D‑Link lepiej zabezpieczy swoje routery i kamery IP. Nie ma innego wyjścia
D-Link obiecuje lepiej zabezpieczać swoje produkty. Dotyczy to routerów i kamer podłączanych do internetu tajwańskiego producenta.
03.07.2019 15:01
Zobowiązanie D-Linka to skutek procesu z amerykańską Federalną Komisją Handlu. W 2017 roku urząd złożył skargę na D-Linka. Jego produkty sieciowe nie były odpowiednio zabezpieczone i narażały bezpieczeństwo i prywatność użytkowników.
Komisja zarzuciła D-Linkowi, że nie podjął żadnych „rozsądnych” kroków w kierunku ochrony routerów i kamer IP. Wiele zagrożeń można było łatwo przewidzieć. W szczególności Komisja wspomniała o braku zabezpieczenia krytycznej luki w oprogramowaniu, znanej od 2007 roku. Przez to możliwe były znane od dawna ataki na sprzęt D-Linka, w tym wydobywanie wrażliwych informacji i nieautoryzowany dostęp do strumieni wideo z kamer.
D-Link nie stosował podstawowych zasad bezpiecznego rozwijania oprogramowania. Nie przeprowadzał odpowiednich testów i nie łatał na bieżąco znanych luk bezpieczeństwa. Wisienką na torcie były zakodowane „na sztywno” dane logowania w oprogramowaniu kamery i przechowywanie danych logowania do aplikacji czystym tekstem na urządzeniach mobilnych.
Nic dziwnego, że Komisja wysunęła oskarżenie. W ten sposób zamierza też pokazać producentom elektroniki, że są odpowiedzialni za dane swoich klientów.
D-Link obiecuje poprawę
D-Link i FTC doszli do porozumienia. W ramach ugody D-Link wdroży kompleksowy program, mający zapewnić bezpieczeństwo routerów i kamer IP. Program obejmuje planowanie zabezpieczeń, modelowanie zagrożeń i ataków oraz testowanie metod obrony. Ponadto producent musi stale monitorować swoje oprogramowanie i zwracać szczególną uwagę na raporty specjalistów. Aktualizacje oprogramowania mają być wydawane szybko i instalować się automatycznie.
D-Link musi też przez najbliższe 10 lat przechodzić audyty. Kontrola niezależnych specjalistów, zatwierdzonych przez FTC, ma być przeprowadzana co 2 lata. FTC poleciła też, by D-Link postarał się o certyfikaty zgodności ze standardami bezpieczeństwa, wyznaczonymi przez Międzynarodową Komisję Elektrotechniczną (IEC).
Choć zalecenia pochodzą od amerykańskiej komisji, skorzystają z nich właściciele urządzeń D-Link na całym świecie.