Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

D-Link omylem zveřejnil privátní klíče, hackerům usnadnil práci

19.9.2015, Milan Šurkala, aktualita
D-Link omylem zveřejnil privátní klíče, hackerům usnadnil práci
Společnost D-Link se dopustila velké bezpečnostní chyby. Ve svém firmwaru ponechala i mnoho svých privátních klíčů, díky čemuž hackeři mohli vytvořit firmware s malwarem a bez problémů si jej digitálně podepsat.
Společnost D-Link poskytuje i open source firmwary ke svým zařízením, nicméně v poskytnutých balíčcích k bezpečnostní kameře D-Link DCS-5020L se omylem vyskytly i privátní klíče a hesla. To znamená, že útočník mohl vytvořit firmware obsahující škodlivý kód a bez větších problémů mohl takto závadný firmware nechat digitálně podepsat, aby se tvářil jako legitimní software od D-Linku.


D-Link logo


Problém se týkal jen jednoho balíčku, neboť starší i novější verze už tyto klíče neobsahovaly. Původní certifikáty byly vytvořeny 27. února, takže chybu mohli útočníci využít už před půl rokem. Platnost všech omylem zveřejněných certifikátů vypršela nejpozději 3. září. Zatím se neví, zda někdo uvolněných klíčů D-Linku využil k nekalé činnosti. Připomeňme, že metoda využití kradených certifikátů k podpisu malwaru je docela oblíbená a především účinná. Takto bylo hacknuto např. Sony Pictures Entertainment.

Zdroj: threatpost.com, betanews.com
Autor: Milan Šurkala
Vystudoval doktorský program v oboru informatiky a programování se zaměřením na počítačovou grafiku. Nepřehlédněte jeho seriál Fotíme s Koalou o základech fotografování.