Den franska "three strikes" policy lades på is förra veckan efter det privata företaget med uppgift att samla in data piratkopiering, TMG, var hackad och befunnits vara osäkra. Hacket har gjort det möjligt för företagets data-insamling programvara som ska undersökas. Det visar sig att servrarna inte var det enda som TMG inte ordentligt säker, deras skydd mot piratkopiering programvara är full av brister, också .
TMG's server var att köra en anpassad skrivna administrationsprogram kodade i Delphi. Det hade den ovanliga säkerhetsfunktion att inte kräva någon verifiering på alla, så att vem som helst att ansluta till port 8500 för att skicka kommandon till servern. Kommandon det stöder är begränsad avstängning eller omstart av datorn, stoppa eller starta en peer-to-peer-klient, och uppdatera programvaran på den server-men på grund av deras undermåliga konstruktion dessa kommandon är tillräckliga för att hackare att göra vad de vill . Uppdateringen kommando ansluter till en FTP-server, hämtar en fil och sedan kör det-allt utan autentisering och i stället ansluta till en specifik FTP-server, gör det att servern anges när uppdateringen kommando.
Detta gör att en angripare att starta egen FTP-server, lägga sina skadliga program på servern och sedan tala om för TMG-systemet ska uppdatera från hacker-kontrollerade server. På detta sätt kan de göra TMG server kör vilka program de vill. Om alla av TMG: s anti-piratverksamhet servrar kör samma administrativa program, då de alla är mottagliga för att bli attackerade i samma, triviala sätt.
Detta kan i sin tur göra det möjligt för privata nät som används av TMG för att dela IP-adress med de franska myndigheterna som ska attackeras och eventuellt äventyras-en risk som ledde till tillfälligt upphörande av datainsamling förra veckan.
TMG: s insamling av uppgifter är av avgörande betydelse att den franska "three strikes" mot piratkopiering lagar som kommer att se ihållande pirater bortkopplad från Internet. Den Hadopi byrå, ansvaret för att genomdriva lagen, godkänt endast ett företag, TMG, för att samla in IP-adressen uppgifter som behövs för att vidta åtgärder enligt lagen. Den tidigare hacka redan uttryckt tvivel över TMG: s förmåga att på ett säkert sätt samla in denna information-dessa tvivel kommer bara att växa i ljuset av programvaran brister, och upptäckten visar att det behövs större öppenhet och granskning av TMG: s hela verksamheten.
Inga kommentarer:
Skicka en kommentar