Francuski "do trzech razy" Polityka została zawieszona w zeszłym tygodniu po spółki z zadaniem z piractwem gromadzenia danych, TMG, został posiekany i uznane za niebezpieczne. Hack pozwoliło firmie na zbieranie danych, oprogramowanie do badania. Okazuje się, że serwery nie były jedyną rzeczą, że TMG nie odpowiednio zabezpieczyć; ich piractwa oprogramowania antywirusowego pełen jest wad, też .
serwer TMG został uruchomiony program napisany na zamówienie administracji kodowane w Delphi. Miał on niezwykłą cechą bezpieczeństwa nie wymaga jakiegokolwiek uwierzytelniania w ogóle, pozwalając każdemu podłączenie do portu 8500 do wysyłania poleceń do serwera. Polecenia obsługuje są ograniczone, wyłączenie lub ponowne uruchomienie komputera, zatrzymać lub uruchomić klient peer-to-peer, a aktualizacja oprogramowania na serwerze, ale ze względu na tandetny design polecenia te są wystarczające, aby umożliwić hakerom robić, co chcą . Polecenie update łączy się z serwerem FTP, pobiera plik, a następnie uruchamia go-wszystko bez uwierzytelniania i zamiast łączenia się z określonym serwerem FTP, pozwala na serwerze, które zostaną określone po wydaniu polecenia aktualizacji wypowiedzenia.
Pozwala to atakującemu założyć własny serwer FTP, umieścić ich szkodliwego programu na serwerze, a następnie powiedzieć, że system TMG do aktualizacji z serwera hakera kontroli. W ten sposób mogą oni uruchomić serwer TMG cokolwiek oprogramowanie chcą. Jeśli wszystkie serwery piractwem TMG których zainstalowano ten sam program administracyjny, to wszystkie one są podatne na ataku w tym samym, sposób banalny.
To z kolei mogłoby umożliwić prywatne sieci wykorzystywane przez TMG wymiany informacji adres IP z władzami francuskimi na atak i ewentualnie naruszone, ryzyko, które doprowadziły do czasowego zaprzestania zbierania danych w zeszłym tygodniu.
Kolekcja TMG danych jest instrumental do francuskich "do trzech razy" antypirackich przepisów prawnych, które będą widzieć trwałe piratów odłączony od Internetu. Agencja HADOPI, odpowiedzialne za egzekwowanie prawa, jest dozwolone tylko jedna firma, TMG, zbieranie danych adres IP potrzebne do podjęcia działań zgodnie z prawem. Hack już wcześniej wyraziła wątpliwości na zdolność TMG, aby bezpiecznie zbierać informacje-tych wątpliwości będzie rosło w związku z wad oprogramowania, a odkrycie wskazuje na potrzebę większej przejrzystości i kontroli całej operacji TMG.
Przeczytaj komentarze na ten post
Brak komentarzy:
Prześlij komentarz