıl için ABD Federal Ticaret Komisyonuna sunulmalıdır.

D-Link değişiklikleri benimsedi ve anlaşmayı kabul etti

D-Link'in birçok kullanıcıyla birlikte cihazlarını siber saldırılara karşı koruyamadığı ve son 2,5 yıl boyunca siber suçluların üreticinin hatalarını geniş ölçüde kötüye kullandığı açıktır.

Geçen yıl Haziran ayında, Satori botnet yazarları, Verizon ve diğer ISP kullanıcıları tarafından kullanılan D-Link cihazlarındaki kritik kod yürütme kusurundan yararlanmayı başardılar.[3] Temmuz 2018'de tehdit aktörleri, D-Link tarafından sağlanan güvenlik sertifikasını çalmayı başardı ve bu da kötü amaçlı yazılımları binlerce cihaza göndermelerine izin verdi.[4] Sonuç olarak, bilgisayar korsanları parolaları çalabilir ve cihazı arka kapı aracılığıyla uzaktan kontrol edebilir.

D-Link'in CEO'su ve davanın baş danışmanı John Vecchione, aşağıdaki düşünceleri dile getirdiğinden, D-Link anlaşmayı kabul etti:[5]

Bu davanın kalıcı bir etkisi olacak ve umarız teknoloji, veri güvenliği ve mahremiyet gibi önemli alanlarda kamu politikasını olumlu yönde şekillendirecektir. Mahkemenin, Şikayetin 'haksızlık' iddiasını, gerçek tüketici zararını savunmadığı için reddetmesi, umarım FTC'nin uygulamalara yönelik çabalarına yeniden odaklanacaktır. kimliği belirlenebilir tüketicilere gerçekten zarar veren, teknoloji şirketlerine izinsiz ve gelişen için gerekli olan ek kesinliği sağlayan yenilik.