Tėvinė kategorija: Naujienos
Skaitytojų: 3617

Dėl nuolat atrandamų rimtų saugumo spragų „D-Link“ internetiniuose įrenginiuose, JAV federalinė prekybos komisija kompaniją padavė į teismą. Anot komisijos kompanija nesiėmė pakankamai priemonių savo gaminių saugumui užtikrinti, tokiu būdu sukeldama pavojų šalies piliečiams.

Internet of Things
CC BY 2.0 Wilgengebroed

Kaip rašoma prekybos komisijos svetainėje, ieškinyje teismui yra teigiama, kad dabartiniu metu įsilaužėliai vis dažniau nusitaiko į eilinių namų vartotojų įrenginius, tokius kaip interneto maršrutizatoriai ar kameros. Įsilaužėliai ne tik perima tokių įrenginių valdymą, bet ir sukelia pavojų vartotojų asmeniniams duomenims. Anot komisijos vartotojų teisių apsaugos biuro direktorės Jessica Rich, yra ypač svarbu ne tik teigti, jog gamintojo įrenginiai yra saugūs, bet tuo pačiu ir realiai imtis priemonių šiam saugumui užtikrinti.

Tarp kitų spragų, kurias ieškinyje cituoja prekybos komisija, yra nurodoma:
* Nepakeičiamų standartinių slaptažodžių naudojimas internetinėse kamerose.
* Nesaugi programinė įranga, leidžianti įsprausti pašalines komandas į standartines užklausas ir taip perimti įrenginio valdymą.
* Nesaugus privataus šifravimo rakto naudojimas. Pastarasis buvo viešai prieinamas kompanijos interneto svetainėje ir bet kas panorėjęs galėjo sukurti „sertifikuotą“ programinę įrangą „D-Link“ įrenginiams.
* Nešifruotų prisijungimo duomenų naudojimas mobiliuosiuose įrenginiuose.

Komisijos teigimu, kompanijos teiginiai savojoje Reagavimo į saugumo įvykių politikoje bei reklaminiuose leidiniuose yra neteisingi arba atvirai melagingi. Ieškiniu siekiama kompensacijų už padarytą žalą bei prekybos „D-Link“ įrenginiais ribojimų JAV rinkoje, jei kompanija ir toliau pažeidinės federalinius prekybos įstatymus.

Savo ruožtu kompanija šiuos kaltinimus neigia, teigdama, kad įrengini ų ir jų vartotojų informacijos saugumas yra kompanijos prioritetas.

Kaip ten bebūtų, tačiau „D-Link“ įrenginiai tikrai dažnai matomi pranešimuose apie aptiktas spragas. Dar daugiau, kompanija neretai ne itin skubinasi parengti pataisymus savo įrenginiams, net ir tuo atveju, kai aptiktos spragos yra kritinės. Pernai metų rudenį saugumo specialistai apskritai rekomendavo nustoti naudoti „D-Link DWR-932“ įrenginį, nes nuo pat vasaros pradžios, kai saugumo specialistai informavo kompaniją, ji nesiteikė ištaisyti kritinių spragų, leidžiančių perimti įrenginio kontrolę. Asmeninė patirtis irgi neleidžia pagirti „D-Link“ kompanijos, kalbant apie maršrutizatorių programinę įrangą. Jei jau pirkti „D-Link“ maršrutizatorių, tai tik tokį, kuriam tinka „Open-WRT", „DD-WRT“ ar kita alternatyvi programinė įranga.

O nesaugių įrenginių pasekmės juntamos jau dabar. Pernai metų rudenį maždaug šimtas tūkst nesaugių interneto kamerų buvo pasitelktos, surengti didžiausio masto DDoS ataką prieš vieną saugumo tinklalapį. Pačioje metų pabaigoje liūdnas „Mirai“ kenkėjiškos porgramos pasiektas rekordas buvo pagerintas „Leet“ zombių tinklo, kuris 650 Gbps duomenų srautu užgriuvo „Imperva“ saugumo kompanijos tinklus.

Reikia tikėtis, kad tokio pobūdžio ieškinys privers sukrusti ir kitas kompanijas, nes „D-Link“ tikrai nėra vienintelė, minima aptiktų saugumo spragų sąrašuose. Gal tai pastūmės kompanijas rimčiau žiūrėti į savo gaminių priežiūrą po to, kai jie būna parduoti vartotojui, mat kol kas vyrauja gana atsainus požiūris: "tai jau vartotojo problema".