Mai trece o zi și mai vine câte un deosebit care aruncă pe piață o știre de cancan cu care crizează jumătate de România: Asus va trebui să facă audit de securitate la fiecare doi ani, pentru următorii 20. Așa zice FTC-ul din SUA, ca urmare a unui proces ce a pornit acum doi ani (tot în SUA) ca urmare a unor probleme de securitate descoperite pe vreo 300000 de router-e din SUA, produse de D-Link, Micronet, Tenda, TP-Link și ASUS. La vremea respectivă am scris despre această problemă aici și aici.
Bun, ce e nou?
Păi între timp toți producătorii afectați au furnizat update-uri pentru router-ele afectate, învățându-și lecția. Unul dintre ei, în speță ASUS, a făcut mai mult decât atât: a pornit un parteneriat cu Trend Micro și a introdus tehnologia AIProtection pe router-e, tocmai pentru a oferi un grad mai ridicat de securitate utilizatorilor de produse ASUS.
AiProtection, incorporating state-of-the-art, three-pronged security from the Trend Micro Deep Packet Inspection (DPI) engine, gives you enterprise-level security in the home — making ASUS routers equipped with these features the most secure home routers. AiProtection constantly monitors the security and safety of your home network for total peace of mind.
Doar că între timp și procesul din SUA s-a derulat și a ajuns și la final, pentru ca la începutul săptămânii ăsteia să aflăm și noi verdictul: ASUS va trebui să se supună unui audit de securitate independent, la fiecare doi ani, pentru următorii 20 de ani.
Mi se pare o chestie excepțională de marketing de care ASUS va trebui să beneficieze în perioada următoare: la fiecare doi ani, un auditor independent va veni și va spune că produsele sale sunt sigure (că dacă nu sunt sigure, nu se vor vinde, e evident). Cool nu?
Evident că e foarte important și faptul că până la descoperirea problemelor de securitate din 2014, utilizatorii D-Link, ASUS, TP-Link, Micronet și Tenda au fost expuși unor pericole foarte mari. Dar și cu Windows XP lucrurile au stat la fel, și după șutul în fund primit de Microsoft, Windows-ul e acum mult mai sigur, dacă nu cel mai sigur sistem de operare existent – atenție, nu invulnerabil.
În 2014 s-a descoperit că existau niște vulnerabilități în firmware-ele router-elor producătorilor amintiți mai sus ce permiteau unui atacator să acceseze interfața de administrare fără să îi fie cerută parola și așa să poată înlătura setările de securitate existente. În plus și ASUS, ca și alți producători, ofereau (și încă oferă) o combinație clasică de user/parolă pentru conectarea pe interfața de administrare a router-elor și nu a atenționat în mod explicit utilizatorii să schimbe aceste combinații standard.
Și ar mai fi faptul că serviciile AiCloud și AiDisk au fost găsite vulnerabile la atac remote via Man-in-the-Middle (detaliile de login erau trimise fara sa fie criptate), permițând accesul neautorizat la datele personale.
Toate cele de mai sus, împreună cu faptul că update-urile de firmware care remediau problemele nu au fost trimise cu importanță maximă către utilizatori (uneori nici măcar nu au fost importate în baza de date unde se făcea verificarea) au făcut posibil procesul din SUA și apoi decizia prin care ASUS trebuie să se supună auditului.
Mi se pare interesant că se vorbește doar despre ASUS când în mod cert și alții sunt în aceiași situație, începând cu D-Link și terminând cu TP-Link sau Tenda. Dar na, ASUS e companie taiwaneză care face treabă în SUA, e normal să fie sub ochiul ager al autorităților.
Dar dincolo de faptul că au fost descoperite vulnerabilitățile, că au fost remediate și că s-au luat măsuri, mi se pare util faptul că această decizie este o bornă importantă în ceea ce înseamnă securitatea pentru produsele Internet Of Things: deci e important ca aparatele conectate la internet să fie sigure. Și nu doar pentru router-e, mă gândesc acum la instrumentele de monitorizare pentru bebeluși, la televizoare, camere web și toate celelalte produse cu care vom ajunge să fim familiarizați în perioada următoare.
Și ele au nevoie de certificare de securitate.
Dar ASUS va fi prima companie care o va avea. Să vedem cum o să folosească asta în avantajul propriu.
via FTC