美國聯(lián)邦貿(mào)易委員會 (FTC)起訴D-Link，因為其路由器和攝像頭的安全性不足，將消費者最敏感的個人數(shù)據(jù)置于危險之中。D-Link因發(fā)布缺乏基本安全措施的產(chǎn)品以及在這些產(chǎn)品中發(fā)現(xiàn)安全問題時響應遲緩而受到批評。

關于此主題的最新更新表明，D-Link已同意進行近10年的安全審計以解決FTC訴訟，同時進行必要的安全增強以保護用戶數(shù)據(jù)。FTC消費者保護局局長Andrew Smith表示：“連接設備的制造商和銷售商應該意識到，F(xiàn)TC將要求D-Link對將用戶數(shù)據(jù)暴露于泄露風險的故障負責。”

技術概述

虹科Vdoo的安全研究團隊不斷對來自安全和安保領域的行業(yè)領先物聯(lián)網(wǎng)產(chǎn)品進行廣泛的研究，包括網(wǎng)絡設備和路由器。繼最近FTC對D-Link產(chǎn)品的訴訟更新后，虹科Vdoo安全研究團隊使用Vdoo的自動化安全和分析解決方案Vision自動分析各種網(wǎng)絡設備。結果表明大多數(shù)連接的嵌入式設備都沒有得到很好的保護。由此可見D-Link很可能不是唯一未能實施安全最佳實踐的制造商。

分析是通過路由器的固件二進制文件完成的。每個路由器的分析結果都顯示在詳細報告中。這些報告揭示了一些潛在的零日漏洞和許多與所分析設備相關的關鍵安全問題。下面介紹了其中三個關鍵安全問題。

Vision 發(fā)現(xiàn)的主要威脅

READ

以下是在分析的路由器中發(fā)現(xiàn)的三個關鍵安全問題。每個問題都由一個安全要求解決，該要求解釋了發(fā)現(xiàn)的安全問題，詳述了此類問題的含義，以及供應商應采取哪些措施來降低風險。

HONGKE

1.在沒有關鍵安全標志的情況下編譯了多個二進制文件。

2.私鑰存儲在設備上。

3.正在CGI腳本中執(zhí)行Shell命令。

安全問題的影響

READ

安全要求的不充分實施可能會增加遠程攻擊者成功利用設備或嗅探敏感數(shù)據(jù)的概率。成功攻擊后，攻擊者可以：完全控制設備-更改設備配置-訪問用戶的瀏覽歷史記錄和傳輸?shù)臄?shù)據(jù)-安裝惡意軟件以將設備添加到僵尸網(wǎng)絡，這可能允許攻擊者執(zhí)行其他操作惡意任務，例如DDoS攻擊和加密貨幣挖掘-將設備用作網(wǎng)絡的滲透點（執(zhí)行橫向移動）-操縱傳輸?shù)臄?shù)據(jù)以執(zhí)行可能允許攻擊者獲取用戶名、密碼和信用等敏感信息的網(wǎng)絡釣魚攻擊卡詳細信息。

給設備制造商的建議

在開發(fā)階段實施安全

安全問題不能只是事后考慮，因為這可能會導致付出高昂的代價，例如上市時間延遲或冗余設計更改。如果完全忽視，可能會導致訴訟和聲譽受損，就像 D-Link的情況一樣。

強烈建議供應商在整個開發(fā)生命周期中執(zhí)行持續(xù)的安全檢查。對于有效的CI流程，構建自動化服務器和Vision API之間的集成。每次構建完成時，Vision都對其進行自動分析。完成Vision分析后，開發(fā)人員會收到一封電子郵件，包含分析結果完整報告的鏈接。

迄今為止，Vision分析引擎生成了900多個安全要求，這些要求僅在與特定分析的設備相關時才顯示，以平衡和優(yōu)先的方式簡化實施。此外，Vision分析引擎會發(fā)現(xiàn)潛在漏洞，這些漏洞也包含在被分析設備的報告中。迄今為止，已在各種產(chǎn)品類型和通用代碼庫中發(fā)現(xiàn)了 160 多個零日漏洞。

注意：這些漏洞是最佳的方式向供應商披露的，并將在披露期結束，且有足夠的時間修補設備后逐步共享。

2. 確保符合行業(yè)標準

萬一發(fā)生安全事件，或者甚至只是為了更好的營銷定位，如果供應商能夠證明通過遵守領先的行業(yè)標準來考慮安全性，則情況會更好。標準化機構、監(jiān)管機構和行業(yè)團體正在努力定義適當?shù)木W(wǎng)絡安全設備的標準。然而，在許多情況下，這些標準很難遵循，因為這些標準不夠詳細。

Vision通過繪制出與每個標準相關的安全要求，幫助供應商遵守各種法規(guī)、行業(yè)標準和最佳實踐，同時可以幫助D-Link遵守國際電工委員會(IEC)的要求。

3. 嵌入主動實時保護層

即使在設備投放市場之前在設備中正確實施了安全措施，新的威脅也會不斷出現(xiàn)。按需緩解功能可以保護設備免受新威脅的侵害，這可以通過虹科Vdoo ERA嵌入式運行時微代理實現(xiàn)。這充當了額外的保護層，使攻擊者很難利用漏洞或安全漏洞。

附錄-虹科Vdoo安全性防護平臺

虹科Vdoo是端到端的產(chǎn)品安全分析平臺，在整個產(chǎn)品生命周期中自動化所以軟件安全任務，確保所有安全問題得到優(yōu)先處理、溝通和緩解。垂直無關的平臺使各種行業(yè)的設備制造商和部署者能夠跨多個業(yè)務線擴展其產(chǎn)品安全功能。虹科Vdoo的自動保護連接產(chǎn)品的方法使客戶大大縮短了上市時間，減少了資源需求，增加了銷售，降低了總體風險。

責任編輯：haq