Francouzský "třikrát a dost" politika byla zastavena minulý týden poté, co soukromé společnosti za úkol shromažďovat data pirátství, TMG, byl hacknutý a zjistil, že je nejistý. Hack umožnila firemní data-sběr software k vyšetření. Ukazuje se, že servery nejsou jediná věc, která TMG nedokázal vhodně zabezpečit, jejich anti-pirátství software je prošpikovaný nedostatky, taky .
TMG je server byl spuštěn zvyk-psaný správy kódovaný program v Delphi. To mělo neobvyklé bezpečnostní funkce, které nevyžadují žádné ověřování u všech, takže kdokoliv připojit k portu 8500 posílat příkazy na server. Příkazy, které podporuje jsou omezené-vypnutí nebo restartování počítače, zastavit nebo spustit peer-to-peer klientů, a aktualizace softwaru na server-ale vzhledem k jejich chatrný design těchto příkazů je dostatečné pro hackery dělat, co chtějí . Příkaz update se připojí na FTP server, načte soubor, a pak spustí it-all-bez ověření a spíše než připojení na konkrétní FTP server, umožňuje serveru bude upřesněno, kdy je dána Příkaz update.
To umožňuje útočníkovi vytvořit vlastní FTP server, dát jejich škodlivý program na server a pak říct systému TMG pro aktualizaci z hacker-kontrolovaný server. Tímto způsobem mohou dělat, co spustit server TMG software chtějí. Pokud jsou všechny servery anti-pirátství TMG to běží stejné administrativní program, pak jsou všechny náchylné k bytí zaútočil v této stejné, způsobem triviální.
To by následně umožnilo privátní sítě používají TMG pro sdílení informací adresy IP s francouzskými orgány, aby napadl a možná ohrožení-riziko, které vedly k dočasnému zastavení sběru dat minulý týden.
TMG je shromažďování údajů je důležitá pro francouzské "třikrát a dost" anti-pirátství zákony, které budou vidět přetrvávající piráti odpojeni od internetu. Agentura Hadopi, odpovědné za prosazování práva, bylo povoleno pouze jedna společnost, TMG, shromažďovat IP adresy údaje potřebné k přijetí opatření podle zákona. Čím dříve hack již vyjádřila pochybnosti nad schopností TMG je bezpečně shromažďovat tyto informace-tyto pochybnosti jen poroste s ohledem na software chyby, a objev ukazuje, že je třeba pro větší transparentnost a kontrolu celé operace je TMG.
Žádné komentáře:
Okomentovat