D-Link Keys Blunder sätter alla i riskzonen

Taiwanesisk nätverksutrustningstillverkare har D-Link blundrat sig in i en säkerhetsmardröm genom att slumpvis släppa privata kodsigneringsnycklar i källkoden för en nyligen uppdaterad firmwareuppdatering. Hur påverkar detta dig?

Taiwanesisk nätverksutrustningstillverkare har D-Link blundrat sig in i en säkerhetsmardröm genom att slumpvis släppa privata kodsigneringsnycklar i källkoden för en nyligen uppdaterad firmwareuppdatering.  Hur påverkar detta dig?
Annons

Som konsumenter är vi alla tvungna att lägga en viss förtroende för de teknikföretag vi använder. När allt kommer omkring är vi inte tillräckligt skickliga för att upptäcka säkerhetsmolekyler och sårbarheter på egen hand.

Debatten om integritet och den nyfikenhet som orsakats av Windows 10 Representerar Windows 10: s WiFi-kännetecken en säkerhetsrisk? Betecknar Windows 10 WiFi Sense-funktionen en säkerhetsrisk? Läs mer är bara en del av sticksåget. En annan - helt och hållet mer syndig del - är när hårdvaran själv har brister.

En kunnig datoranvändare kan hantera sin online-närvaro och tweak tillräckliga inställningar för att begränsa deras integritetshänsyn. Allt du behöver veta om Windows 10: s sekretessproblem Allt du behöver veta om Windows 10: s integritetsfrågor medan Windows 10 har några problem som användare måste vara medvetna om av många påståenden har blivit utestängda. Här är vår guide till allt du behöver veta om Windows 10: s integritetsfrågor. Läs mer, men ett problem med den underliggande koden för en produkt är allvarligare; Det är mycket svårare att upptäcka, och hårdare för slutanvändaren att ta itu med.

Vad har hänt?

Det senaste företaget för att blundra sig in i en säkerhetsmardröm är den populära taiwanesiska nätverksutrustningstillverkaren D-Link. Många av våra läsare kommer att använda sina produkter antingen hemma eller på kontoret. i mars 2008 blev de ledande leverantör av Wi-Fi-produkter i världen, och de kontrollerar för närvarande cirka 35 procent av marknaden.

Dlink-kod

Nyheter bröt tidigare idag av gaffe som såg firman släpper sina privata kodsigneringsnycklar inuti källkoden för en nyligen uppdaterad firmwareuppdatering. Privata nycklar används som ett sätt för en dator att verifiera att en produkt är äkta och att produktkoden inte har ändrats eller skadats eftersom den ursprungligen skapades.

I lekmannens mening betyder detta smutthål att en hacker kunde använda de publicerade nycklarna på sina egna program för att lura en dator för att tro att hans eller hennes skadliga kod faktiskt var legitim en D-Link-produkt.

Hur hände det?

D-Link har prydt sig för sin öppenhet under lång tid. En del av den öppenheten är ett åtagande att öppna all sin firmware under en GPL-licens. I praktiken betyder det att alla kan komma åt koden för en D-Link-produkt, så att de kan tweak och ändra den så att de passar sina egna exakta krav.

I teorin är det ett prisvärt ställe att ta. De av er som följer med Apple iOS vs Android debatten kommer utan tvekan att vara medveten om att en av de största kritikerna i Cupertino-baserade företag är deras oöverträffade engagemang för att förbli stängda för människor som vill tweak källan koda. Det är anledningen till att det inte finns några anpassade ROM-skivor som Android's Cyanogen Mod Hur man installerar CyanogenMod på din Android-enhet Så här installerar du CyanogenMod på din Android-enhet Många människor kan komma överens om att Android-operativsystemet är ganska bra. Det är inte bara bra att använda, men det är också gratis som i öppen källkod, så att den kan ändras ... Läs mer för Apples mobila enheter.

Den motsatta sidan av myntet är att när storskaliga open source blunders är gjorda, kan de få en enorm knock-on effekt. Om deras firmware var slutkälla, skulle samma misstag ha varit mycket mindre av ett problem och mycket mindre sannolikt att det har upptäckts.

Hur var det upptäckt?

Felet upptäcktes av en norsk utvecklare som kallades "bartvbl", som nyligen köpt D-Links DCS-5020L övervakningskamera.

Som en kompetent och nyfiken utvecklare bestämde han sig för att kasta "under motorhuven" i enhetens källkod för firmware. Inom den hittade han både de privata nycklarna och de passfraser som behövdes för att underteckna programvaran.

Han började genomföra sina egna experiment, snabbt upptäckte att han kunde skapa en Windows-applikation som undertecknades av en av de fyra nycklarna, vilket såg ut som att det kom från D-Link. De andra tre nycklarna fungerade inte.

Han delade sina fynd med nederländska tech news site Tweakers, vem det vänder, passerade upptäckten på det nederländska säkerhetsföretaget Fox IT.

De bekräftade sårbarheten och utfärdade följande uttalande:

"Kodsigneringscertifikatet är verkligen för ett firmwarepaket, firmwareversion 1.00b03. Dess källa datum 27 februari i år, vilket betyder att certifikatets nycklar släpptes långt innan certifikatet löpte ut. Det är ett stort misstag ".

Varför är det så allvarligt?

Det är allvarligt på ett antal nivåer.

För det första rapporterade Fox IT att det fanns fyra certifikat i samma mapp. Dessa certifikat kom från Starfield Technologies, KEEBOX Inc. och Alpha Networks. Alla skulle kunna ha använts för att skapa skadlig kod som har förmåga att kringgå antivirusprogram. Jämför din Anti-Viruss prestanda med dessa 5 högsta webbplatser Jämför din Anti-Virus-prestanda med dessa 5 högsta webbplatser Vilket antivirusprogram borde använda? Vilken är bäst"? Här tittar vi på fem av de bästa online-resurserna för att kontrollera anti-virusprestanda för att hjälpa dig att fatta ett välgrundat beslut. Läs mer och andra traditionella säkerhetskontroller - faktiskt kommer de flesta säkerhetstekniker att lita på filer som är signerade och låta dem gå utan fråga.

För det andra blir avancerade attackerande hot (APT) -attacker en alltmer gynnad modus operandi för hackare. De använder nästan alltid förlorade eller stulna intyg och nycklar för att underkasta sina offer. De senaste exemplen inkluderar Destover Wiper Malware 2014: s Final Controversy: Sony Hack, Interview & Nordkorea 2014: s slutgiltiga kontrovers: Sony Hack, Interview & Nordkorea Gjorde Nordkorea verkligen hacka Sony Pictures? Var är beviset? Fick någon annan att vinna från attacken, och hur blev incidenten spunnen till marknadsföring för en film? Läs mer används mot Sony 2014 och Duqu 2.0-attacken på Apples kinesiska tillverkare.

Att lägga till mer makt till kriminals armory är tydligt inte förnuftigt, och kommer tillbaka till det förtroendeelement som nämns i början. Som konsumenter behöver vi dessa företag att vara vaksamma när det gäller att skydda sina säkerhetsbaserade tillgångar för att hjälpa till att bekämpa hotet mot cyberkriminella.

Vem är påverkad?

Det ärligaste svaret här är att vi inte vet.

Även om D-Link redan har släppt nya versioner av firmware, finns det inget sätt att berätta om hackare lyckades extrahera och använda nycklarna före bartvbls offentliga upptäckt.

Det hoppas att analys av skadliga prover på tjänster som VirusTotal i slutändan kan ge svar på frågan, vi måste först vänta på att ett potentiellt virus ska upptäckas.

Skakar detta incidenter din förtroende i Tech?

Vad är din åsikt om denna situation? Är brister som detta en oundviklighet i teknikens värld, eller är företagen skyldiga för sin stackars inställning till säkerhet?

Skulle en händelse som den här göra dig av med D-Link-produkter i framtiden, eller skulle du acceptera problemet och fortsätta oavsett?

Som någonsin skulle vi vilja höra från dig. Du kan meddela dina tankar i kommentarfältet nedan.

Bildkredit: Matthias Ripp via Flickr.com

In this article