Internet Technologies - Computer Science for Business Leaders 2016
שלושה עשר נתבים פופולריים לבית ולמשרד קטן מכילים בעיות אבטחה העלולות לאפשר להאקר לחטט או לשנות את תעבורת הרשת, כך עולה ממחקר חדש.
מעריכי אבטחה עצמאיים (ISE) בבולטימור, מצא כי כל הנתבים שהם נבדקו ניתן לקבל אם האקר היה אישורי גישה. המוצרים שנבדקו הגיעו מ- Linksys, Belkin, Netgear, Verizon ו- D-Link.
כל המודלים של הנתב שהוערכו ניהלו את הקושחה העדכנית ביותר של החברה שלהם ונבדקו עם תצורות ברירת המחדל, מחוץ לתיבה. לצרכנים יש כמה אפשרויות להפחתת ההתקפות, אמר ISE בדו"ח שלה.
[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]"הפחתה מוצלחת דורשת לעיתים רמה של תחכום ומיומנות מעבר לממוצע המשתמש, "אמר ISE.
נתבים מרוכזים הם בעלי ערך רב האקרים, שכן הוא מאפשר להם ליירט את התנועה של כל אדם ברשת. אם התנועה אינה מוצפנת, ניתן לראות אותה.
התקפות מסוג 'אדם באמצע' יכולות לאפשר להאקר להשיק התקפות מתוחכמות יותר על כל המשתמשים בתחום הנתב, אמר ISE. האקרים יכולים לבצע התקפות כגון הרחרוח ושינוי תנועה לא SSL (Secure Sockets Layer), שיבוש בהגדרות DNS (Domain Name System) וביצוע התקפות מסוג 'מניעת שירות' מבוזרות.
ספקי שירותי אינטרנט המפרסמים מספר רב של נתבים חשופים יכולים גם הם לתת האקרים דרך לתוך התשתית הליבה שלהם, כתב ISE.
ISE המפורטים כמה נתבים זה למד, כותב כי היא הודיעה הספקים ועבד במקרים מסוימים על הקלה. הוא לא פירט את פרטי המוצר עבור חמישה נתבים, מן הסתם משום שהתיקונים לא שוחררו. הייעוץ חילק את ההתקפות לאלו שדרשו מתוקף להיות באותה רשת ואלה ברשתות שניתן לתקוף מרחוק. שני נתבים מבלקין, N300 ו N900, היו חשופים להתקפה מרחוק שלא דורשת מהאקר לקבל אישורי אימות.
כל המוצרים ששמו היו חשופים להתקפה מאומתת אם האקר היה באותה רשת היה אישורי כניסה או גישה לקרבן שהיה פעיל באתר ברשת מסוימת.
מוצרים אלה היו Linksys WRT310v2, NetGear של WNDR4700, TP-Link של WR1043N, FiOS של Verizon Actiontec MI424WR-GEN3I, D-Link של DIR865L ו N300 של בלקין, N900 ו F5D8236-4 v2 דגמים.
ספקי ISE מומלץ לשדרג קושחה פגיעה ולשלוח משתמשים רשומים משתמשים הוראות השדרוג.
בשנה שעברה, WabiSabiLabi פתחה אתר מכירות פומביות באינטרנט לפגיעות אבטחה שלא פורסמו, הנקראות גם 0days. מטרתה המוצהרת של החברה הייתה לספק שוק שיאפשר לחוקרי אבטחה עצמאיים להתפרנס מהפגיעות שהם מגלים. כדי למנוע פגיעויות מלהסתיים בידי פושעים, רק קונים מוסמכים רשאים להשתמש באתר המכירות הפומביות WabiSabiLabi.
בעוד חברות האבטחה נוהגות לשלם לחוקרים על נקודות תורפה ולאחר מכן לשמור על מידע זה מתחת לעטיפות, יש הסבורים כי על החוקרים לחשוף תחילה כאשר הפלאש משוחרר, הצג פרטים על הפגיעות הזמינה לציבור, פרקטיקה הידועה בקהילת האבטחה כמו גילוי מוסרי. [
השלישייה של השופטים בפאנל בית המשפט לערעורים צוין " חברה קטנה היתה מתרגלת את הפטנט שלה, רק כדי לסבול מאובדן נתח שוק, הכרה במוניטין ומוניטין של הלקוח כתוצאה ממעשי הפרת הנתבע ", והוסיף כי" בית המשפט המחוזי גילה כי מיקרוסופט תפסה 80% משוק ה- XML המותאם אישית שלה מפריעה למוצרי Word, ומכריחה את i4i לשנות את האסטרטגיה העסקית שלה ". מייקל וולפה, מייסד וממציא של טכנולוגיית i4i המדוברת, שיבח את פסק הדין" I4i מרוצה במיוחד מהחלטת בית המשפט לקיים את הצו, צעד בהגנה על זכויות הקניין
מיקרוסופט עדיין יכולה לעבוד עם I4i כדי לנהל משא ומתן על הסדר ידידותי המאפשר למיקרוסופט לרשיון את הטכנולוגיה תמורת תשלום ולשלם תמלוגים ל- i4i. בהתאם לעלויות הרישוי, אם תהיה השקעה חכמה יותר עבור מיקרוסופט לרכוש את i4i - ואת הקניין הרוחני שלה עם זה.
Adobe פרסמה עדכוני אבטחה מתוזמנים עבור מוצרי Reader, Acrobat, Flash Player ו- ColdFusion ביום שלישי כדי לתקן פגיעויות קריטיות רבות, כולל אחת שכבר מנוצלת באופן פעיל על ידי התוקפים.
העדכונים של Adobe Reader ו- Acrobat כוללים תיקונים ל -27 נקודות תורפה, 24 מהן עשויות להוביל לביצוע קוד שרירותי אם ינוצל בהצלחה. אחד הפגמים האחרים יכול לאפשר לתוקפים לעקוף את ההגנה על ארגז חול ב- Adobe Reader, כך מסרה החברה ביועצת אבטחה.