Kasus ASUS menyarankan 6 hal yang harus diikuti di internet objek

Router adalah Stasiun Grand Central untuk Teknologi Rumah. Semua perangkat pintar di rumah mengelola koneksi dari tablet di tablet kopi dan tablet di meja kopi ke termostata pintar di dinding dan monitor bayi yang terhubung ke internet di pembibitan. Konsumen berharap menjadi jalan raya akses terbatas dengan mengarahkan data router dengan aman sambil mencegah akses yang tidak sah. Namun, keluhan FTC terhadap Inc. Kasus ini juga menawarkan wawasan untuk perusahaan lain yang memasuki Internet of Things.

Cara mengiklankan produk ASUS. Asus menyatakan bahwa router memiliki banyak fitur keamanan bahwa router mereka dapat melindungi komputer dari serangan, peretasan, dan serangan virus yang tidak sah ”dan Karar melindungi jaringan lokal dari serangan dari bajak laut komputer”. Namun Menurut FTCRouter Asus tidak memenuhi janji -janji ini. Selain itu, router perusahaan termasuk layanan Aiclod dan Aidisk yang memungkinkan mereka mengenakan hard drive USB untuk membuat ruang penyimpanan “cloud” mereka sendiri yang dapat diakses dari salah satu perangkat konsumen – semacam pusat penyimpanan pusat untuk rumah pintar. Sementara Asus menyatakan layanan ini sebagai cara untuk SAK Cloud Pribadi Khusus untuk berbagi file selektif ”dan Mak pasti mengamankan dan mengakses data berharga Anda melalui halaman Anda, FTC mengklaim bahwa mereka aman.

Di mana Asus salah dengan routernya. Terlepas dari peran vital router dalam perlindungan jaringan rumah, FTC mengatakan bahwa ASUS belum mengambil langkah -langkah dasar untuk mengamankan router perangkat lunak. Misalnya, konsumen memimpin router melalui antarmuka berbasis web. Namun, dengan menggunakan kesalahan keamanan yang meluas di konsol manajer, bajak laut komputer dapat mengubah pengaturan keselamatan router – menutup dinding pengaman router, menerjemahkan gudang “cloud” konsumen ke publik atau mengkonfigurasi router untuk mengarahkan konsumen ke situs web jahat. Faktanya, kampanye eksploitasi, yang bertujuan untuk menargetkan sejumlah besar model perutean ASUS, melakukannya dengan merestrukturisasi router yang rentan bagi bajak laut untuk memeriksa lalu lintas web konsumen. Seperti yang diklaim pengaduan, alih -alih melindungi jaringan rumah konsumen, router ASUS ‘memungkinkan bajak laut komputer untuk menyakiti mereka.

Layanan “cloud” Asus yang tidak aman. Layanan penyimpanan “cloud” Asus tidak aman. Menurut FTC, siapa pun yang mengetahui alamat IP router – berjalan di taman untuk bajak laut komputer – dapat melewatkan layar masuk layanan AICLOD dan mengakses perangkat penyimpanan konsumen tanpa informasi identitas dan file cuti sepenuhnya terbuka di internet. Aidisk tidak memberikan hasil yang lebih baik. FTC telah menyebabkan masalah dengan layanan ini mengandalkan protokol yang tidak aman dan memiliki proses pemasangan yang membingungkan dengan asumsi yang tidak aman. Misalnya, ketika konsumen membuka layanan, secara default, kepada siapa semua orang di internet akan memberikan akses yang tidak dikenal ke semua file di perangkat penyimpanan konsumen. Lebih buruk lagi, Wisaya Instalasi tidak menjelaskan asumsi -asumsi ini dan tidak mengklarifikasi apa yang sedang terjadi. Jika konsumen mencoba membuat akun terbatas, saya bahkan tidak berbicara tentang informasi input dari layanan kepada pengguna dan kata sandi yang lemah (keluarga/keluarga) sebelumnya. Semua defisit keamanan dan cacat desain ini mengalami masalah besar bagi konsumen.

Ketidakmampuan ASUS untuk memberi tahu konsumen. FTC, desain perangkat lunak yang aman, aman, aplikasi pengkodean dan pengujian telah mengikuti jika diikuti ASUS dapat mencegah banyak masalah. Selain itu, para peneliti keamanan menghubungi ASUS untuk peringatan suara, tetapi respons Asus sering memakan waktu berbulan -bulan dan kadang -kadang lebih dari setahun. Misalnya, ketika seorang peneliti melaporkan bahwa 25.000 konsumen memiliki perangkat penyimpanan AIDIS yang dapat diakses dengan jelas di Internet, mereka adalah Jicas dari Asus. Bahkan, setelah keberatan dari pengecer besar Eropa, Asus mulai memperhatikan masalah ini. Sampai saat itu sudah terlambat.

Yang lebih mengganggu, ia mengklaim FTC, bahwa ia tidak memberi tahu konsumen ketika ASUS mengembangkan tambalan keamanan. Router memiliki kendaraan yang harus diizinkan oleh konsol administrator untuk memeriksa apakah router menggunakan perangkat lunak produk terbaru yang tersedia (perangkat lunak ditempatkan di router). Namun, sementara para peneliti memperingatkan ASUS, alat peningkatan tidak berfungsi sebagaimana mestinya. Menurut pengaduan, lebih dari setahun berlalu dan konsumen masih menerima pesan bahwa “perangkat lunak produk router saat ini adalah versi terbaru” ketika ada perangkat lunak produk baru dengan pembaruan keamanan kritis.

Ribuan router pendamaian. Ini berarti bahwa router Asus dan layanan “cloud”, bajak laut komputer dan pencuri identitas telah meninggalkan jaringan rumah konsumen dan file pribadi. Anda bisa membayangkan apa yang terjadi setelah itu. Bajak laut komputer telah menggunakan alat untuk menemukan alamat IP ribuan router ASUS yang rentan, dan ceritanya menjadi sangat menarik. Menggunakan defisit keamanan Aicloud dan cacat desain Aidisk, mereka memperoleh akses tidak sah ke perangkat penyimpanan USB dari ribuan konsumen. Tapi mereka tidak datang dengan tenang. Mereka meninggalkan file teks di perangkat, “Ini adalah pesan otomatis yang dikirimkan kepada semua orang yang terpengaruh (sic). Asus dapat diakses oleh semua orang yang memiliki koneksi internet oleh semua orang di dunia.”

Klaim keamanan Asus mungkin menipu, tetapi ternyata sesuatu itu benar: peringatan bahwa bajak laut dapat diakses oleh router dan dokumen konsumen oleh semua orang di dunia. Misalnya, pencuri identitas konsumen melaporkan bahwa mereka menggunakan informasi sensitif pada perangkat penyimpanan USB, termasuk pengembalian pajak dan data keuangan lainnya. Yang lain mengeluh bahwa mesin pencari besar mengindeks file pribadi yang diekspos oleh router ASUS yang rentan, dan membuat mereka dicari secara online.

Keluhan FTC. . kasus Tantangan Asus yang salah atau menyesatkan mengklaim bahwa router mereka telah mengambil langkah yang wajar untuk memastikan bahwa konsumen melindungi jaringan lokal mereka dari serangan, Aiclod dan AIDISK mengklaim bahwa ada cara yang aman bagi orang untuk mengakses informasi yang sensitif dan bahwa perangkat lunak produk benar. Keluhan juga mengklaim bahwa itu adalah praktik yang tidak adil bahwa ketidakmampuan ASUS untuk mengambil langkah -langkah yang wajar untuk mengamankan perangkat lunak untuk router.

Bagaimana Asus harus berubah. . Pesanan yang diusulkan Ini termasuk ketentuan keamanan standar di penyelesaian FTC, tetapi ada hal lain. Pembaruan perangkat lunak atau langkah -langkah lain yang dapat diambil konsumen untuk melindungi diri dari cacat keamanan di masa depan, ASUS harus menginformasikannya. Lebih penting lagi, perjanjian tersebut dengan jelas mengungkapkan bahwa mengirim pemberitahuan di situs web tidak cukup. (Siapa yang secara teratur pergi ke situs web produsen router?) Selain itu, pesanan yang diusulkan mengharuskan ASU untuk memberikan konsumen cara untuk mendapatkan pemberitahuan keamanan melalui komunikasi langsung. Di Internet of Objects, yang sering “diatur dan dilupakan” konsumen, komunikasi langsung seperti itu dapat menjadi alat penting untuk memastikan bahwa konsumen menerima pesan. Anda dapat mengomentari penyelesaian hingga 24 Maret 2016.

Jika Internet Objek menyangkut perusahaan Anda, kasus ini menawarkan enam petunjuk untuk mempertahankan koneksi yang cermat.

1. Mulailah dengan keamanan. Sementara router Asus menderita serangkaian defisit keamanan klasik, masalah dengan Aidisk melampaui serangga atau gangguan. Menurut pengaduan itu, itu tidak aman baik dalam pemilihan protokol yang tidak aman perusahaan dan dalam antarmuka pengguna yang membingungkan dan tidak aman. Ya, Anda ingin memasarkan produk Anda ke ASAP, tetapi pada awalnya, luangkan waktu untuk merancang keamanan. Ini sangat penting dalam Internet of Objects di mana desain produk yang tidak aman dapat mempengaruhi lebih dari satu perangkat yang terhubung.
2. Rancang produk Anda dengan mata pelanggan. Jika Anda menjual produk untuk digunakan di rumah, ada kemungkinan bahwa pelanggan akan berjalan secara profesional dari pemula. Jadi bagaimana pengembang dapat berkomunikasi dengan orang -orang di kedua ujung spektrum? Berikut adalah sudut pandang yang harus dipertimbangkan. Kurang konsumen penggemar teknologi sering mengeluh tentang produk yang sangat kompleks. Namun, pernahkah Anda mendengar bahwa pengguna canggih menggerutu bahwa antarmuka sangat jelas atau sangat akurat?
3. Memudahkan orang untuk memilih opsi yang lebih aman sejak awal. Berikan perhatian khusus pada hasil keselamatan asumsi dan prosedur instalasi Anda. Konsumen yang melepaskan labirin layar yang kompleks dapat mengkonfigurasi perangkat mereka tidak pantas atau mematuhi opsi siap -untuk -digunakan. Oleh karena itu, berbahaya untuk mengatur asumsi Anda “terbuka” atau tidak aman seperti di Aidisk. Sangat bagus untuk memberikan fitur yang dapat disesuaikan untuk Teknologi Dab Hand, tetapi pengembang Wise memikirkan manfaat keamanan secara default.
4. Perhatikan peringatan keamanan. Baru -baru ini, FTC mengatakan bahwa perusahaan belum menyebutkan peringatan yang dapat diandalkan tentang potensi defisit keamanan produk. Ketika masalah keamanan menjadi perhatian Anda, lebih banyak kursus yang cerdas, jika kekhawatirannya benar, untuk menyelidiki pelanggan dan menjangkau pelanggan.
5. Pikirkan tentang cara memberi tahu konsumen tentang koreksi. Katakan kepada saya bahwa seseorang telah menemukan masalah dan Anda merancang tambalan untuk mengatasinya. Ini adalah langkah pertama yang penting, tetapi pekerjaannya belum berakhir. Patch keselamatan hanya efektif jika pelanggan memuat. Pengembang jauh membuat rencana situasi yang tidak terduga untuk mengatasi kesulitan memberi tahu orang.
6. Pelajari pelajaran dari kasus FTC lainnya. Menurut FTCS Mulailah dengan keamanan Siaran tidak memiliki formula yang sesuai dengan satu tubuh untuk masuk akal. Namun, setiap keluhan keselamatan data menawarkan pelajaran tentang praktik yang dapat menyebabkan masalah dalam kasus -kasus tertentu. Paragraf ke -30 dari Keluhan Asus Lemah terkait dengan informasi identitas identifikasi, pemilihan protokol tidak aman ketika yang lebih aman mudah tersedia, untuk melewatkan tes yang diterima oleh industri, dan tidak menerapkan penjaga biaya rendah terhadap defisit keamanan yang terkenal.

Apakah Anda mencari lebih banyak tips? Baca Tautan Hati -hati: Membangun Keselamatan di Internet Objek.