Hivatali per indul a D-Link biztonsági problémái miatt

Beperelte az amerikai Szövetségi Kereskedelmi Bizottság (Federal Trade Commission, FTC) a taiwani D-Linket a szövetségi bíróságon amiatt, hogy az általuk eladott routerek és a webkamerák ezreket veszélyeztetnek a hackelések lehetőségével. A tavalyi évben rohamosan elharapózó botnet támadások számáért a D-Link és más hasonló termékek gyártói a felelősek, részben ezt elégelte meg a bizottság. A Senrio 2016 nyarán a D-Link DCS-930 kamerán fedezett fel egy RCE sebezhetőséget, amely ugyanúgy megtalálható a gyártó 120 másik termékén is, így összesen a kutatók szerint nagyjából 400 ezer eszköz volt érintett a problémában - a cég akkor ígéretet tett a tűzfalak frissítésére, de ez lassú folyamat és a felhasználói oldalon is problémába ütközhet, ráadásul sok eszköz akkorra már a botnetek része volt.

A San Francisco-i szövetségi bíróságnak elküldött panaszban az FTC így fogalmazott: "A vádlott nem tett elfogadható lépéseket annak érdekében, hogy megvédje routereit és IP kameráit a közismert és előre látható kockázatot jelentő jogosulatlan hozzáféréssel szemben, beleértve a védelmet a biztonsági rések ellen, amelyet az Open Web Application Security Project a webalkalmazások legkritikusabb és legelterjedtebb sebezhetőségének tart legalább 2007 óta."

A vádpontok tartalmazzák, hogy a D-Link folyamatosan elmulasztotta az indokolt mértékű szoftvertesztelést és a közbelépést a routerek és IP kamerák védelme érdekében. Nem cserélte a saját szoftveréhez tartozó, belépésre szolgáló biztonsági kulcsot, nem is követte figyelemmel a kulcsok kezelését, és ennek eredményeként hat hónapon keresztül nyilvánossá váltak az adatok egy weboldalon. Továbbá nem használt olyan szabad szoftvert, amely 2008 óta elérhető a felhasználók mobilalkalmazásokhoz kapcsolódó belépési adatainak biztonságos tárolásához, helyette olvasható formában tárolta az adatokat a mobileszközökön.

_{Internetről elérhető D-Link eszközök világszerte 2016 nyarán (Forrás: Senrio)}

Mindennek következményei a következő vádpontban felsorolt állítások, mely szerint a D-Link így több ezer embert veszélyeztetett, hogy a routereken és webkamerákon keresztül támadhatóak legyenek. Az érzékeny személyes információk és a helyi hálózatok elérése nagy kockázatot hordoz, ha illetéktelenek hozzáférnek, a vásárlóknak ráadásul nem volt tudomása a veszélyről. A támadók viszont nagyon egyszerű eszközökkel rákereshetnek a működő eszközökre, bemérhetik azok helyzetét, és irányítást szerezhetnek fölöttük, ezáltal további érzékeny információkhoz, dokumentumokhoz, akár pénzügyi adatokhoz is hozzáférhetnek.

Így járt korábban az Asus is

Az FTC ezt a lépést csaknem egy évvel azután tette, hogy az Asus routerek biztonságát bepanaszoló ügynek a végére ért. 2014-ben ugyanis az Asus ellen nyújtott be keresetet az FTC egy hasonló probléma miatt, mikor a támadok egy sebezhetőséget kihasználva távolról hozzáférhettek a routerekhez és a konfigurációtól függően megváltoztathatták a biztonsági beállításokat vagy a routerhez kapcsolódó eszközön hozzáférést kaphattak a felhasználó dokumentumaihoz.

Akkor egy üzenetet is találhattak a router-tulajdonosok az eszközön: "Ez egy automatikus üzenet, amelyet minden érintett megkapott. Az ön Asus routere (és a dokumentumai) hozzáférhetőek a világon bárki számára, aki internetkapcsolattal rendelkezik." A cég végül peren kívüli egyezséget kötött az FTC-vel és vállalta, hogy átfogó biztonsági programot dolgozzon ki, amelyet a következő húsz évben független auditorok is ellenőrizni fognak.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Egy olyan ügy már tehát volt, amelyre most és a későbbiekben lehet hivatkozni a bíróság előtt, és a törvény eszközeivel talán rákényszeríthetők a gyártók arra, hogy odafigyeljenek a sokat emlegetett biztonsági problémákra. A helyzet persze nem egyszerű, mivel mindig megjelennek új problémák, de ez nem mentesíti a cégeket az alól, hogy a már ismert támadási lehetőségeket kivédjék. Lehet, hogy az FTC sorban egymás után panaszt tesz minden gyártó ellen, ha másképp nem működik.

Nem tart lépést a fogyasztóvédelem

Jellemző ugyanakkor, hogy az FTC hivatalosan "félrevezető reklám" címén pereli a gyártót, önmagában a nem biztonságos eszközök értékesítése ugyanis nem jogellenes, a gyártók jog szerint nem kötelesek javítani ezeket a hibákat - ahogy azt mi is találtuk a hazai helyzet átvilágításakor. A D-Link azonban marketinganyagaiban rendszeresen használta a "biztonságos" és egyéb biztonságra utaló szavakat a termékek kapcsán, így az FTC szerint ezt a tulajdonságot már számon lehet kérni a cégen - akár peres úton is.