Som forbrugere er vi alle nødt til at lægge en vis tillid til de teknologibedrifter, vi bruger. De fleste af os er jo ikke dygtige nok til at opdage sikkerhedsmuthuller og sårbarheder alene.
Debatten om privatlivets fred og den nylige furor forårsaget af Windows 10 Er Windows 10s WiFi Sense-funktion repræsenteret af en sikkerhedsrisiko? Er Windows 10's WiFi Sense-funktion repræsenteret af en sikkerhedsrisiko? Læs mere er kun en del af stiksavet. En anden - helt mere uhyggelig del - er, når hardwareen selv har fejl.
En kyndig computerbruger kan håndtere deres online-tilstedeværelse og justere tilstrækkelige indstillinger til at begrænse deres privatlivets fred. Alt hvad du behøver at vide om Windows 10s privatlivsproblemer Alt du behøver at vide om Windows 10's privatlivsproblemer Mens Windows 10 har nogle problemer, som brugerne skal være opmærksomme på af mange krav er blevet blæst ud af proportioner. Her er vores vejledning til alt hvad du behøver at vide om Windows 10's privatlivsproblemer. Læs mere, men et problem med den underliggende kode for et produkt er mere alvorligt; det er meget sværere at få øje på og hårdere for en slutbruger at adressere.
Hvad er der sket?
Det seneste selskab, der blunder deres vej i et sikkerhedsmardrøm er populært taiwanske netværksudstyrsproducent, D-Link. Mange af vores læsere vil bruge deres produkter enten hjemme eller på kontoret; i marts 2008 blev de den næststørste leverandør af Wi-Fi-produkter i verden, og de kontrollerer for øjeblikket omkring 35 procent af markedet.
Nyheder brød tidligere i dag af gaffe, der så firmaet frigive sine private kode underskriftstaster inde i kildekoden for en nylig firmware opdatering. Private nøgler bruges som en måde for en computer til at verificere, at et produkt er ægte, og at produktkoden ikke er blevet ændret eller ødelagt, da den oprindeligt blev oprettet.
I lægemidlets mening betyder dette smuthul, at en hacker kunne bruge de offentliggjorte nøgler på deres egne programmer til at narre en computer til at tro, at hans eller hendes ondsindede kode faktisk var legitim et D-Link-produkt.
Hvordan skete det?
D-Link har prided sig for sin åbenhed i lang tid. En del af denne åbenhed er en forpligtelse til at open-sourcing alle sine firmware under en GPL-licens (General Public License). I praksis betyder det, at alle kan få adgang til koden for et D-Link-produkt - så de kan tilpasse og ændre det for at passe deres egne præcise krav.
I teorien er det en prisværdig position at tage. De af jer, der holder sig ajour med Apple iOS vs Android debatten, vil uden tvivl være opmærksomme på, at en af de største kritikker udjævnet på Cupertino-baserede firma er deres uvældet engagement om at forblive lukket for folk, der gerne vil tilpasse kilden kode. Det er grunden til, at der ikke er nogen brugerdefinerede ROM'er som Android's Cyanogen Mod Sådan installeres CyanogenMod på din Android-enhed Sådan installeres CyanogenMod på din Android-enhed Mange mennesker kan være enige om, at Android-operativsystemet er ret fantastisk. Det er ikke kun godt at bruge, men det er også gratis som i open source, så den kan ændres ... Læs mere til Apples mobilenheder.
Den modsatte side af mønten er, at når der er lavet store open source blunders, kan de have en enorm knock-on effekt. Hvis deres firmware var lukket kilde, ville den samme fejl have været meget mindre et problem og langt mindre sandsynligt at være blevet opdaget.
Hvordan blev det opdaget?
Fejlen blev opdaget af en norsk udvikler kendt som "bartvbl", der for nylig havde købt D-Link's DCS-5020L overvågningskamera.
At være en kompetent og nysgerrig udvikler, besluttede han at stikke rundt "under motorhjelmen" i enhedens firmware kildekode. Inden for det fandt han både de private nøgler og de passphrases, der var nødvendige for at underskrive softwaren.
Han begyndte at udføre sine egne eksperimenter og hurtigt fandt ud af at han kunne oprette en Windows-applikation, der blev underskrevet af en af de fire nøgler - hvilket gav det udseende, at det kom fra D-Link. De andre tre nøgler fungerede ikke.
Han delte sine resultater med nederlandske tech news site Tweakers, hvem det drejede bestod opdagelsen på den hollandske sikkerhedsfirma Fox IT.
De bekræftede sårbarheden og udstedte følgende erklæring:
"Kodesignaturcertifikatet er faktisk for en firmware-pakke, firmware version 1.00b03. Dens kilde dato 27. februar i år, hvilket betyder, at dette certifikats nøgler blev frigivet godt før certifikatet udløb. Det er en stor fejltagelse ".
Hvorfor er det så alvorligt?
Det er seriøst på en række niveauer.
For det første rapporterede Fox IT, at der var fire certifikater i samme mappe. Disse certifikater stammer fra Starfield Technologies, KEEBOX Inc. og Alpha Networks. Alle kunne have været brugt til at oprette ondsindet kode, der har evnen til at omgå antivirussoftware. Sammenlign din anti-virus 'ydeevne med disse 5 øverste websteder Sammenlign din anti-virus' ydeevne med disse 5 øverste websteder Hvilket antivirusprogram skal bruge? Hvilket er det "bedste"? Her ser vi på fem af de bedste online ressourcer til at kontrollere anti-virus ydeevne, for at hjælpe dig med at træffe en velinformeret beslutning. Læs mere og andre traditionelle sikkerhedskontroller - faktisk vil de fleste sikkerhedsteknologier tillid til filer, der er underskrevet og lade dem passere uden spørgsmål.
For det andet bliver avancerede vedvarende trussel (APT) -attacker en stadig mere favoriseret modus operandi for hackere. De bruger næsten altid tabte eller stjålne certifikater og nøgler for at underkaste deres ofre. Seneste eksempler omfatter Destover Wiper Malware 2014's Final Controversy: Sony Hack, Interviewet og Nordkorea 2014s sidste kontrovers: Sony Hack, Interviewet og Nordkorea Har Nordkorea virkelig hacket Sony Pictures? Hvor er beviset? Fik nogen andre til at vinde fra angrebet, og hvordan blev hændelsen spundet i forfremmelse til en film? Læs mere brugt mod Sony i 2014 og Duqu 2.0-angrebet på Apples kinesiske producenter.
Det er klart ikke fornuftigt at tilføre mere magt til kriminelens arsenal og komme tilbage til det tillidselement, der nævnes i starten. Som forbrugere har vi brug for disse virksomheder til at være opmærksomme på at beskytte deres sikkerhedsbaserede aktiver for at hjælpe med at bekæmpe truslen om cyberkriminelle.
Hvem er berørt?
Det ærlige svar her er, at vi ikke ved.
Selv om D-Link allerede har udgivet nye versioner af firmwaren, er der ingen måde at fortælle om hackere formåede at udtrække og bruge nøglerne forud for bartvbls offentlige opdagelse.
Det er håbet at analysere malware prøver på tjenester som VirusTotal måske i sidste ende giver svar på spørgsmålet, vi skal først vente på, at en potentiel virus bliver opdaget.
Skader dette hændelse din tillid i teknik?
Hvad er din mening om denne situation? Er mangler som dette en uundgåelighed i teknologien, eller er virksomhederne skylden for deres dårlige holdning til sikkerhed?
Vil en hændelse som denne gøre dig i stand til at bruge D-Link-produkter i fremtiden, eller vil du acceptere problemet og fortsætte uanset?
Som nogensinde vil vi gerne høre fra dig. Du kan fortælle os dine tanker i kommentarfeltet nedenfor.
Billedkredit: Matthias Ripp via Flickr.com