Aquatarkus/Getty Images
Wiesz, że powinieneś Wyczyść swój smartfon Lub laptopa, zanim go odsprzedasz lub podarujesz kuzynowi. W końcu istnieje wiele cennych danych osobowych, które należy kontrolować. Firmy i inne organizacje muszą stosować to samo podejście, usuwając swoje informacje z komputerów, serwerów i sprzętu sieciowego, aby nie wpadły w niepowołane ręce. Jednak na konferencji bezpieczeństwa RSA w San Francisco w przyszłym tygodniu naukowcy z firmy zajmującej się bezpieczeństwem ESET będą Aktualne wyniki Wyjaśnia, że ponad połowa używanych routerów korporacyjnych, które kupili do testów, została pozostawiona przez ich poprzednich właścicieli w nienaruszonym stanie. Urządzenia były wypełnione informacjami o sieci, danymi uwierzytelniającymi i poufnymi danymi organizacji, do których należały.
Badacze zakupili 18 używanych routerów w różnych modelach od trzech głównych dostawców: Cisco, Fortinet i Juniper Networks. Spośród nich tylko dziewięć zostało pozostawionych przez ich właścicieli i było w pełni dostępnych, a tylko pięć zostało odpowiednio usuniętych. Dwa zostały zaszyfrowane, jeden zmarł, a drugi był dokładną kopią innej maszyny.
Wszystkie dziewięć niezabezpieczonych urządzeń zawierało dane uwierzytelniające do sieci VPN organizacji, dane uwierzytelniające do innej bezpiecznej usługi połączenia sieciowego lub zaszyfrowane hasła administratora root. Wszystkie zawierały wystarczającą ilość metadanych, aby zidentyfikować poprzedniego właściciela lub operatora routera.
Osiem z dziewięciu niezabezpieczonych urządzeń zawierało klucze uwierzytelniające router-router oraz informacje o tym, jak router komunikował się z określonymi aplikacjami używanymi przez poprzedniego właściciela. Cztery urządzenia ujawniły dane uwierzytelniające, aby połączyć się z sieciami innych organizacji — takimi jak zaufani partnerzy, współpracownicy lub inne strony trzecie. Trzy z nich zawierają informacje o tym, w jaki sposób podmiot zewnętrzny połączył się z siecią poprzedniego właściciela. A dwa bezpośrednio zawierają dane klientów.
„Główny router dotyka wszystkiego w przedsiębiorstwie, więc wiem wszystko o aplikacjach i charakterze przedsiębiorstwa — bardzo ułatwia podszywanie się pod przedsiębiorstwo” — mówi Cameron Camp, badacz ds. bezpieczeństwa w firmie ESET, który kierował projektem. „W jednym przypadku ta duża grupa miała uprzywilejowane informacje na temat bardzo dużej firmy księgowej i miała z nią bezpośrednią relację peer-to-peer. I właśnie wtedy zaczęło mnie to przerażać, ponieważ jesteśmy badaczami, my” jestem tutaj, aby pomóc, ale gdzie jest reszta tych routerów? ”
Duże ryzyko polega na tym, że bogactwo informacji na urządzeniach będzie cenne dla cyberprzestępców, a nawet hakerów wspieranych przez państwo. Loginy do aplikacji korporacyjnych, poświadczenia sieciowe i klucze szyfrujące są wysoko cenione na ciemnych rynkach internetowych i forach kryminalistycznych. Atakujący mogą również sprzedawać informacje o osobach do wykorzystania w kradzieży tożsamości i innych oszustwach.
Nieocenione są również szczegółowe informacje o tym, jak działa sieć firmowa i cyfrowa struktura organizacji, niezależnie od tego, czy prowadzisz rozpoznanie przed atakiem ransomware, czy planujesz kampanię szpiegowską. Na przykład routery mogą wykryć, że w określonej organizacji działają przestarzałe wersje aplikacji lub systemów operacyjnych, które zawierają luki w zabezpieczeniach, które można wykorzystać, zasadniczo dając hakerom mapę drogową potencjalnych strategii ataku. Na niektórych routerach badacze znaleźli nawet szczegółowe informacje na temat bezpieczeństwa fizycznego budynku biur poprzednich właścicieli.
Ponieważ używany sprzęt jest przeceniony, cyberprzestępcy prawdopodobnie zainwestują w zakup używanego sprzętu w celu wydobywania informacji i uzyskiwania dostępu do sieci, a następnie sami wykorzystają te informacje lub odsprzedają je. Badacze ESET twierdzą, że zastanawiali się, czy ujawnić swoje ustalenia, ponieważ nie chcą podsuwać cyberprzestępcom nowych pomysłów, ale doszli do wniosku, że pilniejsze jest podnoszenie świadomości na temat problemu.
„Jedną z moich największych obaw jest to, że jeśli ktoś jest zły NIE Robiąc to, jest to prawie błąd w sztuce hakerskiej, ponieważ byłoby to łatwe i oczywiste” – mówi Camp.
Osiemnaście routerów to niewielka próbka z milionów urządzeń sieciowych dla przedsiębiorstw, rozsianych po całym świecie na rynku odsprzedaży, ale inni badacze twierdzą, że w swojej pracy wielokrotnie widzieli te same problemy.
mówi White Ford, dyrektor techniczny w Red Balloon Security, firmie zajmującej się bezpieczeństwem Internetu rzeczy. „Urządzenia te mogą zawierać ogromne ilości informacji, które przestępcy mogą wykorzystać do namierzania i przeprowadzania ataków”.
Podobnie jak w przypadku ustaleń firmy ESET, Ford twierdzi, że badacze z Red Balloon znaleźli hasła, inne dane uwierzytelniające i informacje umożliwiające identyfikację osób. Niektóre dane, takie jak nazwy użytkowników i pliki konfiguracyjne, są zwykle zapisane zwykłym tekstem i łatwo dostępne, podczas gdy hasła i pliki konfiguracyjne są często chronione, ponieważ są przechowywane jako mieszane. Skróty kryptograficzne. Ale Ford zwraca uwagę, że nawet pofragmentowane dane są nadal zagrożone.
„Usunęliśmy skróty haseł znalezione na urządzeniu i podzieliliśmy je offline — zdziwiłbyś się, ile osób nadal opiera swoje hasła na swoich kotach” – mówi. „Nawet z pozoru niewinne rzeczy, takie jak kod źródłowy, historia zatwierdzania, konfiguracje sieci, reguły routingu itp., można wykorzystać, aby dowiedzieć się więcej o organizacji, jej pracownikach i topologii sieci”.
Badacze firmy ESET zwracają uwagę, że organizacje mogą uważać, że ponoszą odpowiedzialność, zlecając urządzenia firmom zewnętrznym. Firmy zajmujące się utylizacją odpadów elektronicznych, a nawet usługi sterylizacji urządzeń, które twierdzą, że skanują duże partie urządzeń firmowych w celu odsprzedaży. Ale w praktyce te strony trzecie mogą nie robić tego, co twierdzą. Camp zauważa również, że więcej organizacji może skorzystać z szyfrowania i innych funkcji bezpieczeństwa zapewnianych już przez główne routery, aby złagodzić skutki, jeśli niewyczyszczone urządzenia trafią na świat.
Camp i jego współpracownicy próbowali skontaktować się z dawnymi właścicielami używanych routerów, które kupili, aby ostrzec ich, że ich urządzenia są teraz na wolności i wypluwają ich dane. Niektórzy byli wdzięczni za informacje, ale inni zdawali się ignorować ostrzeżenia lub nie zapewniali żadnego mechanizmu, za pomocą którego badacze mogliby zgłaszać ustalenia dotyczące bezpieczeństwa.
„Korzystaliśmy z zaufanych kanałów, które mieliśmy z niektórymi firmami, ale potem okazało się, że wiele innych firm było trudniejszych do zdobycia” — mówi Camp. „bardzo straszne.”
Ta historia pojawiła się pierwotnie wired.com.
