Digitalna tehnologija je odprla svet rešitev za mala podjetja z zagotavljanjem višje ravni učinkovitosti. Vendar pa je uvedla tudi grožnje, ki jim še nikoli niso bile izpostavljene.
Študija, ki jo je nedavno objavil SEC Consult, mednarodni ponudnik varnostnih storitev in svetovanja na področju informacijske varnosti, je razkrila vsaj eno tako novo grožnjo. SEC Consult je pred kratkim poročal, da je praksa delitve istih strežniških certifikatov HTTPS in ključev Secure Shell Host (SSH) ogrozila številna mala podjetja. To je po tem, ko je bilo mnogim povedano, da bi se s HTTP na HTTPS spremenila njihova varnost.
$config[code] not foundKratek opis
Hyper Text Transfer Protocol Secure (HTTPS) šifrira in dešifrira zahteve uporabnikovih strani za zaščito pred prisluškovanjem in napadi človeka v sredini. Ker so sporočila, poslana prek navadnih povezav HTTP, v »navadnem besedilu«, jih lahko preberejo hekerji, medtem ko sporočila potujejo med brskalnikom in spletnim mestom. Z HTTPS je komunikacija šifrirana in heker ne more prekiniti povezave.
Tako naj bi deloval, če pa se HTTPS certifikat in ključi SSH delijo z istimi in znova uporabijo iste, potem bi lahko nekdo to ugotovil in prebral sporočila.
SEC Consult je analiziral strojno programsko opremo več kot 4000 vgrajenih naprav od 70 prodajalcev, pri čemer je preučil kriptografske ključe, ki so vključevali usmerjevalnike, modeme, IP kamere, VoIP telefone, omrežne naprave za shranjevanje, internetne prehodi in drugo. Na slikah firmwarea so bili javni in zasebni ključi ter certifikati.
V podjetju je bilo izpostavljenih več kot 580 unikatnih zasebnih ključev. Raziskovalci so nato povezali ključe od skenov, ki so bili javno dostopni na internetu, zaradi česar so odkrili 150 certifikatov za 3,2 milijona gostiteljev HTTPS. To pomeni devet odstotkov vseh gostiteljev HTTPS na spletu. Raziskovalci so nadalje odkrili 80 SSH gostiteljskih ključev, ali več kot šest odstotkov vseh varnih gostiteljev lupine na spletu, ki so skupaj znašali 0,9 milijona gostiteljev.
Na voljo je vsaj 230 tipk, ki jih aktivno uporablja več kot 4 milijone naprav. S tako veliko napravami, to ne sme priti kot presenečenje nekaterih vodilnih proizvajalcev strojne opreme na svetu, ki jih je prizadela ta napaka.
Nekatera od teh podjetij so bila Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital in mnogi drugi.
Ker je to na strani strojne opreme izdelkov, morajo prodajalci izvajati popravke. Po podatkih Forbesa je šest prodajalcev - Cisco, ZTE, ZyXEL, Technicolor, TrendNet in Unify - potrdilo, da prihajajo popravki. Vendar to pušča zelo malo možnosti za mala podjetja, ki uporabljajo prizadete naprave. Vse, kar lahko naredijo, je počakati na obliž iz podjetja, ki je izdelalo izdelek.
Nekatere naprave ne omogočajo spreminjanja ključev in potrdil, kar dodatno otežuje težave.SEC Consult je povedal, da bo v kratkem objavil vse identificirane certifikate in zasebne ključe. Medtem lahko obiščete spletno mesto podjetja in preberete poročilo ter ugotovite, ali vaše podjetje uporablja izdelek s seznama podjetij.
https Photo preko Shutterstocka
1
