Aquatarkus/Getty Images
Wiesz, że musisz Wyczyść swój smartfon Lub przed odsprzedażą laptopa lub oddaniem go krewnemu. W końcu masz pod kontrolą wiele cennych danych osobowych. Firmy i inne organizacje powinny zastosować to samo podejście, usuwając swoje informacje z komputerów, serwerów i sprzętu sieciowego, aby nie wpadły w niepowołane ręce. Jednak na konferencji RSA Security Conference w San Francisco w przyszłym tygodniu naukowcy z firmy zajmującej się bezpieczeństwem ESET Aktualne ustalenia Okazuje się, że ponad połowa używanych routerów korporacyjnych, które kupili do testów, została całkowicie nienaruszona przez ich poprzednich właścicieli. Urządzenia były załadowane informacjami o sieci, danymi uwierzytelniającymi i poufnymi danymi firm, do których należały.
Badacze zakupili 18 używanych routerów różnych modeli wyprodukowanych przez trzech głównych dostawców: Cisco, Fortinet i Juniper Networks. Spośród nich dziewięć zostało pozostawionych przez ich właścicieli i było w pełni dostępnych, a tylko pięć zostało odpowiednio wyczyszczonych. Dwa są zaszyfrowane, jeden nie działa, a jeden jest lustrzaną kopią innego urządzenia.
Wszystkie dziewięć niezabezpieczonych urządzeń zawierało poświadczenia firmowej sieci VPN, poświadczenia innej bezpiecznej usługi komunikacji sieciowej lub zaszyfrowane hasła administratora root. Wszystkie zawierają wystarczającą ilość danych identyfikujących, aby ustalić, kto był poprzednim właścicielem lub operatorem routera.
Osiem z dziewięciu niezabezpieczonych urządzeń zawiera klucze uwierzytelniające router-router oraz informacje o tym, w jaki sposób router jest połączony z określonymi aplikacjami używanymi przez poprzedniego właściciela. Cztery urządzenia ujawniły dowody łączenia się z sieciami innych organizacji, takich jak zaufani partnerzy, współpracownicy lub inne strony trzecie. Trzy zawierają informacje o tym, jak firma może podłączyć osobę trzecią do sieci poprzedniego właściciela. A dwa zawierają bezpośrednio dane klientów.
„Kluczowy router ma kontakt ze wszystkim w organizacji, więc wie wszystko o aplikacjach firmy i jej naturze – bardzo, bardzo ułatwia podszywanie się pod firmę” — mówi Cameron Camp, badacz bezpieczeństwa firmy ESET, który kierował projektem. „W jednym przypadku ta duża grupa miała uprzywilejowane informacje o jednej z największych firm księgowych i bezpośrednią relację z nimi. To mnie przeraża, ponieważ jesteśmy badaczami i jesteśmy tutaj, aby pomóc, ale gdzie są te routery?”
Większe ryzyko polega na tym, że bogactwo informacji na urządzeniach może być cenne dla cyberprzestępców, a nawet hakerów sponsorowanych przez rząd. Loginy do aplikacji korporacyjnych, poświadczenia sieciowe i klucze szyfrujące są wysoko cenione na ciemnych rynkach internetowych i forach przestępczych. Atakujący mogą również sprzedawać informacje o osobach do wykorzystania w kradzieży tożsamości i innych oszustwach.
Niezależnie od tego, czy szpiegujesz, czy planujesz kampanię szpiegowską mającą na celu przeprowadzenie ataku ransomware, sposób działania sieci korporacyjnej i infrastruktura cyfrowa firmy są niezwykle cenne. Na przykład routery mogą ujawnić, że dana firma korzysta z przestarzałych wersji aplikacji lub systemów operacyjnych z lukami, które można wykorzystać, dając hakerom mapę drogową możliwych strategii ataku.
Cyberprzestępcy mogą zainwestować w zakup używanych urządzeń do informacji i dostępu do sieci, a następnie wykorzystać lub odsprzedać te informacje. Badacze firmy ESET twierdzą, że zastanawiali się, czy opublikować wyniki swoich badań, ponieważ nie chcieli podsuwać cyberprzestępcom nowych pomysłów, ale uznali, że bardziej pilne jest podniesienie świadomości na ten temat.
„Jedną z największych obaw, jakie mam, jest to, czy ktoś jest zły NIE „Aby to zrobić, jest to prawie nadużycie ze strony hakerów, ponieważ jest to tak łatwe i przejrzyste” – mówi Camp.
Osiemnaście routerów to niewielka próbka spośród milionów urządzeń sieciowych dla przedsiębiorstw krążących na całym świecie na rynku odsprzedaży, ale inni badacze twierdzą, że w swojej pracy wielokrotnie widzieli te same problemy.
„Kupiliśmy wszelkiego rodzaju urządzenia wbudowane online na eBayu i innych sprzedawcach używanych rzeczy i widzieliśmy wiele z nich, które nie zostały wymazane cyfrowo” — mówi Wyatt Ford, kierownik ds. inżynierii w Red Balloon Security. Firma ochroniarska. „Urządzenia te mogą zawierać informacje, które przestępcy mogą wykorzystać do przeprowadzania ukierunkowanych ataków”.
Podobnie jak w przypadku ustaleń ESET, Ford twierdzi, że badacze z Red Balloon znaleźli hasła i inne dane uwierzytelniające oraz informacje umożliwiające identyfikację osób. Niektóre dane, takie jak nazwy użytkowników i pliki konfiguracyjne, są zwykle zapisane zwykłym tekstem i łatwo dostępne, podczas gdy hasła i pliki konfiguracyjne są często chronione, ponieważ są przechowywane jako skróty. Skróty kryptograficzne. Ale Ford zwraca uwagę, że nawet zaszyfrowane dane są nadal zagrożone.
„Wzięliśmy skróty haseł znalezione na urządzeniu i złamaliśmy je w trybie offline – zdziwiłbyś się, ile osób nadal ma swoje hasła oparte na swoich kotach” – mówi. „Nawet pozornie nieszkodliwe rzeczy — kod źródłowy, historia zatwierdzeń, konfiguracje sieci, reguły routingu itd. — można wykorzystać, aby dowiedzieć się więcej o organizacji, jej pracownikach i topologii sieci”.
Badacze firmy ESET zwracają uwagę, że firmy mogą myśleć, że są odpowiedzialne, zawierając umowy z zewnętrznymi firmami zarządzającymi urządzeniami. Firmy usuwające e-odpady lub usługi udoskonalania urządzeń, które rzekomo zajmują się usuwaniem dużych ilości sprzętu firmowego w celu odsprzedaży. Ale w praktyce te strony trzecie mogą nie robić tego, co mówią. Camp zauważa również, że więcej firm może skorzystać z szyfrowania i innych funkcji bezpieczeństwa zapewnianych już przez routery głównego nurtu, aby złagodzić skutki, jeśli niewyczyszczone urządzenia są luźne na świecie.
Camp i jego współpracownicy próbowali skontaktować się z dawnymi właścicielami używanych routerów, które kupili, ostrzegając ich, że ich urządzenia wyrzucają teraz ich dane na wolność. Niektórzy byli wdzięczni za informacje, ale inni zdawali się ignorować ostrzeżenia lub nie zapewniali żadnych środków, za pomocą których badacze mogliby zgłaszać wyniki dotyczące bezpieczeństwa.
„Wykorzystaliśmy zaufane kanały, które mieliśmy dla niektórych firm, ale bardzo trudno było nam pozyskać inne firmy” — mówi Camp. „Przerażająco”.
Ta historia pojawiła się jako pierwsza wire.com.
„Organizator. Wielokrotnie nagradzany praktyk podróży. Przyjaciel zwierząt na całym świecie. Telewizyjny pionier”.