Szerző: Habók Lilla

2017. január 09. 09:30:00

Hivatali per indul a D-Link biztonsági problémái miatt

Úgy döntött az amerikai Szövetségi Kereskedelmi Bizottság (FTC), hogy az Asus után most a D-Link ellen indít bírósági pert a routerek és a webkamerák biztonsági problémái miatt. A hivatalos indoklás sok mindent a gyártó fejére olvas a tesztelési hiányosságoktól kezdve a biztonsági kulcsok kezeléséig.

Beperelte az amerikai Szövetségi Kereskedelmi Bizottság (Federal Trade Commission, FTC) a taiwani D-Linket a szövetségi bíróságon amiatt, hogy az általuk eladott routerek és a webkamerák ezreket veszélyeztetnek a hackelések lehetőségével. A tavalyi évben rohamosan elharapózó botnet támadások számáért a D-Link és más hasonló termékek gyártói a felelősek, részben ezt elégelte meg a bizottság. A Senrio 2016 nyarán a D-Link DCS-930 kamerán fedezett fel egy RCE sebezhetőséget, amely ugyanúgy megtalálható a gyártó 120 másik termékén is, így összesen a kutatók szerint nagyjából 400 ezer eszköz volt érintett a problémában - a cég akkor ígéretet tett a tűzfalak frissítésére, de ez lassú folyamat és a felhasználói oldalon is problémába ütközhet, ráadásul sok eszköz akkorra már a botnetek része volt.

A San Francisco-i szövetségi bíróságnak elküldött panaszban az FTC így fogalmazott: "A vádlott nem tett elfogadható lépéseket annak érdekében, hogy megvédje routereit és IP kameráit a közismert és előre látható kockázatot jelentő jogosulatlan hozzáféréssel szemben, beleértve a védelmet a biztonsági rések ellen, amelyet az Open Web Application Security Project a webalkalmazások legkritikusabb és legelterjedtebb sebezhetőségének tart legalább 2007 óta."

A vádpontok tartalmazzák, hogy a D-Link folyamatosan elmulasztotta az indokolt mértékű szoftvertesztelést és a közbelépést a routerek és IP kamerák védelme érdekében. Nem cserélte a saját szoftveréhez tartozó, belépésre szolgáló biztonsági kulcsot, nem is követte figyelemmel a kulcsok kezelését, és ennek eredményeként hat hónapon keresztül nyilvánossá váltak az adatok egy weboldalon. Továbbá nem használt olyan szabad szoftvert, amely 2008 óta elérhető a felhasználók mobilalkalmazásokhoz kapcsolódó belépési adatainak biztonságos tárolásához, helyette olvasható formában tárolta az adatokat a mobileszközökön.

Internetről elérhető D-Link eszközök világszerte 2016 nyarán (Forrás: Senrio)

Mindennek következményei a következő vádpontban felsorolt állítások, mely szerint a D-Link így több ezer embert veszélyeztetett, hogy a routereken és webkamerákon keresztül támadhatóak legyenek. Az érzékeny személyes információk és a helyi hálózatok elérése nagy kockázatot hordoz, ha illetéktelenek hozzáférnek, a vásárlóknak ráadásul nem volt tudomása a veszélyről. A támadók viszont nagyon egyszerű eszközökkel rákereshetnek a működő eszközökre, bemérhetik azok helyzetét, és irányítást szerezhetnek fölöttük, ezáltal további érzékeny információkhoz, dokumentumokhoz, akár pénzügyi adatokhoz is hozzáférhetnek.

Így járt korábban az Asus is

Az FTC ezt a lépést csaknem egy évvel azután tette, hogy az Asus routerek biztonságát bepanaszoló ügynek a végére ért. 2014-ben ugyanis az Asus ellen nyújtott be keresetet az FTC egy hasonló probléma miatt, mikor a támadok egy sebezhetőséget kihasználva távolról hozzáférhettek a routerekhez és a konfigurációtól függően megváltoztathatták a biztonsági beállításokat vagy a routerhez kapcsolódó eszközön hozzáférést kaphattak a felhasználó dokumentumaihoz.

Akkor egy üzenetet is találhattak a router-tulajdonosok az eszközön: "Ez egy automatikus üzenet, amelyet minden érintett megkapott. Az ön Asus routere (és a dokumentumai) hozzáférhetőek a világon bárki számára, aki internetkapcsolattal rendelkezik." A cég végül peren kívüli egyezséget kötött az FTC-vel és vállalta, hogy átfogó biztonsági programot dolgozzon ki, amelyet a következő húsz évben független auditorok is ellenőrizni fognak.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Egy olyan ügy már tehát volt, amelyre most és a későbbiekben lehet hivatkozni a bíróság előtt, és a törvény eszközeivel talán rákényszeríthetők a gyártók arra, hogy odafigyeljenek a sokat emlegetett biztonsági problémákra. A helyzet persze nem egyszerű, mivel mindig megjelennek új problémák, de ez nem mentesíti a cégeket az alól, hogy a már ismert támadási lehetőségeket kivédjék. Lehet, hogy az FTC sorban egymás után panaszt tesz minden gyártó ellen, ha másképp nem működik.

Nem tart lépést a fogyasztóvédelem

Jellemző ugyanakkor, hogy az FTC hivatalosan "félrevezető reklám" címén pereli a gyártót, önmagában a nem biztonságos eszközök értékesítése ugyanis nem jogellenes, a gyártók jog szerint nem kötelesek javítani ezeket a hibákat - ahogy azt mi is találtuk a hazai helyzet átvilágításakor. A D-Link azonban marketinganyagaiban rendszeresen használta a "biztonságos" és egyéb biztonságra utaló szavakat a termékek kapcsán, így az FTC szerint ezt a tulajdonságot már számon lehet kérni a cégen - akár peres úton is.

a címlapról