Když se zbavujete starého smartphonu, nebo notebooku, měli byste ho pořádně vymazat. Je v něm spousta cenných osobních údajů, které by se neměly dostat to cizích rukou. Stejný přístup by ale měly zaujmout i firmy a další instituce, které by měly vymazat všechny informace z počítačů, serverů a síťových zařízení.
Výzkumníci z bezpečnostní společnosti ESET ale zjistili, že více než polovina použitých podnikových routerů, které zakoupili k testování, zůstala po předchozích majitelích zcela nedotčena. A tato zařízení byla plná síťových informací, pověření a důvěrných údajů o institucích, kterým patřila.
Část routerů zakoupených Esetem pro výzkum. | Zdroj: výzkumná studie ESET
Výzkumníci zakoupili 18 použitých routerů různých modelů od tří běžných výrobců: Cisco, Fortinet a Juniper Networks. Devět z nich bylo tak, jak je jejich majitelé po odpojení zanechali, zatímco pouze pět z nich bylo řádně vymazáno. Dvě byla zašifrovaná, jedno bylo nefunkční a jedno bylo zrcadlovou kopií jiného zařízení.
Všech devět nechráněných zařízení obsahovalo přihlašovací údaje pro VPN, přihlašovací údaje pro jinou zabezpečenou síťovou komunikační službu nebo zaheslovaná administrátorská hesla. A všechna obsahovala dostatek identifikačních údajů, aby bylo možné určit, kdo byl předchozím vlastníkem nebo provozovatelem routeru.
Osm z devíti nechráněných zařízení obsahovalo autentizační klíče mezi routery a informace o tom, jak se router připojil ke konkrétním aplikacím, které používal předchozí majitel. Čtyři zařízení odhalila pověření pro připojení k sítím jiných organizací - důvěryhodných partnerů, nebo spolupracovníků. Tři zařízení obsahovala informace o tom, jak se subjekt může připojit jako třetí strana k síti předchozího vlastníka. A dvě přímo obsahovala údaje o zákaznících.
"Hlavní router se dotýká všeho v organizaci, takže ví vše o aplikacích a charakteru organizace - je pak velmi, velmi snadné se za organizaci vydávat," říká Cameron Camp, bezpečnostní výzkumník společnosti ESET, který projekt vedl. "V jednom případě měla tato velká skupina privilegované informace o jedné z velkých účetních firem a přímý peeringový vztah s ní. A tady to pro mě začíná být opravdu děsivé, protože my jsme výzkumníci, my jsme tu od toho, abychom pomohli, ale kde je zbytek těch routerů?"
Velké nebezpečí spočívá v tom, že množství informací v těchto zařízeních by bylo cenné pro kyberzločince a dokonce i pro hackery podporované státem. Přihlašovací údaje k firemním aplikacím, síťové přihlašovací údaje a šifrovací klíče mají na darkwebu a fórech kyberzločinců vysokou hodnotu. Útočníci mohou také prodávat informace o jednotlivcích, které lze využít ke krádežím identity a dalším podvodům. Nesmírně cenné jsou také podrobnosti o fungování podnikové sítě a digitální struktuře organizace.
Osmnáct routerů je přitom jen nepatrný vzorek z milionů firemních síťových zařízení, která kolují po bazarech na celém světě, ale jiní výzkumníci říkají, že stejné problémy opakovaně zaznamenali i při své práci.
Výzkumníci ESETu upozorňují, že organizace si často myslí, že je vše vyřešeno, pokud uzavírají smlouvy s externími firmami zabývajícími se správou zařízení, nebo společnostmi zabývajícími se likvidací elektronického odpadu, které tvrdí, že zařízení po vyřazení vymazávají. V praxi však tyto třetí strany nemusí dělat to, co tvrdí. Více organizací by mohlo využít šifrování a další bezpečnostní funkce, které již routery běžně nabízejí, aby zmírnily následky, pokud zařízení, která nebyla vymazána, skončí v nepovolaných rukou.
Zdroj: WeLiveSecurity by ESET
video
