What happens when your DNA is damaged? - Monica Menesini
אם אתה מפעיל בנק ולהשתמש מצלמת וידאו IP מ D-Link, ייתכן שתרצה לשים לב לכך.
מספר מצלמות וידאו מעקב מבוסס IP שנעשו על ידי D-Link יש פגיעויות קושחה העלולות לאפשר לתוקף ליירט את זרם הווידאו, על פי חוקרי אבטחה.
Core Security, חברה שבסיסה בבוסטון המתמחה בזיהוי פגיעות ומחקר, פרסמה ביום שני פרטים על חמישה פגיעויות בקושחה של D-Link, אשר עטוף לפחות 14 של מוצריה. [
[לקריאה נוספת: מגיני נחשול הטוב ביותר עבור האלקטרוניקה יקרים שלך]D-Link עושה מגוון של מצלמות המחובר לאינטרנט, כי היא מוכרת לעסקים ולצרכנים. המצלמות יכולות להקליט תמונות ווידאו ולהיות נשלטות באמצעות לוחות בקרה מבוססי אינטרנט. ניתן לצפות בעדכונים חיים בהתקנים ניידים מסוימים.
אחד הדגמים הפגיעים, DCS-5605 / DCS-5635, כולל תכונת זיהוי תנועה, אשר מציעה D-Link בחומרי השיווק שלה יהיה טוב לבנקים, בתי חולים ומשרדים.
החוקרים של Core Security מצאו כי ניתן היה לגשת ללא אימות זרם וידאו חי באמצעות פרוטוקול RTSP (בזמן אמת), כמו גם פלט ASCII של זרם וידאו במודלים המושפעים. RTSP הוא פרוטוקול ברמת היישום להעברת נתונים בזמן אמת, על פי כוח המשימה להנדסת אינטרנט.
החוקרים מצאו גם בעיה עם לוח הבקרה מבוסס האינטרנט שיאפשר להאקר להזין פקודות שרירותיות. בשגיאה אחרת, D-Link אישורי כניסה מוצפנים לקושחה אשר "משמשת למעשה כגרור אחורי, המאפשר לתוקפים מרוחקים לגשת לזרם הווידאו של RTSP", אמר Core Security. בהודעה בחלק "גילוי מלא" של Seclists.org, יחד עם רשימה של מוצרים מושפעים ידועים, שחלקם כבר בהדרגה על ידי D-Link.
Core אבטחה הודעה D-Link של הבעיה ב -29 במרץ, על פי יומן של האינטראקציה של שתי החברות שנכללו בהודעה על גילוי מלא. היומן, שנכתב על ידי Core, מכיל פרטים מעניינים על האופן שבו שתי החברות התכתבו, וככל הנראה היו כמה חילוקי דעות.
לדברי ליבה, D-Link אמר כי יש "תוכנית פרסומת לא מפורסם עבור ספקי אבטחה." חברות רבות יש תוכניות באג לתגמל את החוקרים עם מזומנים או תמריצים אחרים למציאת בעיות אבטחה במוצרים שלהם ליידע אותם לפני פרסום פומבי של הפרטים.
בסביבות 20 מרס, D-Link ביקש Core אבטחה לחתום על "תזכיר הבנה" במסגרת התוכנית, אשר נדחה Core. תנאי התזכיר לא תוארו. הליבה סיפרה ל- D-Link כי "קבלת כסף מהספקים עשויה להטות את דעתו של הדו"ח". D-Link אמר ליבה כי זה יהיה לשחרר את המדבקות ואת ההדרכה כדי לתקן את הבעיות בפורום D-Link תמיכה. D-Link יחכה חודש לפני שיפרסם הודעה פומבית.
Core Security לא מצא את ההצעה. ביום רביעי שעבר ביקשה Core את D-Link "להבהרה בנוגע למועד פרסום D-Link, ומודיעה כי שחרור תיקונים לקבוצה סגורה חסומה ו / או פורום סגור או רשימה אינה מקובלת".
פורום של D-Link שדה כניסה, אך נראה כי כל אחד יכול להציג רבים מהפוסטים מבלי להירשם. D-Link חזר יום לאחר מכן ואמר כי תיקונים מוכנים ו יפורסמו באתר האינטרנט שלה "במהלך הימים הקרובים," כתב הליבה.
D-Link לא להגיב מיד לבקשות תגובה. זה לא היה ברור בפורום התמיכה של החברה אם עדכוני הקושחה פורסמו עדיין.
Core Security זכתה לחוקריה פרנסיסקו פלקון, נאוול ריבה, מרטין רושה, חואן קוטא, פאבלו סנטמריה ופרננדו מירנדה עם מציאת הבעיות. >
IIS 6 תקיפה עלולה לאפשר להאקרים לחטט בשרתים
חוקרים אומרים כי באג לא מתויג ב- IIS 6 יכול לאפשר לתוקפים להציג או להעלות קבצים לשרת .
בדיקה ריגול GhostNet Cyber עדיין יש סוף רופף שלושה חודשים לאחר פעולה מקיפה, ברחבי העולם ריגול סייבר נחשף מדינות רבות שהיו פרוצים אולי לא היה עם זאת, הודעה רשמית עדיין.
כמעט שלושה חודשים לאחר פרסום דו"ח מפורט על פעילות ריגול מקיפה ברחבי העולם, מדינות רבות אשר נפרצו לא יכול להיות רשמי פורסמה עדיין.
הגן על המחשב האישי שלך מפני תוכנות ריגול, סוסים טרויאנים באמצעות חיפוש ריגול והרס
הגן על מחשב Windows שלך מפני תוכנות ריגול, סוסים טרויאניים באמצעות Spybot חיפוש והשמד.