FTC از D-Link به علت عدم توانایی در امن‌سازی روترها و دوربین‌های IP این شرکت در برابر مهاجمان، شکایت کرد.

کمیسیون تجارت فدرال یک دادخواست علیه شرکت D-Link در روز پنج‌شنبه (۵ ژانویه ۲۰۱۷) ثبت کرد و به علت اینکه این شرکت نتوانسته محافظت امنیتی مورد نیاز را برای روترها و دوربین‌های امنیتی متصل به اینترنت این شرکت برقرار کند و هزاران کاربر را در معرض خطر مهاجمان قرار داده، از این شرکت شکایت کرد[۱].

این حرکت به این خاطر انجام شده است که مجرمان سایبری دستگاه‌های متصل به اینترنت را که دارای امنیت ضعیفی هستند hijack کرده و حملات DDoS وسیعی را پیاده‌سازی می‌کنند که منجر به آفلاین شدن تعداد زیادی از وب‌سایت‌ها می‌شود.

در طی ۲ ماه گذشته، یک Botnet اینترنت اشیاء که Mirai نام گرفته است، بسیاری از روترها، دوربین‌ها و DVR ها را که دارای کلمات عبور پیش‌فرض ضعیف بودند آلوده کرده و از آن‌ها به‌عنوان انجام حملات DDoS علیه سرویس‌دهندگان اینترنت استفاده کرده است.

شرکت Dyn که یکی از تأمین‌کنندگان معروف DNS است یکی از قربانیان حملاتِ بر پایه Mirai بود که به‌موجب این حملات، اینترنت بسیاری از کاربران قطع شد.

به‌منظور مقابله با این مشکل، از یک طرف، تأمین‌کننده تجهیزات شبکه معروف Netgear یک برنامه bug bounty تدارک دیده است و محققان و مهاجمان را دعوت به پیدا کردن و گزارش دادن عیب‌های امنیتی در سخت‌افزارها، برنامه‌های موبایل و API های خود کرده و برای هر جایزه مبلغی بین ۱۵۰ تا ۱۵٫۰۰۰ دلار اختصاص داده است.

اما از طرف دیگر، شرکت D-Link به نقض چندین قانون FTC متهم شده است، این قوانین شامل موارد زیر است:

• تحریف در مورد امنیت روترها و روابط کاربری دوربین‌های IP و موارد تبلیغاتی
• ادعای دروغ نسبت به اینکه اقدامات مناسب برای محافظت دستگاه‌های این شرکت علیه آسیب‌پذیری‌های رایج امنیتی در نظر گرفته شده، مانند “hard-coded” شدن گواهی‌نامه کاربر و عیوب مربوط به تزریق کردن فرمان، که به مهاجمِ از راه دوری اجازه می‌دهد که یک دسترسی غیرمجاز به دستگاه‌های این شرکت داشته باشند.
• عدم برقراری امنیت در نرم‌افزار

بر طبق شکایتی که در دادگاه فدرال سان‌فرانسیسکو پر شده است، محصولات ناامن شرکت D-Link به مهاجمان اجازه می‌دهد تا محل تقریبی مشتریان را پیدا کرده و آن‌ها را برای دزدی و یا دیگر جرائم، مورد هدف قرار دهند.

چندین محقق امنیتی و مهاجم، در طول سال گذشته، آسیب‌پذیری‌های امنیتی جدی‌ در محصولات شرکت D-Link پیدا کرده‌اند. در حالی که بعضی از آن‌ها راضی شدند تا این آسیب‌پذیری‌ها را مستقیماً به شرکت D-Link گزارش دهند، اما بعضی دیگر به علت ناتوانی شرکت D-Link در انتشار وصله‌های امنیتی مرتبط با این آسیب‌پذیری‌ها در یک زمان مشخص، این آسیب‌پذیری‌ها را افشا کردند.

در پاسخ به این شکایت، شرکت D-Link بیانیه‌ای منتشر کرده[۲] و در آن گفته است که اتهامات وارد شده به این شرکت بی‌پایه و اساس است و این شرکت قویاً از خود دفاع خواهد کرد. این شرکت همچنین گفته است که FTC دلیلی مبنی بر اینکه مصرف‌کنندگان واقعی از این آسیب‌پذیری‌ها صدمه خورده باشند ارائه نکرده است.

با توجه به افزایش تهدیدات در ارتباط با اینترنت اشیاء، این کمیته در حال برداشتن گام‌های مؤثری در ارتباط با محافظت از دستگاه‌های اینترنت اشیاء است.

FTC، به دستورالعمل‌هایی که در سال ۲۰۱۵ در ارتباط با ایمن‌سازی دستگاه‌های اینترنت اشیاء منتشر شده، اشاره کرده است و اخیراً یک مسابقه برای عموم با هدف پیدا کردن راه‌حل‌های فنی برای ایمن‌سازی دستگاه‌های اینترنت اشیاء، راه‌اندازی کرده است. برنده این مسابقه، جایزه ۲۵٫۰۰۰ دلاری را دریافت خواهد کرد.

منابع

[۱] https://www.ftc.gov/system/files/documents/cases/170105_d-link_complaint_and_exhibits.pdf

[۲] http://www.reuters.com/article/d-link-ftc-idUSL1N1EV1VA

[۳] http://thehackernews.com/2017/01/dlink-router-security.html