Η ψηφιακή τεχνολογία έχει ανοίξει έναν κόσμο λύσεων για τις μικρές επιχειρήσεις, παρέχοντας αυξημένα επίπεδα αποτελεσματικότητας σε όλους τους τομείς. Αλλά εισήγαγε επίσης απειλές που δεν είχαν ποτέ εκτεθεί στο παρελθόν.
Μια μελέτη που δημοσιεύθηκε πρόσφατα από την SEC Consult, διεθνή πάροχο υπηρεσιών ασφάλειας εφαρμογών και συμβουλών ασφάλειας πληροφοριών, αποκάλυψε τουλάχιστον μία τέτοια νέα απειλή. Η SEC Consult πρόσφατα ανέφερε ότι μια πρακτική κοινής χρήσης των ίδιων πιστοποιητικών διακομιστή HTTPS και κλειδιών SSH (Secure Shell Host) έχει θέσει σε κίνδυνο ορισμένες μικρές επιχειρήσεις. Αυτό είναι μετά από πολλούς είπαν ότι η μετάβαση από το HTTP στο HTTPS θα παρέχει καλύτερη ασφάλεια για τους ιστοτόπους τους.
$config[code] not foundΣύντομη επεξήγηση του
Το πρωτόκολλο μεταφοράς πρωτοκόλλων Hyper Text Secure (HTTPS) κρυπτογραφεί και αποκρυπτογραφεί τα αιτήματα σελίδας χρήστη για προστασία από την υποκλοπή και τις επιθέσεις ανθρώπου-στο-μέσον. Επειδή οι επικοινωνίες που αποστέλλονται μέσω κανονικών συνδέσεων HTTP είναι σε απλό κείμενο, μπορούν να διαβαστούν από τους χάκερ ενώ τα μηνύματα μετακινούνται μεταξύ του προγράμματος περιήγησης και του ιστότοπου. Με το HTTPS, η επικοινωνία είναι κρυπτογραφημένη και ο χάκερ δεν μπορεί να εισέλθει στη σύνδεση.
Αυτός είναι ο τρόπος με τον οποίο υποτίθεται ότι λειτουργεί, αλλά αν τα πιστοποιητικά HTTPS και τα κλειδιά SSH μοιράζονται χρησιμοποιώντας τα ίδια ξανά και ξανά, τελικά κάποιος θα μπορούσε να το καταλάβει και να διαβάσει τις επικοινωνίες.
Η SEC Consult ανέλυσε το firmware για περισσότερες από 4.000 ενσωματωμένες συσκευές από 70 προμηθευτές, εξετάζοντας τα κρυπτογραφικά κλειδιά που περιλαμβάνουν δρομολογητές, μόντεμ, κάμερες IP, τηλέφωνα VoIP, συσκευές αποθήκευσης δικτύου, πύλες Internet και πολλά άλλα. Υπήρχαν δημόσια και ιδιωτικά κλειδιά καθώς και πιστοποιητικά στις εικόνες του υλικολογισμικού.
Η εταιρεία εξέθεσε περισσότερα από 580 μοναδικά ιδιωτικά κλειδιά από τις συσκευές που ήταν ξεχωριστές. Οι ερευνητές στη συνέχεια συσχετίζουν τα κλειδιά από τις σαρώσεις που ήταν διαθέσιμες στο Διαδίκτυο, γεγονός που τους οδήγησε να ανακαλύψουν 150 πιστοποιητικά για 3,2 εκατομμύρια HTTPS hosts. Αυτό μεταφράζεται σε εννέα τοις εκατό όλων των κεντρικών υπολογιστών HTTPS στον Ιστό. Οι ερευνητές ανακάλυψαν περαιτέρω 80 κλειδιά SSH host ή περισσότερα από έξι τοις εκατό από όλους τους ασφαλείς οικοδεσπότες υποδοχής στον ιστό που ανέρχονται σε 0,9 εκατομμύρια υπολογιστές.
Αυτό περιλαμβάνει τουλάχιστον 230 πλήκτρα που χρησιμοποιούνται ενεργά από περισσότερες από 4 εκατομμύρια συσκευές. Με τόσες συσκευές, δεν πρέπει να αποτελεί έκπληξη ότι μερικοί από τους κορυφαίους κατασκευαστές υλικού στον κόσμο επηρεάζονται από αυτό το πρόβλημα.
Μερικές από τις εταιρείες που προσδιορίστηκαν ήταν η Alcatel-Lucent, η Cisco, η General Electric (GE), η Huawei, η Motorola, η Netgear, η Seagate, η Vodafone, η Western Digital και πολλοί άλλοι.
Δεδομένου ότι αυτό είναι στην πλευρά υλικού των προϊόντων, οι πωλητές πρέπει να εφαρμόσουν τις ενημερώσεις κώδικα. Σύμφωνα με τη Forbes, έξι πωλητές - Cisco, ZTE, ZyXEL, Technicolor, TrendNet και Unify - έχουν επιβεβαιώσει ότι οι διορθώσεις έρχονται. Αλλά αυτό αφήνει πολύ λίγες επιλογές για τις μικρές επιχειρήσεις που χρησιμοποιούν τις επηρεαζόμενες συσκευές. Το μόνο που μπορούν να κάνουν είναι να περιμένουν ένα έμπλαστρο από την εταιρεία που έκανε το προϊόν.
Ορισμένες συσκευές δεν επιτρέπουν την αλλαγή των κλειδιών και των πιστοποιητικών, γεγονός που περιπλέκει περαιτέρω τα θέματα.Η SEC Consult δήλωσε ότι θα κυκλοφορήσει σύντομα όλα τα αναγνωρισμένα πιστοποιητικά και τα ιδιωτικά κλειδιά. Εν τω μεταξύ, μπορείτε να μεταβείτε στον ιστότοπο της εταιρείας και να διαβάσετε την αναφορά και να μάθετε αν η μικρή επιχείρησή σας χρησιμοποιεί ένα προϊόν από τον κατάλογο των εταιρειών.
https Φωτογραφία μέσω του Shutterstock
1
