I francesi three strikes "politica" è stato sospeso la scorsa settimana dopo che la società privata con il compito di raccogliere dati di pirateria, TMG, è stato inciso ed è risultato essere insicuro. Il trucco ha permesso di software di raccolta dati della società da esaminare. Si scopre che i server non erano l'unica cosa che TMG non è riuscito a fissare correttamente, il loro software anti-pirateria è pieno di difetti, anche .
TMG server era in esecuzione un programma di gestione personalizzato scritto in codice in Delphi. Aveva la particolarità di sicurezza di non richiedere alcuna autenticazione a tutti, permettendo a chiunque il collegamento a porta 8500 per inviare i comandi al server. I comandi che sostiene sono limitati, spegnere o riavviare il computer, interrompere o avviare un client peer-to-peer, e aggiornare il software sul server, ma grazie al loro design scadente questi comandi sono sufficienti per consentire agli hacker di fare ciò che vogliono . Il comando update si connette a un server FTP, recupera un file e quindi lo esegue, il tutto senza autenticazione, e piuttosto che la connessione a un server FTP specifico, che consente al server di essere specificato quando il comando di aggiornamento è dato.
Questo permette a un utente malintenzionato di creare il proprio server FTP, mettere il loro programma maligno sul server e quindi dire al sistema TMG l'aggiornamento dal server degli hacker-controllato. In questo modo, possono fare la corsa server TMG qualunque software che vogliono. Se tutti i server TMG anti-pirateria sta eseguendo lo stesso programma amministrativo, allora sono tutti suscettibili di essere attaccati in questo stesso modo banale.
Ciò potrebbe a sua volta consentire alle reti private utilizzate da TMG per la condivisione di informazioni sugli indirizzi IP con le autorità francesi di essere attaccati e forse compromessa, il rischio che ha portato alla cessazione temporanea della raccolta dei dati settimana scorsa.
raccolta dei dati TMG è strumentale alla francese "three strikes" leggi anti-pirateria che vedrà i pirati persistente disconnesso da Internet. L'agenzia di Hadopi, incaricato di far rispettare la legge, ha autorizzato una sola società, TMG, per raccogliere i dati degli indirizzi IP di azione richiesti a norma di legge. I dubbi precedente hack già raccolto oltre TMG capacità di raccogliere informazioni in modo sicuro questo tali dubbi solo crescere nella luce dei difetti del software, e la scoperta dimostra la necessità di una maggiore trasparenza e controllo delle intera operazione di TMG.
Leggi i commenti su questo post
Nessun commento:
Posta un commento