quarta-feira, 25 de maio de 2011

Francês "três strikes" software anti-pirataria crivado de falhas

Interessante notícia sobre a url:http://feeds.arstechnica.com/~r/arstechnica/everything/~3/Xh_anMkPnGs/french-three-strikes-anti-piracy-software-riddled-with-flaws.ars:


Os franceses "três strikes" política foi colocada em espera na semana passada após a empresa privada encarregada de coletar dados a pirataria, TMG, foi hackeado e encontrado para ser inseguro. O truque permitiu que o software de coleta de dados da empresa a ser examinado. Acontece que os servidores não eram a única coisa que o TMG não devidamente seguras; seu anti-pirataria de software é cheio de falhas, também .


TMG servidor foi execução de um programa de administração custom-written codificado em Delphi. Ele tinha a característica de segurança incomum de não exigir autenticação nenhuma, permitindo que qualquer ligação a porta 8500 para enviar comandos para o servidor. Os comandos que ele suporta são limitados desligamento ou reiniciar o computador, parar ou iniciar um cliente peer-to-peer, e atualizar o software no servidor, mas devido ao seu desenho malfeito esses comandos são suficientes para permitir que os hackers façam o que quiserem . O comando update conecta a um servidor FTP, recupera um arquivo e, em seguida, executa-lo, tudo sem autenticação e ao invés de se conectar a um servidor FTP específico, permite que o servidor seja especificado quando o comando update é dado.


Isso permite que um invasor configurar seu servidor FTP próprio, coloque os seus programas maliciosos para o servidor, e depois dizer ao sistema TMG para atualização do servidor controlado por hackers. Desta forma, eles podem fazer a executar o servidor TMG qualquer software que eles querem. Se todos os servidores do TMG anti-pirataria estão executando o mesmo programa administrativo, em seguida, todos eles são suscetíveis de serem atacados desta forma, mesmo trivial.


Isto poderia permitir que as redes privadas usadas pelo TMG para partilha de informação de endereço IP com as autoridades francesas a ser atacada e possivelmente comprometida risco que levaram à suspensão temporária da coleta de dados na semana passada.


TMG coleção de dados é fundamental para os franceses "três strikes" leis anti-pirataria que verá os piratas persistente desconectado da Internet. A agência Hadopi, responsável por fazer cumprir a lei, tenha autorizado uma única empresa, TMG, para coletar os dados de endereços IP necessários para intervir nos termos da lei. As dúvidas já levantadas anteriormente hack TMG sobre a capacidade de coletar essas informações com segurança, essas dúvidas só vai crescer em função das falhas de software, ea descoberta demonstra a necessidade de maior transparência e controlo de toda a operação do TMG.


Leia os comentários sobre este post





Nenhum comentário:

Postar um comentário