美國聯(lián)邦貿(mào)易委員會 (FTC)起訴D-Link，因?yàn)槠渎酚善骱蛿z像頭的安全性不足，將消費(fèi)者最敏感的個人數(shù)據(jù)置于危險(xiǎn)之中。D-Link因發(fā)布缺乏基本安全措施的產(chǎn)品以及在這些產(chǎn)品中發(fā)現(xiàn)安全問題時響應(yīng)遲緩而受到批評。

關(guān)于此主題的最新更新表明，D-Link已同意進(jìn)行近10年的安全審計(jì)以解決FTC訴訟，同時進(jìn)行必要的安全增強(qiáng)以保護(hù)用戶數(shù)據(jù)。FTC消費(fèi)者保護(hù)局局長Andrew Smith表示：“連接設(shè)備的制造商和銷售商應(yīng)該意識到，F(xiàn)TC將要求D-Link對將用戶數(shù)據(jù)暴露于泄露風(fēng)險(xiǎn)的故障負(fù)責(zé)。”

技術(shù)概述

虹科Vdoo的安全研究團(tuán)隊(duì)不斷對來自安全和安保領(lǐng)域的行業(yè)領(lǐng)先物聯(lián)網(wǎng)產(chǎn)品進(jìn)行廣泛的研究，包括網(wǎng)絡(luò)設(shè)備和路由器。繼最近FTC對D-Link產(chǎn)品的訴訟更新后，虹科Vdoo安全研究團(tuán)隊(duì)使用Vdoo的自動化安全和分析解決方案Vision自動分析各種網(wǎng)絡(luò)設(shè)備。結(jié)果表明大多數(shù)連接的嵌入式設(shè)備都沒有得到很好的保護(hù)。由此可見D-Link很可能不是唯一未能實(shí)施安全最佳實(shí)踐的制造商。

分析是通過路由器的固件二進(jìn)制文件完成的。每個路由器的分析結(jié)果都顯示在詳細(xì)報(bào)告中。這些報(bào)告揭示了一些潛在的零日漏洞和許多與所分析設(shè)備相關(guān)的關(guān)鍵安全問題。下面介紹了其中三個關(guān)鍵安全問題。

Vision 發(fā)現(xiàn)的主要威脅

READ

以下是在分析的路由器中發(fā)現(xiàn)的三個關(guān)鍵安全問題。每個問題都由一個安全要求解決，該要求解釋了發(fā)現(xiàn)的安全問題，詳述了此類問題的含義，以及供應(yīng)商應(yīng)采取哪些措施來降低風(fēng)險(xiǎn)。

HONGKE

1.在沒有關(guān)鍵安全標(biāo)志的情況下編譯了多個二進(jìn)制文件。

2.私鑰存儲在設(shè)備上。

3.正在CGI腳本中執(zhí)行Shell命令。

安全問題的影響

READ

安全要求的不充分實(shí)施可能會增加遠(yuǎn)程攻擊者成功利用設(shè)備或嗅探敏感數(shù)據(jù)的概率。成功攻擊后，攻擊者可以：完全控制設(shè)備-更改設(shè)備配置-訪問用戶的瀏覽歷史記錄和傳輸?shù)臄?shù)據(jù)-安裝惡意軟件以將設(shè)備添加到僵尸網(wǎng)絡(luò)，這可能允許攻擊者執(zhí)行其他操作惡意任務(wù)，例如DDoS攻擊和加密貨幣挖掘-將設(shè)備用作網(wǎng)絡(luò)的滲透點(diǎn)（執(zhí)行橫向移動）-操縱傳輸?shù)臄?shù)據(jù)以執(zhí)行可能允許攻擊者獲取用戶名、密碼和信用等敏感信息的網(wǎng)絡(luò)釣魚攻擊卡詳細(xì)信息。

給設(shè)備制造商的建議

在開發(fā)階段實(shí)施安全

安全問題不能只是事后考慮，因?yàn)檫@可能會導(dǎo)致付出高昂的代價，例如上市時間延遲或冗余設(shè)計(jì)更改。如果完全忽視，可能會導(dǎo)致訴訟和聲譽(yù)受損，就像 D-Link的情況一樣。

強(qiáng)烈建議供應(yīng)商在整個開發(fā)生命周期中執(zhí)行持續(xù)的安全檢查。對于有效的CI流程，構(gòu)建自動化服務(wù)器和Vision API之間的集成。每次構(gòu)建完成時，Vision都對其進(jìn)行自動分析。完成Vision分析后，開發(fā)人員會收到一封電子郵件，包含分析結(jié)果完整報(bào)告的鏈接。

迄今為止，Vision分析引擎生成了900多個安全要求，這些要求僅在與特定分析的設(shè)備相關(guān)時才顯示，以平衡和優(yōu)先的方式簡化實(shí)施。此外，Vision分析引擎會發(fā)現(xiàn)潛在漏洞，這些漏洞也包含在被分析設(shè)備的報(bào)告中。迄今為止，已在各種產(chǎn)品類型和通用代碼庫中發(fā)現(xiàn)了 160 多個零日漏洞。

注意：這些漏洞是最佳的方式向供應(yīng)商披露的，并將在披露期結(jié)束，且有足夠的時間修補(bǔ)設(shè)備后逐步共享。

2. 確保符合行業(yè)標(biāo)準(zhǔn)

萬一發(fā)生安全事件，或者甚至只是為了更好的營銷定位，如果供應(yīng)商能夠證明通過遵守領(lǐng)先的行業(yè)標(biāo)準(zhǔn)來考慮安全性，則情況會更好。標(biāo)準(zhǔn)化機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)和行業(yè)團(tuán)體正在努力定義適當(dāng)?shù)木W(wǎng)絡(luò)安全設(shè)備的標(biāo)準(zhǔn)。然而，在許多情況下，這些標(biāo)準(zhǔn)很難遵循，因?yàn)檫@些標(biāo)準(zhǔn)不夠詳細(xì)。

Vision通過繪制出與每個標(biāo)準(zhǔn)相關(guān)的安全要求，幫助供應(yīng)商遵守各種法規(guī)、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，同時可以幫助D-Link遵守國際電工委員會(IEC)的要求。

3. 嵌入主動實(shí)時保護(hù)層

即使在設(shè)備投放市場之前在設(shè)備中正確實(shí)施了安全措施，新的威脅也會不斷出現(xiàn)。按需緩解功能可以保護(hù)設(shè)備免受新威脅的侵害，這可以通過虹科Vdoo ERA嵌入式運(yùn)行時微代理實(shí)現(xiàn)。這充當(dāng)了額外的保護(hù)層，使攻擊者很難利用漏洞或安全漏洞。

附錄-虹科Vdoo安全性防護(hù)平臺

虹科Vdoo是端到端的產(chǎn)品安全分析平臺，在整個產(chǎn)品生命周期中自動化所以軟件安全任務(wù)，確保所有安全問題得到優(yōu)先處理、溝通和緩解。垂直無關(guān)的平臺使各種行業(yè)的設(shè)備制造商和部署者能夠跨多個業(yè)務(wù)線擴(kuò)展其產(chǎn)品安全功能。虹科Vdoo的自動保護(hù)連接產(chǎn)品的方法使客戶大大縮短了上市時間，減少了資源需求，增加了銷售，降低了總體風(fēng)險(xiǎn)。

責(zé)任編輯：haq