D-Link не смогла обеспечить защиту роутеров и IP-камер - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

D-Link не смогла обеспечить защиту роутеров и IP-камер

В минувший четверг Федеральная торговая комиссия США еще раз подтвердила, что серьезно относится к вопросам безопасности так называемого Интернета вещей: правительственный регулятор подал иск против одного из ведущих производителей маршрутизаторов.

В исковом заявлении, принятом в производство окружным судом Сан-Франциско, утверждается, что D-Link Systems не смогла обеспечить адекватную защиту своих беспроводных роутеров и IP-камер и это потенциально повышает риск компрометации данных пользователей.

В 31-страничном документе, поданном на рассмотрение первым заместителем генерального юрисконсульта ФТК Дэвидом Шонкой (David Shonka), сказано, что ответчик не выполнил в ожидаемой мере многие из своих обещаний в отношении кибербезопасности, озвученных на сайте компании. IP-камеры производства D-Link до сих пор содержат вшитые в код идентификаторы username:guest/password:guest, облегчающие получение доступа к выгрузке с камеры. ФТК также утверждает, что многие роутеры вендора страдают от багов, позволяющих внедрять команды и устанавливать удаленный контроль над устройством.

Кроме того, D-Link, со слов ФТК, на полгода оставила на сайте в открытом доступе секретный код-ключ, который можно было использовать для регистрации в ПО компании. Не обеспечены также механизмы защиты идентификаторов, под которыми пользователи осуществляют вход в мобильное приложение D-Link, «несмотря на наличие бесплатных программ, предназначенных для защиты такой информации».

«Хакеры все чаще атакуют роутеры и IP-камеры широкого потребления, и последствиями для потребителя могут стать компрометация устройства и раскрытие важной персональной информации, — пишет в пресс-релизе Джессика Рич (Jessica Rich), глава подразделения ФТК по защите прав потребителей. — Если производитель говорит потребителю, что его оборудование надежно защищено, очень важно, чтобы он принял все необходимые меры для обоснования этого утверждения».

Согласно иску ФТК, ответчик подверг пользователей «значительному риску в отношении вреда, который можно нанести разными способами». Так, например, истец предупреждает о возможности компрометации данных о налоговых поступлениях от физического лица, если заполненная декларация сохранена на съемном носителе роутера. Также злоумышленник имеет возможность следить за хозяином дома или его детьми, используя уязвимости в IP-камере.

Особенно спорными ФТК сочла заявления D-Link о том, будто выпускаемые ею роутеры «легко обезопасить», а также что компания предлагает «передовые средства сетевой защиты». Истец требует, чтобы D-Link исправила все упущения в системе обеспечения безопасности «во избежание дальнейших злоупотреблений». ФТК также ходатайствует о возмещении ей расходов, связанных с обращением в суд, «а также о любой другой, дополнительной компенсации, если суд сочтет ее справедливой и надлежащей».

В минувшем году защищенность продукции D-Link не раз ставилась под сомнение. Так, в июне в одной из ее Wi-Fi-камер была обнаружена удаленно эксплуатируемая уязвимость, которая, как затем оказалось, затрагивает более 120 изделий D-Link, предназначенных для домашнего пользования. Несколько позже вендору пришлось в экстренном порядке исправлять слабости реализации SSL в устройствах, привязанных к веб-сервису mydlink. В сентябре исследователь из Южной Кореи заявил, что роутер DWE-932B производства D-Link настолько безнадежно уязвим, что пользователям пора его попросту выкинуть.

В ответ на запрос Threatpost о комментарии D-Link отвергла все претензии, изложенные в иске ФТК, и заявила, что намерена защищать свою позицию в суде. «D-Link Systems, Inc. известно, что ФТК подала против нее иск, — сообщили представители компании. — D-Link отвергает все предположения, изложенные в исковом заявлении, и принимает меры для выстраивания линии защиты. Безопасность наших продуктов и защита приватных данных пользователей всегда были нашим главным приоритетом».

Во втором заявлении, направленном в адрес Threatpost в четверг вечером, D-Link отметила, что в иске ФТК отсутствует утверждение о взломе какого-либо устройства D-Link. Кроме того, представитель компании заявил, что в этом ходатайстве нет ни слова о том, «что какие-то пользователи в самом деле пострадали или понесли значительные потери».

«В исковом заявлении ФТК апеллирует к неким проблемам в роутерах и IP-камерах массового потребления, якобы грозящим нарушением безопасности, однако мы твердо уверены, что обвинения, выдвинутые в иске против D-Link Systems, не имеют оснований, — пишет директор D-Link по ИБ Уильям Браун (William Brown) в ответ на запрос Threatpost. — Мы будем решительно настаивать на безопасности и благонадежности наших роутеров и IP-камер и готовы оспорить исковые претензии. Более того, мы постоянно работаем над совершенствованием механизмов обеспечения безопасности продуктов D-Link Systems для всех предусмотренных случаев их применения и регулярно извещаем пользователей о надлежащих мерах защиты».

В январе 2015 года ФТК опубликовала отчет о состоянии рынка IoT, призвав вендоров использовать передовой опыт по защите подключенных к Интернету устройств. Регулятор также рекомендовал производителям учитывать аспект безопасности при разработке устройств, причем «на начальном этапе, а не задним числом», и «предусмотреть меры против неавторизованного доступа к устройству, данным или личной информации пользователя». В начале того же месяца председатель ФТК Эдит Рамирес (Edith Ramirez), открывая выставку бытовой электроники в Лас-Вегасе, подчеркнула важность оценки рисков в отношении безопасности и приватности в процессе разработки IoT-устройств.

Первый новогодний иск ФТК — своего рода предупреждение всем вендорам подключаемых к Интернету устройств. За день до обращения в суд американский регулятор объявил конкурс на создание инструмента для автоматизированного патчинга IoT.

В феврале прошлого года ФТК урегулировала конфликт с другим производителем роутеров, Asus, которого она обвинила в плохой защите выпускаемой продукции. А недавно регулятор подписал мировое соглашение с операторами популярного сайта знакомств AshleyMadison.com, допустившими утечку 36 млн паролей пользователей в результате хакерской атаки в 2015 году. Провинившаяся компания согласилась уплатить 1,6 млн долл. в качестве компенсации за то, что вводила в заблуждение пользователей относительно сохранности их информации.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus