Digitālā tehnoloģija ir atvērusi mazo uzņēmumu risinājumu pasauli, nodrošinot lielāku efektivitāti visos līmeņos. Taču tā ir ieviesusi arī draudus, kādiem tās nekad iepriekš nebija pakļautas.
Pētījums, ko nesen publicēja SEC Consult, starptautisks lietojumprogrammu drošības pakalpojumu sniedzējs un informācijas drošības konsultants, ir atklājis vismaz vienu šādu jaunu apdraudējumu. SEC Consult nesen ziņoja, ka praksē, kurā tiek izmantoti tie paši HTTPS servera sertifikāti un Secure Shell Host (SSH) atslēgas, ir apdraudēta virkne mazu uzņēmumu. Tas ir pēc tam, kad daudzi bija teicis, ka no HTTP uz HTTPS tiktu nodrošināta labāka viņu tīmekļa vietņu drošība.
$config[code] not foundĪss HTTPS skaidrojums
Hyper Text Transfer Protocol Secure (HTTPS) šifrē un atšifrē lietotāja lapu pieprasījumus, lai aizsargātu pret noklausīšanos un uzbrukumiem vidū. Tā kā sakari, kas nosūtīti pa parastajiem HTTP savienojumiem, ir “vienkāršā tekstā”, tos var lasīt hakeri, kamēr ziņojumi ceļo starp jūsu pārlūkprogrammu un tīmekļa vietni. Izmantojot HTTPS, komunikācija ir šifrēta, un hakeris nevar ielauzties savienojumā.
Tādā veidā tam vajadzētu darboties, bet, ja HTTPS sertifikāts un SSH atslēgas tiek koplietotas, izmantojot tos pašus un vairāk, beidzot kāds varētu to izdomāt un lasīt.
SEC Consult analizēja vairāk nekā 4000 iegulto ierīču programmaparatūru no 70 piegādātājiem, aplūkojot kriptogrāfiskās atslēgas, kas ietvēra maršrutētājus, modemus, IP kameras, VoIP tālruņus, tīkla glabāšanas ierīces, interneta vārtejas un vairāk. Programmatūras attēlos bija publiskas un privātas atslēgas, kā arī sertifikāti.
Uzņēmums atklāja vairāk nekā 580 unikālas privātas atslēgas no izraudzītajām ierīcēm. Pēc tam pētnieki korelēja atslēgas no skenējumiem, kas bija publiski pieejami internetā, kā rezultātā viņi atklāja 150 sertifikātus par 3,2 miljoniem HTTPS saimnieku. Tas nozīmē deviņus procentus no visiem HTTPS resursdatoriem tīmeklī. Pētnieki arī atklāja 80 SSH resursdatora atslēgas vai vairāk nekā sešus procentus no visiem drošajiem čaumalu saimniekiem tīmeklī, kopumā sasniedzot 0,9 miljonus saimnieku.
Tas izpaužas vismaz 230 taustiņos, kurus aktīvi izmanto vairāk nekā 4 miljoni ierīču. Ar tik daudzām ierīcēm to nevajadzētu pārsteigt, jo šī vadība ietekmē dažus pasaulē vadošos aparatūras ražotājus.
Daži no identificētajiem uzņēmumiem bija Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital un daudzi citi.
Tā kā tas ir produktu aparatūras pusē, pārdevējiem ir jāievieš labojumi. Pēc Forbes domām, seši pārdevēji - Cisco, ZTE, ZyXEL, Technicolor, TrendNet un Unify - ir apstiprinājuši labojumus. Taču mazajiem uzņēmumiem, kas izmanto attiecīgās ierīces, ir ļoti maz iespēju. Viss, ko viņi var darīt, ir sagaidīt plāksteri no uzņēmuma, kas ražo produktu.
Dažas ierīces neļauj mainīt atslēgas un sertifikātus, kas vēl vairāk sarežģī jautājumus.SEC Consult teica, ka drīzumā tās atbrīvos visus identificētos sertifikātus un privātās atslēgas. Tikmēr jūs varat doties uz uzņēmuma vietni un izlasīt ziņojumu un uzzināt, vai jūsu mazais uzņēmums izmanto produktu no uzņēmumu saraksta.
https Foto caur Shutterstock
1
