Den franske "tre streiker" politikk ble satt på vent i forrige uke etter at private selskap i oppdrag å samle inn data piratkopiering, TMG, ble hacket og funnet å være usikker. Det banalisere har latt bedriftens data-innsamling programvare for å bli undersøkt. Det viser seg at serverne var ikke den eneste som TMG ikke riktig sikre, de anti-piratprogramvare er befengt med feil, også .
TMG's server var kjører en tilpasset skriftlig administrasjon program kodet i Delphi. Det hadde de uvanlige sikkerhetsfunksjon for ikke å kreve noen godkjenning i det hele tatt, slik at hvem som helst koble til port 8500 til å sende kommandoer til tjeneren. Kommandoene den støtter er begrenset-nedleggelse eller starte datamaskinen, stoppe eller starte et peer-to-peer-klient, og oppdatere programvaren på serveren, men på grunn av deres shoddy design disse kommandoene er tilstrekkelig til å tillate hackere å gjøre hva de vil . Oppdateringen kommandoen kobles til en FTP-server, henter en fil, og deretter utfører det-alt uten autentisering-og heller enn å koble til en spesifikk FTP-server, kan det serveren som skal spesifiseres når oppdateringen kommandoen er gitt.
Dette tillater en angriper å sette opp sin egen FTP-server, sette sitt ondsinnet program på serveren, og deretter fortelle TMG systemet å oppdatere fra hacker-kontrollerte server. På denne måten kan de gjøre TMG server kjøre hva programvare de vil. Hvis alle TMG's anti-piratkopiering servere kjører samme administrative program, og de er alle mottakelige for å bli angrepet i denne samme, trivielle måte.
Dette kan i sin tur gi private nettverk som brukes av TMG for å dele IP-adresse med den franske myndigheter for å bli angrepet og muligens kompromittert-en risiko som førte til midlertidig opphør av datainnsamling i forrige uke.
TMG's datainnsamling er medvirkende til den franske "tre streiker" anti-piratkopiering lover som vil se vedvarende pirater koblet fra Internett. Den Hadopi byrå, ansvarlig for å håndheve loven, har gitt bare ett selskap, TMG, for å samle inn IP-adressen data for å treffe tiltak etter loven. Den tidligere hack allerede reist tvil om TMG evne til å trygt samle inn denne informasjonen-de tviler vil bare vokse i lys av software feil, og oppdagelsen viser behovet for større åpenhet og kontroll av TMG's hele operasjonen.
Les kommentarer til dette innlegget
Ingen kommentarer:
Legg inn en kommentar