SG.hu
Tele vannak értékes információkkal a használt routerek
Azt ma már mindenki tudja, hogy egy okostelefont vagy egy laptopot le kell törölni eladás előtt, mert ezeken rengeteg értékes személyes adat van rajta. A vállalkozásoknak és más intézményeknek ugyanezt a megközelítést kell követniük, és törölniük kell adataikat a számítógépekről, szerverekről és hálózati berendezésekről, hogy azok ne kerüljenek rossz kezekbe.
A jövő héten San Franciscóban megrendezésre kerülő RSA biztonsági konferencián az ESET biztonsági cég kutatói olyan eredményeket mutatnak be, amelyek szerint a tesztelésre vásárolt használt vállalati routerek több mint felét a korábbi tulajdonosok teljesen érintetlenül hagyták. Az eszközök pedig tele voltak hálózati információkkal, hitelesítő adatokkal és bizalmas adatokkal azokról az intézményekről, amelyekhez tartoztak.
A kutatók 18 használt routert vásároltak három mainstream gyártó (Cisco, Fortinet és Juniper Networks) különböző modelljeiből. Ezek közül kilenc olyan volt, hogy egyszerűen csak kikötötték azokat a hálózatból, és csak ötöt töröltek le megfelelően. Kettő titkosított volt, egy halott, egy pedig egy másik eszköz tükörmásolata. Mind a kilenc védtelen eszköz tartalmazta a szervezet VPN-jének hitelesítő adatait, egy másik biztonságos hálózati kommunikációs szolgáltatás hitelesítő adatait vagy a root rendszergazda jelszavait. És mindegyik elég azonosító adatot tartalmazott ahhoz, hogy megállapítható legyen, ki volt a router előző tulajdonosa vagy üzemeltetője.
A kilenc nem védett eszközből nyolc tartalmazta a routerek közötti hitelesítési kulcsokat és információkat arról, hogy a router hogyan csatlakozott az előző tulajdonos által használt konkrét alkalmazásokhoz. Négy eszköz más szervezetek - például megbízható partnerek, munkatársak vagy harmadik felek - hálózataihoz való csatlakozáshoz szükséges hitelesítő adatokat fedett fel. Három készülék tartalmazott információkat arról, hogy egy szervezet hogyan csatlakozhatott harmadik félként az előző tulajdonos hálózatához. Kettő pedig közvetlen ügyféladatokat tartalmazott.
"Egy központi routeren minden adat átmegy, így mindent tudok az alkalmazásokról és a szervezet jellegéről - ez nagyon-nagyon megkönnyíti a származási hely kitalálását" - mondta Cameron Camp, a projektet vezető ESET biztonsági kutatója. "Az egyik esetben ez a nagyvállalat egyedi információkkal rendelkezett az egyik nagyon nagy könyvelőcégről, és közvetlen peering-kapcsolatban állt velük. És ez az a pont, ahol számomra kezd igazán ijesztővé válni a dolog." Az eszközökön található rengeteg információ értékes lehet a kiberbűnözők vagy akár egy állam által támogatott hackerek számára. A vállalati alkalmazások bejelentkezési adatai, a hálózati hitelesítő adatok és a titkosítási kulcsok nagy értéket képviselnek a webes piacokon és a bűnügyi fórumokon. A támadók az egyénekre vonatkozó információkat is eladhatják, hogy személyazonosság-lopáshoz és egyéb csalásokhoz használják fel őket.
Egy vállalati hálózat működéséről és a szervezet digitális struktúrájáról szóló részletek szintén rendkívül értékesek azoknak, akik felderítést végeznek egy zsarolóvírus-támadás elindításához vagy egy behatolást terveznek. A routerekből például kiderülhet, hogy egy adott szervezet olyan alkalmazások vagy operációs rendszerek elavult verzióit futtatja, amelyek kihasználható sebezhetőségeket tartalmaznak, és ezzel lényegében megadják a hackerek számára a lehetséges támadási stratégiák útitervét. Sőt, a kutatók egyes routereken még az előző tulajdonosok irodáinak fizikai épületbiztonságára vonatkozó adatokat is találtak.
Mivel a használt berendezések olcsók, a kiberbűnözők számára csábító egy ilyen befektetés, hogy információkat és hálózati hozzáférést bányásszanak belőlük, majd az információkat maguk használják fel vagy adják tovább. Az ESET kutatói megtárgyalták, hogy nyilvánosságra hozzák-e eredményeiket, mert nem akartak új ötleteket adni a kiberbűnözőknek, de arra a következtetésre jutottak, hogy a probléma tudatosítása sokkal sürgetőbb. Tizennyolc router csak egy aprócska mintája a világszerte a viszonteladói piacon keringő több millió vállalati hálózati eszköznek, és más kutatók is azt mondják, hogy munkájuk során ők is többször találkoztak ugyanezekkel a problémákkal. "Mindenféle beágyazott eszközt vásároltunk az eBay-en és más használtcikk árusoknál, és sok olyat láttunk, amelyet nem töröltek digitálisan" - mondja Wyatt Ford, a Red Balloon Security, egy biztonsági cég műszaki vezetője. "Ezek az eszközök olyan információk tárházát tartalmazhatják, amelyeket az ártó szándékú szereplők felhasználhatnak támadások megcélzásához és végrehajtásához".
Az ESET megállapításaihoz hasonlóan a Red Balloon kutatói jelszavakat és egyéb hitelesítő adatokat, valamint személyazonosító információkat találtak. Egyes adatok - például a felhasználónevek és a konfigurációs fájlok - általában egyszerű szövegfájlban vannak és könnyen hozzáférhetők, míg a jelszavak és a konfigurációs fájlok gyakran védettek, mivel titkosított kriptográfiai hash-ként tárolják őket. Ford azonban rámutat, hogy még a hashelt adatok is potenciálisan veszélyeztetettek. "Fogtuk az eszközön talált jelszóhash-eket, és feltörtük őket offline. Meg lennél lepve, hányan alapozzák még mindig a macskájukra a jelszavaikat" - mondta. "És még az olyan ártalmatlannak tűnő dolgok is, mint a forráskód, a commit-előzmények, a hálózati konfigurációk, az útválasztási szabályok stb. - ezek segítségével rengeteget lehet megtudni egy szervezetről, a munkavállalókról és a hálózati topológiáról."
Az ESET kutatói rámutatnak, hogy a cégek azt gondolhatják, hogy felelősségteljesen járnak el, ha külső eszközkezelő cégekkel, e-hulladék-ártalmatlanító cégekkel vagy akár olyan eszköz-ártalmatlanítási szolgáltatásokkal kötnek szerződést, amelyek azt állítják, hogy nagy tételben törlik a vállalati eszközöket viszonteladás előtt. A gyakorlatban azonban ezek a harmadik felek nem biztos, hogy azt teszik, amit állítanak. Camp azt is megjegyzi, hogy a szervezetek használhatnának titkosítást és azokat a biztonsági funkciókat, amelyeket a routerek kínálnak, hogy enyhítsék az ilyen esetek következményeit.
Camp és kollégái megpróbálták felvenni a kapcsolatot az általuk vásárolt használt routerek régi tulajdonosaival, hogy figyelmeztessék őket, hogy eszközeik ontják magukból az adatokat. Néhányan hálásak voltak az információért, de mások úgy tűnt, hogy figyelmen kívül hagyják a figyelmeztetéseket, vagy nem kínáltak olyan mechanizmust, amelyen keresztül a kutatók jelenthetnék a biztonsági megállapításokat. "Néhány vállalathoz megbízható csatornákat használtunk, de rengeteg vállalatot nagyon nehéz elérni." - mondta Camp.
A jövő héten San Franciscóban megrendezésre kerülő RSA biztonsági konferencián az ESET biztonsági cég kutatói olyan eredményeket mutatnak be, amelyek szerint a tesztelésre vásárolt használt vállalati routerek több mint felét a korábbi tulajdonosok teljesen érintetlenül hagyták. Az eszközök pedig tele voltak hálózati információkkal, hitelesítő adatokkal és bizalmas adatokkal azokról az intézményekről, amelyekhez tartoztak.
A kutatók 18 használt routert vásároltak három mainstream gyártó (Cisco, Fortinet és Juniper Networks) különböző modelljeiből. Ezek közül kilenc olyan volt, hogy egyszerűen csak kikötötték azokat a hálózatból, és csak ötöt töröltek le megfelelően. Kettő titkosított volt, egy halott, egy pedig egy másik eszköz tükörmásolata. Mind a kilenc védtelen eszköz tartalmazta a szervezet VPN-jének hitelesítő adatait, egy másik biztonságos hálózati kommunikációs szolgáltatás hitelesítő adatait vagy a root rendszergazda jelszavait. És mindegyik elég azonosító adatot tartalmazott ahhoz, hogy megállapítható legyen, ki volt a router előző tulajdonosa vagy üzemeltetője.
A kilenc nem védett eszközből nyolc tartalmazta a routerek közötti hitelesítési kulcsokat és információkat arról, hogy a router hogyan csatlakozott az előző tulajdonos által használt konkrét alkalmazásokhoz. Négy eszköz más szervezetek - például megbízható partnerek, munkatársak vagy harmadik felek - hálózataihoz való csatlakozáshoz szükséges hitelesítő adatokat fedett fel. Három készülék tartalmazott információkat arról, hogy egy szervezet hogyan csatlakozhatott harmadik félként az előző tulajdonos hálózatához. Kettő pedig közvetlen ügyféladatokat tartalmazott.
"Egy központi routeren minden adat átmegy, így mindent tudok az alkalmazásokról és a szervezet jellegéről - ez nagyon-nagyon megkönnyíti a származási hely kitalálását" - mondta Cameron Camp, a projektet vezető ESET biztonsági kutatója. "Az egyik esetben ez a nagyvállalat egyedi információkkal rendelkezett az egyik nagyon nagy könyvelőcégről, és közvetlen peering-kapcsolatban állt velük. És ez az a pont, ahol számomra kezd igazán ijesztővé válni a dolog." Az eszközökön található rengeteg információ értékes lehet a kiberbűnözők vagy akár egy állam által támogatott hackerek számára. A vállalati alkalmazások bejelentkezési adatai, a hálózati hitelesítő adatok és a titkosítási kulcsok nagy értéket képviselnek a webes piacokon és a bűnügyi fórumokon. A támadók az egyénekre vonatkozó információkat is eladhatják, hogy személyazonosság-lopáshoz és egyéb csalásokhoz használják fel őket.
Egy vállalati hálózat működéséről és a szervezet digitális struktúrájáról szóló részletek szintén rendkívül értékesek azoknak, akik felderítést végeznek egy zsarolóvírus-támadás elindításához vagy egy behatolást terveznek. A routerekből például kiderülhet, hogy egy adott szervezet olyan alkalmazások vagy operációs rendszerek elavult verzióit futtatja, amelyek kihasználható sebezhetőségeket tartalmaznak, és ezzel lényegében megadják a hackerek számára a lehetséges támadási stratégiák útitervét. Sőt, a kutatók egyes routereken még az előző tulajdonosok irodáinak fizikai épületbiztonságára vonatkozó adatokat is találtak.
Mivel a használt berendezések olcsók, a kiberbűnözők számára csábító egy ilyen befektetés, hogy információkat és hálózati hozzáférést bányásszanak belőlük, majd az információkat maguk használják fel vagy adják tovább. Az ESET kutatói megtárgyalták, hogy nyilvánosságra hozzák-e eredményeiket, mert nem akartak új ötleteket adni a kiberbűnözőknek, de arra a következtetésre jutottak, hogy a probléma tudatosítása sokkal sürgetőbb. Tizennyolc router csak egy aprócska mintája a világszerte a viszonteladói piacon keringő több millió vállalati hálózati eszköznek, és más kutatók is azt mondják, hogy munkájuk során ők is többször találkoztak ugyanezekkel a problémákkal. "Mindenféle beágyazott eszközt vásároltunk az eBay-en és más használtcikk árusoknál, és sok olyat láttunk, amelyet nem töröltek digitálisan" - mondja Wyatt Ford, a Red Balloon Security, egy biztonsági cég műszaki vezetője. "Ezek az eszközök olyan információk tárházát tartalmazhatják, amelyeket az ártó szándékú szereplők felhasználhatnak támadások megcélzásához és végrehajtásához".
Az ESET megállapításaihoz hasonlóan a Red Balloon kutatói jelszavakat és egyéb hitelesítő adatokat, valamint személyazonosító információkat találtak. Egyes adatok - például a felhasználónevek és a konfigurációs fájlok - általában egyszerű szövegfájlban vannak és könnyen hozzáférhetők, míg a jelszavak és a konfigurációs fájlok gyakran védettek, mivel titkosított kriptográfiai hash-ként tárolják őket. Ford azonban rámutat, hogy még a hashelt adatok is potenciálisan veszélyeztetettek. "Fogtuk az eszközön talált jelszóhash-eket, és feltörtük őket offline. Meg lennél lepve, hányan alapozzák még mindig a macskájukra a jelszavaikat" - mondta. "És még az olyan ártalmatlannak tűnő dolgok is, mint a forráskód, a commit-előzmények, a hálózati konfigurációk, az útválasztási szabályok stb. - ezek segítségével rengeteget lehet megtudni egy szervezetről, a munkavállalókról és a hálózati topológiáról."
Az ESET kutatói rámutatnak, hogy a cégek azt gondolhatják, hogy felelősségteljesen járnak el, ha külső eszközkezelő cégekkel, e-hulladék-ártalmatlanító cégekkel vagy akár olyan eszköz-ártalmatlanítási szolgáltatásokkal kötnek szerződést, amelyek azt állítják, hogy nagy tételben törlik a vállalati eszközöket viszonteladás előtt. A gyakorlatban azonban ezek a harmadik felek nem biztos, hogy azt teszik, amit állítanak. Camp azt is megjegyzi, hogy a szervezetek használhatnának titkosítást és azokat a biztonsági funkciókat, amelyeket a routerek kínálnak, hogy enyhítsék az ilyen esetek következményeit.
Camp és kollégái megpróbálták felvenni a kapcsolatot az általuk vásárolt használt routerek régi tulajdonosaival, hogy figyelmeztessék őket, hogy eszközeik ontják magukból az adatokat. Néhányan hálásak voltak az információért, de mások úgy tűnt, hogy figyelmen kívül hagyják a figyelmeztetéseket, vagy nem kínáltak olyan mechanizmust, amelyen keresztül a kutatók jelenthetnék a biztonsági megállapításokat. "Néhány vállalathoz megbízható csatornákat használtunk, de rengeteg vállalatot nagyon nehéz elérni." - mondta Camp.