Цифрова технологія відкрила світ рішень для малого бізнесу, забезпечуючи підвищений рівень ефективності. Але він також вніс загрози, яким вони ніколи раніше не були викриті.
Дослідження, яке нещодавно було опубліковано SEC Consult, міжнародним постачальником послуг з безпеки додатків та консультацій з інформаційної безпеки, виявило хоча б одну таку нову загрозу. Компанія SEC Consult нещодавно повідомила, що практика спільного використання сертифікатів HTTPS-серверів та ключів Secure Shell Host (SSH) призвела до ризику для малого бізнесу. Це після того, як багатьом було сказано, що перехід з HTTP на HTTPS забезпечить кращу безпеку для своїх веб-сайтів.
$config[code] not foundКороткий опис
Протокол Hyper Text Transfer Secure (HTTPS) шифрує та розшифровує запити на сторінку користувача для захисту від підслуховування і атаки "людина-в-середині". Оскільки комунікації, надіслані через звичайні з'єднання HTTP, знаходяться в "звичайному тексті", вони можуть бути прочитані хакерами, коли повідомлення переміщуються між вашим веб-переглядачем і веб-сайтом. За допомогою HTTPS зв'язок шифрується, і хакери не можуть проникнути в з'єднання.
Саме так він і повинен працювати, але якщо сертифікат HTTPS і ключі SSH використовуються спільно, використовуючи ті ж самі знову і знову, в кінцевому підсумку хтось зможе розібратися і прочитати повідомлення.
SEC Consult проаналізував прошивку більше 4000 вбудованих пристроїв від 70 постачальників, розглянувши криптографічні ключі, які включали маршрутизатори, модеми, IP-камери, VoIP-телефони, мережеві пристрої зберігання даних, Інтернет-шлюзи та багато іншого. У зображеннях прошивки були відкриті та закриті ключі, а також сертифікати.
Компанія виставила більше 580 унікальних приватних ключів з пристроїв, які були виділені. Потім дослідники корелювали ключі від сканувань, які були доступні в Інтернеті, що змусило їх відкрити 150 сертифікатів для 3.2 мільйонів хостів HTTPS. Це призводить до дев'яти відсотків всіх хостів HTTPS в Інтернеті. Дослідники також виявили 80 ключів SSH-хостів, або більше шести відсотків всіх захищених хостів оболонки в Інтернеті на загальну суму 0,9 мільйона хостів.
Що стосується, принаймні, 230 ключів, які активно використовуються більш ніж 4 мільйонами пристроїв. З такою кількістю пристроїв, це не повинно стати несподіванкою деякі з провідних виробників обладнання в світі страждають від цього глюка.
Деякі з ідентифікованих компаній включали Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital та багато інших.
Оскільки це на апаратній стороні продуктів, постачальники повинні реалізувати виправлення. За даними Forbes, шість виробників - Cisco, ZTE, ZyXEL, Technicolor, TrendNet і Unify - підтвердили виправлення. Але це залишає дуже мало варіантів для малих підприємств, які використовують ці пристрої. Все, що вони можуть зробити, це чекати виправлення від компанії, яка зробила продукт.
Деякі пристрої не дозволяють змінювати ключі та сертифікати, що ще більше ускладнює справу.SEC Consult повідомила, що незабаром випустить всі ідентифіковані сертифікати та приватні ключі. Тим часом ви можете перейти на сайт компанії та прочитати звіт і дізнатися, чи ваш малий бізнес використовує продукт зі списку компаній.
https Фото через Shutterstock
1
