Como consumidores, todos estamos obligados a depositar cierta confianza en las compañías de tecnología que utilizamos. Después de todo, la mayoría de nosotros no somos lo suficientemente capacitados para descubrir lagunas de seguridad y vulnerabilidades por nuestra cuenta.
El debate sobre la privacidad y el furor reciente causado por Windows 10 ¿La característica WiFi Sense de Windows 10 representa un riesgo de seguridad? ¿La característica WiFi Sense de Windows 10 representa un riesgo de seguridad? Leer más es solo una parte del rompecabezas. Otra, una parte más siniestra, es cuando el hardware en sí tiene fallas.
Un usuario experto en informática puede administrar su presencia en línea y ajustar ajustes suficientes para limitar sus problemas de privacidad Todo lo que necesita saber sobre la privacidad de Windows 10 Todo lo que necesita saber sobre los problemas de privacidad de Windows 10 Mientras que Windows 10 tiene algunos problemas que los usuarios deben conocer de, muchos reclamos han sido desproporcionados. Aquí está nuestra guía de todo lo que necesita saber sobre los problemas de privacidad de Windows 10. Lea más, pero un problema con el código subyacente de un producto es más serio; es mucho más difícil de detectar y más difícil de manejar para un usuario final.
¿Qué ha pasado?
La última compañía en cometer errores de seguridad es el popular fabricante taiwanés de equipos de red, D-Link. Muchos de nuestros lectores usarán sus productos en casa o en la oficina; en marzo de 2008, se convirtieron en el proveedor número uno de productos Wi-Fi en el mundo, y actualmente controlan alrededor del 35 por ciento del mercado.
Las noticias salieron hoy temprano de gaffe que vio a la firma lanzar sus claves privadas de firma de código dentro del código fuente de una actualización de firmware reciente. Las claves privadas se utilizan como una forma para que una computadora verifique que un producto es genuino y que el código del producto no se ha alterado o dañado desde que se creó originalmente.
En términos sencillos, por lo tanto, esta laguna significa que un pirata informático podría usar las claves publicadas en sus propios programas para engañar a una computadora y hacerle creer que su código malicioso era en realidad un producto legítimo de D-Link.
¿Como paso?
D-Link se enorgullece de su apertura durante mucho tiempo. Parte de esa apertura es el compromiso de abrir todo su firmware bajo una licencia de Licencia Pública General (GPL). En la práctica, eso significa que cualquier persona puede acceder al código de cualquier producto D-Link, lo que le permite modificarlo y modificarlo para adaptarlo a sus requisitos específicos.
En teoría, es una posición recomendable de tomar. Aquellos de ustedes que se mantengan al tanto del debate sobre Apple iOS vs Android sin duda sabrán que una de las mayores críticas dirigidas a la compañía con sede en Cupertino es su compromiso inquebrantable de permanecer bloqueados con las personas que quisieran modificar la fuente código. Es la razón por la que no hay ROM personalizados como Cyanogen Mod de Android. Cómo instalar CyanogenMod en tu dispositivo Android. Cómo instalar CyanogenMod en tu dispositivo Android. Mucha gente puede estar de acuerdo en que el sistema operativo Android es bastante impresionante. No solo es genial de usar, sino que también es gratuito como en código abierto, por lo que se puede modificar ... Leer más para ver los dispositivos móviles de Apple.
El lado opuesto de la moneda es que cuando se hacen errores de código abierto a gran escala, pueden tener un gran efecto de arrastre. Si su firmware era de fuente cerrada, el mismo error habría sido mucho menos problemático y mucho menos probable de haber sido descubierto.
¿Cómo fue descubierto?
La falla fue descubierta por un desarrollador noruego conocido como "bartvbl" que recientemente había comprado la cámara de vigilancia DCS-5020L de D-Link.
Siendo un desarrollador competente y curioso, decidió hurgar "debajo del capó" en el código fuente del firmware del dispositivo. Dentro de él, encontró tanto las claves privadas como las frases clave necesarias para firmar el software.
Comenzó a realizar sus propios experimentos, descubriendo rápidamente que era capaz de crear una aplicación de Windows que estaba firmada por una de las cuatro claves, dándole la apariencia de que provenía de D-Link. Las otras tres claves no funcionaron.
Compartió sus hallazgos con el sitio de noticias de tecnología holandés Tweakers, quien pasó el descubrimiento a la firma de seguridad holandesa Fox IT.
Confirmaron la vulnerabilidad y emitieron la siguiente declaración:
"El certificado de firma de código es de hecho para un paquete de firmware, versión de firmware 1.00b03. Su fecha de origen es el 27 de febrero de este año, lo que significa que las claves de este certificado se lanzaron mucho antes de que expirara el certificado. Es un gran error ".
¿Por qué es tan serio?
Es serio en varios niveles.
En primer lugar, Fox IT informó que había cuatro certificados en la misma carpeta. Esos certificados provienen de Starfield Technologies, KEEBOX Inc. y Alpha Networks. Todos ellos podrían haber sido utilizados para crear código malicioso que tiene la capacidad de eludir el software antivirus. Compare el rendimiento de su antivirus con estos 5 sitios principales. Compare el rendimiento de su antivirus con estos 5 sitios principales. Qué software antivirus. ¿debería usar? Cual es el mejor"? Aquí echamos un vistazo a cinco de los mejores recursos en línea para verificar el rendimiento del antivirus, para ayudarlo a tomar una decisión informada. Lea más y otras comprobaciones de seguridad tradicionales: de hecho, la mayoría de las tecnologías de seguridad confiarán en los archivos que se firman y los dejarán pasar sin cuestionarlos.
En segundo lugar, los ataques avanzados de amenazas persistentes (APT) se están convirtiendo en un modus operandi cada vez más favorecido para los piratas informáticos. Casi siempre usan certificados y claves perdidos o robados para subyugar a sus víctimas. Ejemplos recientes incluyen la controversia final de Destover wiper malware 2014: Sony Hack, The Interview y Corea del Norte. Controversia final de 2014: Sony Hack, The Interview y North Korea. ¿Corea del Norte realmente hackear Sony Pictures? ¿Dónde está la evidencia? ¿Alguien más podría sacar provecho del ataque y cómo se convirtió el incidente en promoción para una película? Leer más usado contra Sony en 2014 y el ataque Duqu 2.0 contra los fabricantes chinos de Apple.
Agregar más poder al arsenal del criminal es claro, no sensato, y regresa al elemento de confianza mencionado al comienzo. Como consumidores, necesitamos que estas empresas estén atentos para proteger sus activos basados en la seguridad a fin de ayudar a combatir la amenaza de los ciberdelincuentes.
¿Quién está afectado?
La respuesta honesta aquí es que no sabemos.
Aunque D-Link ya ha lanzado nuevas versiones del firmware, no hay forma de saber si los hackers lograron extraer y usar las claves antes del descubrimiento público de bartvbl.
Se espera que el análisis de muestras de malware en servicios como VirusTotal responda finalmente a la pregunta, primero debemos esperar a que se descubra un posible virus.
¿Este incidente sacude su confianza en la tecnología?
¿Cuál es su opinión sobre esta situación? ¿Son defectos como este una inevitabilidad en el mundo de la tecnología, o son las empresas las culpables de su mala actitud hacia la seguridad?
¿Un incidente como este lo desanimaría a usar productos D-Link en el futuro, o aceptaría el problema y continuaría independientemente?
Como siempre, nos encantaría saber de usted. Puede informarnos sus pensamientos en la sección de comentarios a continuación.
Crédito de la imagen: Matthias Ripp a través de Flickr.com