文档章节

FTC起诉D-Link销售不安全的路由器和摄像头

信长城
 信长城
发布于 2017/01/11 14:55
字数 1509
阅读 3
收藏 0

 

北京时间1月6日晚间消息,美国联邦贸易委员会(FTC)于上周四向旧金山联邦法院起诉(PDF)台湾友讯科技(D-Link),FTC指控D-Link的路由器和网络摄像头让数以千计的消费者面临被黑客攻击的风险。FTC在起诉书中称,被告屡次未能采取合理的软件测试和防治措施保护路由器和网络摄像头免受已知的容易预防的安全漏洞。如硬编码用户凭证等后门,以及命令注入漏洞,这些漏洞允许远程攻击者控制消费者的设备。

 

FTC还指控D-Link以明文的方式储存用户登录凭证该行为将导致黑客以极低的成本获取用户名及密码通过窃听远程操纵等方式实施敲诈勒索、大范围网络攻击等行为,造成个人损失和社会不安定因素。

 

2015年,美国在网络和信息安全方面的新政策、新举措覆盖12个方面,涉及方方面面,2016财年预算报告要求整个联邦政府斥资140亿美元用于支持政府层面的网络安全发展战略,这140亿美元为新增款项,意味着较2015财年总额增长了11%。

 

互联网中,先系统后安全的思路使安全问题层出不穷,在万物互联的今天,各国政府都在积极推进物联网安全部署。 

 

物联网的系统安全取决于其最薄弱的端点

物联网,在企业或消费者环境中部署和连接设备、对象或基础设施,本质上是多个端点之间的连接,它覆盖所有连接的应用,例如一个家庭中连接着的温控器、风力涡轮机的传感器,包括设备、应用程序、网络和人员。

 

当面临表面的威胁时(即潜在的脆弱性的景观),组织必须评估风险的“物联网安全堆栈”,这些领域不只是技术系统组件,而且还包括参与系统的人——组织内部的和合作伙伴,同时,还要谨防系统外的非法行为。

 

虽然设备、应用程序和网络(技术)安全是维护任何连接事物的核心,人员安全的另一个重要方面却往往被忽视。密码安全、BYOD环境、员工流失、缺乏安全培训、简单的人为错误,在任何系统中呈现人员动态也是诸多风险之一。

 

信长城CPK体系可实施的物联网安全身份管理技术

物联网环境下,将有海量设备连接至网络,必然造成网络拥挤甚至瘫痪。信长城CPK技术作为一种去中心化的信息安全技术,支持端到端直接认证、在线和离线场景应用,可渗透到身份认证、电子商务、基础通信、可信计算、云应用、标签防伪、数字版权等广泛领域,发挥信息安全的基础性作用。

 

信长城数字证书不仅可以对网络虚拟个人身份进行鉴定识别,还可以对设备、网关基站等各类数据传输节点进行身份认证授权,确保数据信息链路通信安全,可以从根本上解决物联网安全问题,实现端到端的细胞级安全。基于标识认证的CPK标识密钥体制更是业内公认的主动安全保护技术。

 

身份管理意味着什么

现实世界中,识别人最简单的方式是社会关系、社会活动及法定身份。在中国,公安部的身份证认证已经应用的很广泛了。由于网络的虚拟特性,自然引出了身份识别的新问题。网络上一切活动,都从身份识别开始,随机ID、匿名也是一种身份,正如现实社会中一样,身份是社会运作的基础。

 

但是网络上的匿名身份和现实世界中的身份不对应给了人们逃避责任、越界犯法的条件,使得隐藏在网络中的非法行为层出不穷。一旦身份在网络中能够识别,合法身份互信通讯,非法身份和恶意行为就很难得逞,网络环境就会变得更加安全。

 

几乎每一个连接的环境都涉及到一些个人身份信息的元素,业内简称PII,全称为Personally Identifiable Information。识别身份是一切人际交往、人机互动的开始,也是网络社会的基础架构。在物联网环境下,人们需要重新思考个人身份信息的组成。

 

事件最新进展

FTC表示,该诉讼是FTC致力于保护消费者在物联网(IoT)环境中隐私和安全所采取措施的一部分。在此之前,FTC也曾其所过华硕和TRENDnet,而华硕已于 2016年2月与FTC达成和解。

 

友讯科技对于此次FTC起诉D-Link事件表示,这是毫无依据的无端指责,将在法庭上据理力争。友讯科技在一份声明中称:“FTC并未说明哪些消费者遭受到,或者可能遭受到实质性的损失。”

 

互联网安全研究公司Flashpoint安全研究总监艾丽森•尼克松(Allison Nixon)称,FTC此举可能推动物联网厂商加强其产品安全性。她说:“我想,厂商一定会认真对待此事。”

 

新闻来源:新浪科技;

素材来源:北京信长城技术研究院官方网站;《我是谁?谈身份识别技术与安全》。由信长城小编整理发布。

© 著作权归作者所有

信长城
粉丝 0
博文 3
码字总数 3694
作品 0
私信 提问
你所不知道的路由器:已成新入口!

写在前面的话:也许你不知道的是,丝毫不起眼的路由器正在成为兵家必争的上游入口。本文作者丁丁指出,其实,路由器在极客们的手中,早已超脱了传统 的路由器概念,变成了兼具各种功能的神器...

oschina
2013/06/09
12.2K
92
何时能不被黑客鱼肉?D-Link 智能摄像头又出事了

近些年来各家厂商把“智能”摄像头市场做的是风生水起,许多消费者也想靠这些大眼睛来守护一方平安。对普通人来说,这些智能化的摄像头确实相当方便,只需连上网络,你就能在千里之外获取自己...

大壮旅
05/04
0
0
全球 30 万路由器被黑 DNS 被修改

安全公司 Team Cymru 周一发布报告,表示全球有 30 万台路由器设备被黑,设备被黑厂商包括 D-Link、Micronet、腾达、TP-Link 等。被黑之后,用户 DNS 会被改为 5.45.75.11 和 5.45.76.36。通...

oschina
2014/03/05
6.3K
32
逆向工程友讯科技 (D-Link) 路由器固件后门

嵌入式设备安全研究员逆向工程出友 讯科技(D-Link)路由器固件中的后门。D-Link的固件由其美国子公司Alpha Networks开发。安全研究人员发现,不需要任何验证,只需要浏览器用户代理字符串(...

oschina
2013/10/14
9.4K
61
隐秘的“僵尸”世界:针对中国路由器的巨型僵尸网络只是开始

一起跨越一年多的案件可能带给我们新的思考——“僵尸”来了,很难挡住。 2017年年末,美国司法部门宣布制造了“美国东部大断网”的Mirai 僵尸网络始作俑者认罪,这起在 2016 年肆虐美国东部...

李勤
2018/01/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

OpenStack 简介和几种安装方式总结

OpenStack :是一个由NASA和Rackspace合作研发并发起的,以Apache许可证授权的自由软件和开放源代码项目。项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenSta...

小海bug
昨天
5
0
DDD(五)

1、引言 之前学习了解了DDD中实体这一概念,那么接下来需要了解的就是值对象、唯一标识。值对象,值就是数字1、2、3,字符串“1”,“2”,“3”,值时对象的特征,对象是一个事物的具体描述...

MrYuZixian
昨天
6
0
数据库中间件MyCat

什么是MyCat? 查看官网的介绍是这样说的 一个彻底开源的,面向企业应用开发的大数据库集群 支持事务、ACID、可以替代MySQL的加强版数据库 一个可以视为MySQL集群的企业级数据库,用来替代昂贵...

沉浮_
昨天
6
0
解决Mac下VSCode打开zsh乱码

1.乱码问题 iTerm2终端使用Zsh,并且配置Zsh主题,该主题主题需要安装字体来支持箭头效果,在iTerm2中设置这个字体,但是VSCode里这个箭头还是显示乱码。 iTerm2展示如下: VSCode展示如下: 2...

HelloDeveloper
昨天
7
0
常用物流快递单号查询接口种类及对接方法

目前快递查询接口有两种方式可以对接,一是和顺丰、圆通、中通、天天、韵达、德邦这些快递公司一一对接接口,二是和快递鸟这样第三方集成接口一次性对接多家常用快递。第一种耗费时间长,但是...

程序的小猿
昨天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部