D-Link допустила утечку секретных ключей шифрования для своих сертификатов

d-link-logo_250x250 Изготовитель роутеров и иной аппаратуры компания D-Link произвольно выложила секретные ключи шифрования для своих сертификатов в открытый доступ, при помощи которых любой желающий может подписать ПО, включая и прошивки для роутеров, от имени D-Link со всеми вытекающими из этого результатами.

Некий юзер под псевдонимом bartvbl. Приобрёл видеокамеру D-Link DCS-5020l, после чего решил скачать патч прошивки для сего девайса. Согласно условиям лицензирования GPL, компания должна выкладывать в общий доступ исходный код прошивок для большинства своих устройств.

d-link-dcs-5020l

bartvbl исследовал данный исходный код — и нашёл четыре секретных ключа шифрования, которые были использованы для подписи кода. Однако на тот момент лишь 1-н из обнаруженных ключей шифрования, принадлежащий компании D-Link, оказался валидным, о чём сообщает голландское издание Tweakers.

d-link-leaked-secret-keys_1

d-link-leaked-secret-keys_2

Данный инцидент демонстрирует, что маленькая бестолковость программистов может привести к довольно печальным результатам. При помощи такого ключа преступники и даже правительственные специальные службы имеют возможность воплощать в жизнь продвинутые целенаправленные нападения, распространяя поддельное программное обеспечение со шпионскими закладками устанавливая его на аппаратуру D-Link как подлинное.

Независимые эксперты в сфере ИТ-безопасности доказали правдивость находки юзера bartvbl. Yonathan Klijnsma (Джонатан Клийнсма), работающий на компанию Fox-IT, сообщил, что секретные ключи шифрования размещены в коде прошивки версии 1.00b03, которая была выпущена 27 февраля 2015 года. После этого были выпущены иные версии прошивок, в которых секретные ключи уже отсутствовали.

Из вышеизложенного можно сделать вывод: паранойи много не бывает. Выходит, что сразу же после покупки маршрутизатора его лучше перепрошить оригинальной прошивкой скачанной с веб-сайта производителя девайса.


Добавить комментарий


Защитный код
Обновить

no-script
[ Подробнее... ]
26.25 megabytes