D-Link погоджується покращити свою безпеку в угоді FTC

D-Link погодився покращити безпеку своєї системи в рамках розрахунку FTC

Поселення D-LinkПозов 2017 року проти D-Link завершився 32-сторінковим урегулюванням у вівторок

Позов Федеральної торгової комісії США (FTC) у 2017 році проти D-Link нарешті завершився. Влада США звинуватила відомого тайванського виробника мережевого обладнання в тому, що він ні належним чином захищаючи свої пристрої та ігноруючи попередження про найбільш критичну вразливість програмного забезпечення звіти.

Згідно з оригінальною скаргою, опублікованою в 2017 році, D-Link неодноразово виходила з ладу:[1]

Відповідачі не вжили розумних заходів для захисту своїх маршрутизаторів та IP-адресикамери від широко відомих і розумно передбачуваних ризиків несанкціонованого доступу, в т.ч через неможливість захист від недоліків, які оцінив Open Web Application Security Projectодна з найкритичніших і найпоширеніших уразливостей веб-додатків принаймні з 2007 року.

Дії виробника обладнання поставили під загрозу конфіденційність і безпеку в Інтернеті мільйонів громадян США, оскільки користувачі маршрутизаторів і камер по всій країні були вразливі до кібератак.

Провідного виробника Інтернету речей звинуватили у використанні жорстко закодованих і легко відгаданих облікових даних у програмному забезпеченні своєї камери, стверджуючи, що обладнання повністю безпечне. від несанкціонованих вторгнень і збереження даних для входу в мобільний додаток у вигляді простого тексту, а також від неможливості захистити пристрої від добре відомих вразливості.

В результаті D-Link погодився впровадити нові заходи безпеки, а також внести необхідні зміни до свого виробництва, документації, тестування безпеки та інших процесів.

Комплексна програма безпеки програмного забезпечення триватиме 20 років

Щоб виправити ситуацію, D-Link була змушена погодитися з багатьма умовами, встановленими FTC, включаючи участь у Програмі безпеки програмного забезпечення, яка розрахована на щонайменше 20 років:[2]

ВИХІДАЄТЬСЯ, що Відповідач протягом двадцяти (20) років після набуття чинності цього наказу продовжуватиме або встановлює, впроваджує та підтримує комплексну безпеку програмного забезпечення програму («Програма безпеки програмного забезпечення»), яка призначена для забезпечення захисту безпеки своїх пристроїв, які покриваються, якщо Відповідач не перестане продавати, поширювати або продавати будь-які захищені Пристрої.

Деякі з нових обов'язків виробника IoT включають:

  • Створити відданих співробітників, які протягом багатьох років підтримуватимуть, оцінюють та писали зміст програми;
  • Планування процесів безпеки та тестування програмного забезпечення на наявність вразливостей перед випуском нових пристроїв;
  • Виконання оцінки загроз для виявлення внутрішніх та зовнішніх ризиків, пов’язаних із програмним забезпеченням всередині вироблених пристроїв компанії;
  • Налаштування автоматичного оновлення прошивки;
  • Постійне навчання співробітників і постачальників, відповідальних за розробку та перевірку програмного забезпечення для виробленого обладнання тощо.

Крім того, D-Link також погодився проходити ретельний аудит кожні два роки протягом наступних десяти років, щоб отримати сертифікацію відповідності вимогам безпеки. Документація цих аудитів також має бути надана Федеральній торговій комісії США протягом наступних п’яти років.

D-Link прийняла зміни та погодилася на врегулювання

Зрозуміло, що D-Link не зміг захистити свої пристрої разом із багатьма користувачами від кібератак, і протягом останніх 2,5 років кіберзлочинці широко зловживали помилками виробника.

У червні минулого року авторам ботнету Satori вдалося використати критичну помилку виконання коду на пристроях D-Link, які використовувалися Verizon та іншими користувачами Інтернет-провайдерів.[3] У липні 2018 року зловмисникам вдалося вкрасти наданий D-Link сертифікат безпеки, який дозволив їм розмістити шкідливе програмне забезпечення на тисячі пристроїв.[4] В результаті хакери могли вкрасти паролі та дистанційно керувати пристроєм через бекдор.

D-Link погодився з угодою, оскільки Джон Веккіоне, генеральний директор і провідний судовий радник D-Link, висловив такі думки:[5]

Ця справа матиме тривалий вплив і, ми сподіваємося, позитивно сформує державну політику у важливих сферах технологій, безпеки даних та конфіденційності. Сподіваємося, що відхилення Судом скарги про «несправедливість» у зв’язку з нездатністю заявляти про фактичну шкоду споживачам переорієнтує зусилля FTC на практику які фактично завдають шкоди впізнаваним споживачам, забезпечуючи технологічним компаніям додаткову впевненість, необхідну для недозволеності та розвитку інновації.