FTC起诉D-Link销售不安全的路由器和摄像头


北京时间1月6日晚间消息,美国联邦贸易委员会(FTC)于上周四向旧金山联邦法院起诉(PDF)台湾友讯科技(D-Link),FTC指控D-Link的路由器和网络摄像头让数以千计的消费者面临被黑客攻击的风险。FTC在起诉书中称,被告屡次未能采取合理的软件测试和防治措施保护路由器和网络摄像头免受已知的容易预防的安全漏洞如硬编码用户凭证等后门,以及命令注入漏洞,这些漏洞允许远程攻击者控制消费者的设备。

 

FTC还指控D-Link以明文的方式储存用户登录凭证该行为将导致黑客以极低的成本获取用户名及密码通过窃听远程操纵等方式实施敲诈勒索、大范围网络攻击等行为,造成个人损失和社会不安定因素。

 

2015年,美国在网络和信息安全方面的新政策、新举措覆盖12个方面,涉及方方面面,2016财年预算报告要求整个联邦政府斥资140亿美元用于支持政府层面的网络安全发展战略,这140亿美元为新增款项,意味着较2015财年总额增长了11%。

 

互联网中,先系统后安全的思路使安全问题层出不穷,在万物互联的今天,各国政府都在积极推进物联网安全部署。 

 

物联网的系统安全取决于其最薄弱的端点

物联网,在企业或消费者环境中部署和连接设备、对象或基础设施,本质上是多个端点之间的连接,它覆盖所有连接的应用,例如一个家庭中连接着的温控器、风力涡轮机的传感器,包括设备、应用程序、网络和人员。

 

当面临表面的威胁时(即潜在的脆弱性的景观),组织必须评估风险的“物联网安全堆栈”,这些领域不只是技术系统组件,而且还包括参与系统的人——组织内部的和合作伙伴,同时,还要谨防系统外的非法行为。

 

虽然设备、应用程序和网络(技术)安全是维护任何连接事物的核心,人员安全的另一个重要方面却往往被忽视。密码安全、BYOD环境、员工流失、缺乏安全培训、简单的人为错误,在任何系统中呈现人员动态也是诸多风险之一。

 

信长城CPK体系可实施的物联网安全身份管理技术

物联网环境下,将有海量设备连接至网络,必然造成网络拥挤甚至瘫痪。信长城CPK技术作为一种去中心化的信息安全技术,支持端到端直接认证、在线和离线场景应用,可渗透到身份认证、电子商务、基础通信、可信计算、云应用、标签防伪、数字版权等广泛领域,发挥信息安全的基础性作用。

 

信长城数字证书不仅可以对网络虚拟个人身份进行鉴定识别,还可以对设备、网关、基站等各类数据传输节点进行身份认证授权,确保数据信息链路通信安全,可以从根本上解决物联网安全问题,实现端到端的细胞级安全。基于标识认证的CPK标识密钥体制更是业内公认的主动安全保护技术。

 

身份管理意味着什么?

现实世界中,识别人最简单的方式是社会关系、社会活动及法定身份。在中国,公安部的身份证认证已经应用的很广泛了。由于网络的虚拟特性,自然引出了身份识别的新问题。网络上一切活动,都从身份识别开始,随机ID、匿名也是一种身份,正如现实社会中一样,身份是社会运作的基础。

 

但是网络上的匿名身份和现实世界中的身份不对应给了人们逃避责任、越界犯法的条件,使得隐藏在网络中的非法行为层出不穷。一旦身份在网络中能够识别,合法身份互信通讯,非法身份和恶意行为就很难得逞,网络环境就会变得更加安全。

 

几乎每一个连接的环境都涉及到一些个人身份信息的元素,业内简称PII,全称为Personally Identifiable Information。识别身份是一切人际交往、人机互动的开始,也是网络社会的基础架构。在物联网环境下,人们需要重新思考个人身份信息的组成。

 

事件最新进展

FTC表示,该诉讼是FTC致力于保护消费者在物联网(IoT)环境中隐私和安全所采取措施的一部分。在此之前,FTC也曾其所过华硕和TRENDnet,而华硕已于 2016年2月与FTC达成和解。

 

友讯科技对于此次FTC起诉D-Link事件表示,这是毫无依据的无端指责,将在法庭上据理力争。友讯科技在一份声明中称:“FTC并未说明哪些消费者遭受到,或者可能遭受到实质性的损失。”

 

互联网安全研究公司Flashpoint安全研究总监艾丽森•尼克松(Allison Nixon)称,FTC此举可能推动物联网厂商加强其产品安全性。她说:“我想,厂商一定会认真对待此事。”

 

 

 

相关内容推荐