作为消费者,我们所有人都被迫对我们使用的技术公司给予一定程度的信任。毕竟,我们大多数人还不够熟练,无法独自发现安全漏洞和漏洞。
有关隐私和Windows 10引起的最新争议的争论只是拼图的一部分。另一个(更危险的部分)是硬件本身存在缺陷时。
精明的计算机用户可以管理其在线状态并进行足够的设置以限制他们的隐私问题,但这是一个潜在的问题。产品更严重;
发生了什么?
最新陷入安全困境的公司是流行的台湾网络设备制造商,D-Link。我们的许多读者会在家中或办公室中使用他们的产品;在2008年3月,它们成为了全球Wi-Fi产品的第一大供应商,目前它们控制着大约35%的市场。
gaffe的新闻今天早些时候破了,该公司发布了其最近固件更新的源代码内的专用代码签名密钥。私钥被用作计算机验证产品是真品以及产品代码自其最初创建以来未被更改或破坏的一种方式。
因此,这是通俗易懂的术语漏洞意味着黑客可以使用自己程序上已发布的密钥来诱使计算机认为其恶意代码实际上是D-Link产品的合法来源。
它是如何发生的?
D-Link长期以来一直以开放为荣。这种开放性的一部分是根据通用公共许可证(GPL)许可证公开采购其所有固件的承诺。实际上,这意味着任何人都可以访问任何D-Link产品的代码-允许他们对其进行调整和修改以适合自己的精确要求。
从理论上讲,这是值得称赞的立场。那些了解Apple iOS与Android辩论的人无疑会意识到,这家位于库比蒂诺的公司受到的最大批评之一是他们坚定不移地致力于与希望调整消息来源的人保持隔离。码。这就是为什么没有像Apple的移动设备那样使用Android的Cyanogen Mod这样的自定义ROM的原因。
硬币的反面是,当制造大规模开放源代码错误时,它们会产生巨大的错误。连锁反应。如果他们的固件是开源的,则相同的错误将成为一个问题,而且被发现的可能性将大大降低。
它是如何发现的?
缺陷是是由挪威开发人员“ bartvbl"发现的,他最近购买了D-Link的DCS-5020L监控摄像头。
作为一个有能力又好奇的开发人员,他决定在设备的“阀盖下"闲逛。固件源代码。在其中,他找到了签名软件所需的私钥和密码。
他开始进行自己的实验,很快发现他能够创建一个Windows应用程序,该应用程序由其中一个签名。四个按键-使其看起来像是来自D-Link。其他三个密钥不起作用。
他与荷兰科技新闻网站Tweakers分享了他的发现,后者将发现转移给了荷兰安全公司Fox IT。
他们证实了这一发现。漏洞,发出以下语句:
“该代码签名证书确实是针对固件包1.00b03的固件包。它的来源日期是今年2月27日,这意味着该证书的密钥在证书过期之前就已发布。
为什么这么严重?
这在很多层面上都是严重的。
首先,Fox IT报告说有同一文件夹中的四个证书。这些证书来自Starfield Technologies,KEEBOX Inc.和Alpha Networks。所有这些都可能被用来创建能够绕过防病毒软件和其他传统安全检查功能的恶意代码-实际上,大多数安全技术都将信任已签名的文件,并使其毫无疑问地通过。
为罪犯的军械库增加更多能力显然是不明智的,并且回到了提到的信任元素在开始时。作为消费者,我们需要这些公司在保护其基于安全性的资产时保持警惕,以帮助对抗网络犯罪分子的威胁。
谁受到影响?
诚实的答案
尽管D-Link已经发布了该固件的新版本,但无法告诉黑客在bartvbl公开发现之前是否设法提取并使用了密钥。
希望对像VirusTotal这样的服务上的恶意软件样本进行分析最终可以解决这个问题,我们首先需要等待潜在的病毒被发现。
此事件是否发生?摇动您对技术的信任?
您对此情况有何看法?像这样的缺陷在技术世界中是不可避免的吗,还是应该归咎于公司对安全性的不良态度?
像这样的事件是否会使您将来不再使用D-Link产品?您愿意接受这个问题并继续进行吗?
一如既往,我们很高兴收到您的来信。您可以在下面的评论部分中告诉我们您的想法。
图片来源:Matthias Ripp通过Flickr.com
