En tant que consommateurs, nous sommes tous obligés d'accorder une certaine confiance aux entreprises technologiques que nous utilisons. Après tout, la plupart d'entre nous ne sont pas assez qualifiés pour découvrir seuls les failles de sécurité et les vulnérabilités.
Le débat autour de la vie privée et la fureur récente causée par Windows 10 Fonction WiFi Sense de Windows 10 représentent un risque de sécurité? La fonctionnalité WiFi Sense de Windows 10 représente-t-elle un risque de sécurité? Lire la suite n'est qu'une partie du puzzle. Une autre partie - tout à fait plus sinistre - est celle où le matériel lui-même a des défauts.
Un utilisateur informatique averti peut gérer sa présence en ligne et modifier les paramètres suffisants pour limiter ses problèmes de confidentialité Tout ce que vous devez savoir sur les problèmes de confidentialité de Windows 10 Tout ce que vous devez savoir sur les problèmes de confidentialité de Windows 10 de, beaucoup de réclamations ont été soufflées hors de proportion. Voici notre guide sur tout ce que vous devez savoir sur les problèmes de confidentialité de Windows 10. Lire la suite, mais un problème avec le code sous-jacent d'un produit est plus grave; c'est beaucoup plus difficile à repérer et plus difficile à gérer pour un utilisateur final.
Que c'est il passé?
La dernière entreprise à se frayer un chemin dans un cauchemar de sécurité est le fabricant d'équipements de réseautage taïwanais populaire, D-Link. Beaucoup de nos lecteurs utiliseront leurs produits à la maison ou au bureau; En mars 2008, ils sont devenus le fournisseur numéro un de produits Wi-Fi dans le monde et contrôlent actuellement environ 35% du marché.
Les nouvelles ont éclaté plus tôt aujourd'hui de gaffe qui a vu l'entreprise libérer ses clés privées de signature de code dans le code source d'une mise à jour de firmware récente. Les clés privées sont utilisées par un ordinateur pour vérifier qu'un produit est authentique et que le code du produit n'a pas été altéré ou corrompu depuis sa création.
En termes simples, cette échappatoire signifie donc qu'un pirate pourrait utiliser les clés publiées sur ses propres programmes pour tromper un ordinateur et lui faire croire que son code malveillant était en fait un produit D-Link légitime.
Comment est-ce arrivé?
D-Link s'enorgueillit de son ouverture depuis longtemps. Une partie de cette ouverture est un engagement à l'open-sourcing tout son firmware sous une licence de licence publique générale (GPL). En pratique, cela signifie que n'importe qui peut accéder au code de n'importe quel produit D-Link, ce qui lui permet de l'ajuster et de l'adapter à ses propres besoins.
En théorie, c'est une position louable à prendre. Ceux d'entre vous qui se tiennent au courant du débat Apple iOS vs Android sauront sans doute que l'une des plus grandes critiques adressées à la société basée à Cupertino est leur engagement inébranlable à rester fermé aux personnes qui voudraient modifier la source. code. C'est la raison pour laquelle il n'y a aucune ROM personnalisée comme Android Cyanogen Mod Comment installer CyanogenMod sur votre appareil Android Comment installer CyanogenMod sur votre appareil Android Beaucoup de gens peuvent convenir que le système d'exploitation Android est assez impressionnant. Non seulement c'est génial à utiliser, mais c'est aussi gratuit que dans l'open source, de sorte qu'il peut être modifié ... Lire la suite pour les appareils mobiles d'Apple.
Le côté opposé de la médaille est que lorsque des erreurs de code source ouvertes à grande échelle sont faites, elles peuvent avoir un énorme effet d'entraînement. Si leur firmware était de source fermée, la même erreur aurait été beaucoup moins un problème et beaucoup moins susceptible d'avoir été découvert.
Comment a-t-il été découvert?
La faille a été découverte par un développeur norvégien connu sous le nom de "bartvbl" qui avait récemment acheté la caméra de surveillance DCS-5020L de D-Link.
Être un développeur compétent et curieux, il a décidé de fouiller "sous le capot" dans le code source du firmware de l'appareil. À l'intérieur, il a trouvé les clés privées et les mots de passe nécessaires pour signer le logiciel.
Il a commencé à mener ses propres expériences, trouvant rapidement qu'il était capable de créer une application Windows qui était signée par l'une des quatre clés - donnant ainsi l'impression qu'elle provenait de D-Link. Les trois autres touches ne fonctionnaient pas.
Il a partagé ses découvertes avec Tweakers, un site d'information technologique néerlandais, qui a transmis la découverte à la société de sécurité néerlandaise Fox IT.
Ils ont confirmé la vulnérabilité en publiant la déclaration suivante:
"Le certificat de signature de code est en effet pour un progiciel de firmware, version du firmware 1.00b03. Sa source date du 27 février de cette année, ce qui signifie que les clés de ce certificat ont été libérées bien avant l'expiration du certificat. C'est une grosse erreur ".
Pourquoi est-ce si grave?
C'est sérieux à plusieurs niveaux.
Premièrement, Fox IT a signalé qu'il y avait quatre certificats dans le même dossier. Ces certificats proviennent de Starfield Technologies, KEEBOX Inc. et Alpha Networks. Tout d'entre eux aurait pu être utilisé pour créer un code malveillant qui a la capacité de contourner les logiciels anti-virus Comparez votre Anti-Virus 'Performance avec ces 5 meilleurs sites Comparez votre Anti-Virus' Performance avec ces 5 meilleurs sites Quel logiciel anti-virus devrait utiliser? Quel est le "meilleur"? Ici, nous examinons cinq des meilleures ressources en ligne pour vérifier la performance antivirus, pour vous aider à prendre une décision éclairée. Lire la suite et d'autres contrôles de sécurité traditionnels - en effet, la plupart des technologies de sécurité feront confiance aux fichiers signés et les laisseront passer sans poser de questions.
Deuxièmement, les attaques avancées de menaces persistantes (APT) deviennent un mode de fonctionnement de plus en plus favorable aux pirates informatiques. Ils utilisent presque toujours des certificats et des clés perdus ou volés pour subjuguer leurs victimes. Parmi les exemples récents, on peut citer Final Weekover: Sony Hack, The Interview et Final Controversy de Corée du Nord: Sony Hack, l'interview et la Corée du Nord La Corée du Nord a-t-elle vraiment piraté Sony Pictures? Où est la preuve? Quelqu'un d'autre a-t-il pu profiter de l'attaque, et comment l'incident s'est-il transformé en promotion pour un film? Read More utilisé contre Sony en 2014 et l'attaque Duqu 2.0 sur les fabricants chinois d'Apple.
Ajouter plus de pouvoir à l'arsenal du criminel est clair, pas raisonnable, et revient à l'élément de confiance mentionné au début. En tant que consommateurs, nous avons besoin que ces entreprises fassent preuve de vigilance en protégeant leurs actifs sécuritaires afin de lutter contre la menace des cybercriminels.
Qui est affecté?
La réponse honnête ici est que nous ne savons pas.
Bien que D-Link ait déjà publié de nouvelles versions du firmware, il n'y a aucun moyen de savoir si les pirates ont réussi à extraire et utiliser les clés avant la découverte publique de bartvbl.
Il est à espérer que l'analyse des échantillons de logiciels malveillants sur des services comme VirusTotal pourrait finalement donner une réponse à la question, nous devons d'abord attendre qu'un virus potentiel soit découvert.
Cet incident ébranle-t-il votre confiance en Tech?
Quelle est votre opinion sur cette situation? Les failles de ce genre sont-elles inévitables dans le monde de la technologie, ou les entreprises sont-elles responsables de leur mauvaise attitude envers la sécurité?
Un incident comme celui-ci vous empêchera-t-il d'utiliser les produits D-Link à l'avenir, ou accepteriez-vous le problème et continueriez-vous malgré tout?
Comme toujours, nous aimerions avoir de vos nouvelles. Vous pouvez nous faire part de vos commentaires dans la section des commentaires ci-dessous.
Crédit d'image: Matthias Ripp via Flickr.com