Контакты
Подписка
МЕНЮ
Контакты
Подписка

D-Link будут судить за "дыры" и плохие пароли


10.01.2017

D-Link будут судить за "дыры" и плохие пароли

Дело о "дырах" и недобросовестной рекламе

Федеральная торговая комиссия обвиняет тайваньскую компанию D-Link Corporation и ее американское дочернее предприятие D-Link Systems в недостаточной защищенности роутеров и IP-камер, выпускающихся под этой маркой.

В иске, поданном в суд Северного округа штата Калифорния, утверждается, что разработчики не приняли надлежащих мер по обеспечению кибербезопасности указанных устройств, и те остаются беззащитными даже перед самыми распространенными типами угроз.

В частности, потенциальные хакеры по-прежнему могут легко отыскать уязвимые устройства через специализированные поисковики и выяснить их IP-адреса. После этого, как утверждается в иске FTC, злоумышленники без особого труда могут получить доступ к личным данным пользователям, включая налоговую и финансовую информацию.

Кроме того, бреши в безопасности IP-камер позволяют использовать их для шпионажа за пользователями.

Отдельно в иске упоминается, что маркетинговые материалы D-Link вводили пользователей в заблуждение относительно защищенности приобретаемых устройств: в них повсюду подчеркивается, что безопасность этих устройств можно обеспечить без каких-либо значительных усилий и что продукция D-Link по умолчанию защищена от несанкционированного доступа. В этом FTC усматривает нарушение закона о недобросовестной рекламе.

Логин: гость; пароль: гость

Среди ключевых недочетов D-Link указывается наличие запрограммированных пар логинов-паролей, прочих бэкдоров и других распространенных уязвимостей, которые в теории позволяют злоумышленникам захватывать контроль над устройствами. Так, например, в вину компании ставится, что доступ к устройствам осуществляется по логину и паролю guest.

D-Link также обвиняется в том, что на протяжении нескольких месяцев держала в открытом доступе секретный ключ, использовавшийся для цифровой подписи программных оболочек для своих устройств. Кроме того, в иске утверждается, что логины и пароли доступа к мобильным приложениям D-Link хранятся прямо в памяти мобильных устройств без какого-либо шифрования.

FTC утверждает, что все это подвергло риску тысячи потребителей, использующих камеры и роутеры D-Link, и что очень часто эти устройства оказывались заражены вредоносным ПО и становились частью ботнетов, которые, в свою очередь, наносили ущерб другим пользователям и организациям.

FTC не выдвигает финансовых требований к ответчику (за вычетом оплаты судебных издержек), но просит суд вынести в отношении D-Link и перманентное предписание против нарушений законодательства.

Какие ваши доказательства?

Пресс-служба D-Link уже назвала обвинения FTC необоснованными, отметив, что Федеральная торговая комиссия в своем иске не указывает ни конкретные уязвимые модели устройств, ни конкретные инциденты, ограничиваясь общими словами о возможности проведения атак.

"Мы будем решительно защищать безопасность и надежность наших роутеров и IP-камер и полностью готовы оспаривать иск. Мы также постоянно совершенствуем защищенность разработок D-Link Systems в соответствии с их назначением и регулярно оповещаем пользователей о том, какие шаги в этом направлении были предприняты", - говорится в заявлении директора по информационной безопасности D-Link Systems Уильяма Брауна.

Поймать и наказать

Безопасность IoT-устройств в последние месяцы стала одной из самых обсуждаемых тем среди экспертов по безопасности, что в немалой степени связано с недавними инцидентами, когда ботнеты из устройств интернета вещей использовались для проведения широкомасштабных DDoS-атак.

- Эксперты давно предупреждали, что ситуация с защищенностью "интернета вещей" близка к катастрофической, и тот факт, что вопрос поднят на уровне Федеральной торговой комиссии, можно только приветствовать, - комментирует Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности".

По его словам, выбор D-Link в качестве субъекта "показательного процесса" не случаен: доля этого производителя на рынке устройств интернета вещей очень высока - по состоянию на 2014 г. около трети IP-камер, реализованных на территории США, были произведены D-Link.

Однако, говорит Гвоздев, формулировки в иске FTC действительно не отличаются конкретикой, так что исход будущего судебного процесса пока неочевиден.

"Защищенность IoT-устройств, в конечном счете, зависит от сознательности конечных пользователей даже в большей степени, чем от самих разработчиков, - говорит Гвоздев. - Если пользователь не видит проблемы в том, чтобы игнорировать настройки безопасности на домашних сетевых устройствах, то ответственность за возможные инциденты в первую очередь лежит на нем, а не на производителе".

Сnews