Une erreur de D-Link Keys met tout le monde en danger

Publicité

En tant que consommateurs, nous sommes tous obligés de faire confiance aux entreprises technologiques que nous utilisons. Après tout, la plupart d'entre nous ne sont pas suffisamment qualifiés pour découvrir par nous-mêmes les failles de sécurité et les vulnérabilités.

Le débat sur la vie privée et la récente fureur causée par Windows 10 La fonctionnalité WiFi Sense de Windows 10 représente-t-elle un risque pour la sécurité? Lire la suite n'est qu'une partie du puzzle. Une autre partie - tout à fait plus sinistre - est lorsque le matériel lui-même a des défauts.

Un utilisateur d'ordinateur averti peut gérer sa présence en ligne et modifier suffisamment de paramètres pour limiter leurs problèmes de confidentialité Tout ce que vous devez savoir sur les problèmes de confidentialité de Windows 10Bien que Windows 10 présente certains problèmes dont les utilisateurs doivent être conscients, de nombreuses affirmations ont été démesurées. Voici notre guide de tout ce que vous devez savoir sur les problèmes de confidentialité de Windows 10. Lire la suite

, mais un problème avec le code sous-jacent d'un produit est plus grave; il est beaucoup plus difficile à repérer et plus difficile à gérer pour un utilisateur final.

Que s'est il passé?

D-Link est la dernière entreprise à se frayer un chemin dans un cauchemar en matière de sécurité. Beaucoup de nos lecteurs utiliseront leurs produits à la maison ou au bureau; en mars 2008, ils sont devenus le premier fournisseur mondial de produits Wi-Fi et contrôlent actuellement environ 35% du marché.

Plus tôt dans la journée, Gaffe a annoncé la nouvelle de la libération de ses clés de signature de code privé dans le code source d'une récente mise à jour du firmware. Les clés privées sont utilisées pour permettre à un ordinateur de vérifier qu'un produit est authentique et que le code du produit n'a pas été modifié ou corrompu depuis sa création initiale.

En termes simples, par conséquent, cette faille signifie qu'un pirate pourrait utiliser les clés publiées par lui-même programmes pour tromper un ordinateur en lui faisant croire que son code malveillant était en fait légitime un D-Link produit.

Comment est-ce arrivé?

D-Link se targue depuis longtemps de son ouverture. Une partie de cette ouverture est un engagement à opter pour l'open source de tous ses micrologiciels sous une licence GPL (General Public License). Dans la pratique, cela signifie que n'importe qui peut accéder au code de n'importe quel produit D-Link - ce qui lui permet de le modifier et de le modifier en fonction de ses propres besoins précis.

En théorie, c'est une position louable à adopter. Ceux d'entre vous qui se tiennent au courant du débat Apple iOS vs Android seront sans aucun doute conscients que l'une des plus grandes critiques adressées à la société Cupertino est leur engagement inébranlable à rester fermé aux personnes qui souhaitent modifier la source code. C'est la raison pour laquelle il n'y a pas de ROM personnalisées comme Mod Cyanogen d'Android Comment installer CyanogenMod sur votre appareil AndroidBeaucoup de gens peuvent convenir que le système d'exploitation Android est assez génial. Non seulement il est agréable à utiliser, mais il est également gratuit comme en open source, afin qu'il puisse être modifié ... Lire la suite pour les appareils mobiles d'Apple.

Le côté opposé de la médaille est que lorsque des gaffes open source à grande échelle sont faites, elles peuvent avoir un énorme effet d'entraînement. Si leur micrologiciel était de source fermée, la même erreur aurait été beaucoup moins problématique et beaucoup moins susceptible d'avoir été découverte.

Comment a-t-il été découvert?

La faille a été découverte par un développeur norvégien connu sous le nom de «bartvbl» qui avait récemment acheté la caméra de surveillance DCS-5020L de D-Link.

En tant que développeur compétent et curieux, il a décidé de fouiller «sous le capot» dans le code source du firmware de l'appareil. Il y a trouvé à la fois les clés privées et les mots de passe nécessaires pour signer le logiciel.

Il a commencé à mener ses propres expériences, trouvant rapidement qu'il était capable de créer un Windows demande qui a été signée par l'une des quatre clés - donnant ainsi l'impression qu'elle venait de D-Link. Les trois autres clés n'ont pas fonctionné.

Il a partagé ses conclusions avec le site de nouvelles technologiques néerlandais Tweakers, qui a ensuite transmis la découverte à la société de sécurité néerlandaise Fox IT.

Ils ont confirmé la vulnérabilité en émettant la déclaration suivante:

«Le certificat de signature de code est en effet pour un package de firmware, version 1.00b03 du firmware. Sa source date du 27 février de cette année, ce qui signifie que les clés de ce certificat ont été publiées bien avant son expiration. C’est une grosse erreur ».

Pourquoi est-ce si grave?

C'est grave à plusieurs niveaux.

Tout d'abord, Fox IT a signalé qu'il y avait quatre certificats dans le même dossier. Ces certificats provenaient de Starfield Technologies, KEEBOX Inc. et Alpha Networks. Tous auraient pu être utilisés pour créer un code malveillant qui a la capacité de contourner Logiciel antivirus Comparez les performances de votre antivirus avec ces 5 meilleurs sitesQuel logiciel antivirus doit utiliser? Quel est le "meilleur"? Nous examinons ici cinq des meilleures ressources en ligne pour vérifier les performances antivirus, pour vous aider à prendre une décision éclairée. Lire la suite et d'autres contrôles de sécurité traditionnels - en effet, la plupart des technologies de sécurité feront confiance aux fichiers signés et les laisseront passer sans question.

Deuxièmement, les attaques avancées à menace persistante (APT) deviennent un mode de fonctionnement de plus en plus privilégié pour les pirates. Ils utilisent presque toujours des certificats et des clés perdus ou volés afin de soumettre leurs victimes. Des exemples récents incluent le Détover les logiciels malveillants d'essuie-glace Controverse finale de 2014: Sony Hack, The Interview & North KoreaLa Corée du Nord a-t-elle vraiment piraté Sony Pictures? Où sont les preuves? Quelqu'un d'autre a-t-il profité de l'attaque et comment l'incident a-t-il été transformé en promotion pour un film? Lire la suite utilisé contre Sony en 2014 et l'attaque Duqu 2.0 contre les fabricants chinois d'Apple.

Il n’est manifestement pas raisonnable d’ajouter plus de pouvoir à l’arsenal du criminel et cela revient à l’élément de confiance mentionné au début. En tant que consommateurs, nous avons besoin que ces entreprises soient vigilantes dans la protection de leurs actifs de sécurité afin de lutter contre la menace des cybercriminels.

Qui est affecté?

La réponse honnête ici est que nous ne savons pas.

Bien que D-Link ait déjà publié de nouvelles versions du micrologiciel, il n'y a aucun moyen de savoir si les pirates ont réussi à extraire et à utiliser les clés avant la découverte publique de Bartvbl.

On espère que l'analyse d'échantillons de logiciels malveillants sur des services comme VirusTotal pourrait finalement donner une réponse à la question, nous devons d'abord attendre qu'un virus potentiel soit découvert.

Cet incident ébranle-t-il votre confiance dans la technologie?

Quelle est votre opinion sur cette situation? Des défauts comme celui-ci sont-ils inévitables dans le monde de la technologie, ou les entreprises sont-elles à blâmer pour leur mauvaise attitude envers la sécurité?

Un incident comme celui-ci vous empêcherait-il d'utiliser les produits D-Link à l'avenir, ou accepteriez-vous le problème et continuer malgré tout?

Comme toujours, nous aimerions avoir de vos nouvelles. Vous pouvez nous faire part de vos réflexions dans la section commentaires ci-dessous.

Crédit d'image: Matthias Ripp via Flickr.com