本文來自嘶吼網(wǎng),作者/布加迪。
眾所周知,原機(jī)主在將智能手機(jī)或筆記本電腦轉(zhuǎn)售或送給別人之前,應(yīng)該清除掉里面的數(shù)據(jù)。畢竟,設(shè)備中有太多有價值的個人數(shù)據(jù),應(yīng)該由原機(jī)主控制。企業(yè)及其他機(jī)構(gòu)需要采取同樣的做法,從PC、服務(wù)器和網(wǎng)絡(luò)設(shè)備中刪除掉信息,以免落入壞人之手。不過,在下周于舊金山召開的RSA安全大會上,來自安全公司ESET的研究人員將展示調(diào)查結(jié)果,表明他們買來用于測試的二手企業(yè)路由器中有一半以上完全沒有被原機(jī)主擦除掉數(shù)據(jù)。這些設(shè)備含有關(guān)于它們所屬機(jī)構(gòu)的大量網(wǎng)絡(luò)信息、憑據(jù)和機(jī)密數(shù)據(jù)。
研究人員購買了18只不同型號的二手路由器,這些路由器來自三大主流廠商:思科、飛塔和瞻博網(wǎng)絡(luò)。其中9只處于與原機(jī)主丟棄時一樣的狀態(tài),完全可以訪問,只有5只采取了適當(dāng)?shù)臄?shù)據(jù)擦除操作。2只經(jīng)過加密,1只已壞掉,還有1只是另一個設(shè)備的鏡像副本。
所有9只未受保護(hù)的設(shè)備都含有相應(yīng)組織的VPN的憑據(jù)、另一項(xiàng)安全網(wǎng)絡(luò)通信服務(wù)的憑據(jù)或經(jīng)過哈希處理的根管理員密碼。所有這些設(shè)備都含有足夠多的身份識別數(shù)據(jù),可以確定路由器的原機(jī)主或運(yùn)營者是誰。
9只未受保護(hù)的設(shè)備中有8只含有路由器到路由器的身份驗(yàn)證密鑰以及有關(guān)路由器如何連接到原機(jī)主使用的特定應(yīng)用程序的信息。4只設(shè)備泄露了連接到其他組織網(wǎng)絡(luò)的憑據(jù),比如受信任的合作伙伴、合作者或其他第三方。其中3只含有關(guān)于組織如何作為第三方連接到原機(jī)主的網(wǎng)絡(luò)的信息。還有2只直接含有客戶數(shù)據(jù)。
領(lǐng)導(dǎo)這個研究項(xiàng)目的ESET安全研究員Cameron Camp說:“核心路由器觸及組織中的一切,因此我了解相應(yīng)組織的所有應(yīng)用程序和特征,這使得冒充這家組織變得非常容易。在一個案例中,這一家大型組織擁有關(guān)于一家非常知名的會計(jì)師事務(wù)所的特權(quán)信息,并與他們有直接合作關(guān)系。對我來說,這正是情況開始變得真正可怕的地方,因?yàn)槲覀兪茄芯咳藛T,我們是來幫忙的,但其余那些路由器的安全狀況又如何呢?”
重大危險在于,這些設(shè)備上的大量信息對于網(wǎng)絡(luò)犯罪分子、甚至政府撐腰的黑客來說都頗具價值。公司應(yīng)用程序登錄信息、網(wǎng)絡(luò)憑據(jù)和加密密鑰在暗網(wǎng)市場和犯罪論壇上都能賣出高價。攻擊者還可以出售有關(guān)個人的信息,用于身份盜竊及其他詐騙活動 。
關(guān)于公司網(wǎng)絡(luò)如何運(yùn)作和組織數(shù)字架構(gòu)的詳細(xì)信息也極具價值,無論不法分子在進(jìn)行偵察以發(fā)起勒索軟件攻擊還是策劃間諜活動。比如說,路由器可能會顯示某家特定組織在運(yùn)行含有可利用漏洞的過時版本的應(yīng)用程序或操作系統(tǒng),這實(shí)際上為黑客謀劃可能的攻擊策略提供了一份路線圖。研究人員甚至在一些路由器上發(fā)現(xiàn)了有關(guān)原機(jī)主辦公室的物理建筑安全的詳細(xì)信息。
由于二手設(shè)備打折出售,網(wǎng)絡(luò)犯罪分子可能掏錢購買二手設(shè)備,尋覓其中的信息和網(wǎng)絡(luò)訪問權(quán)限,然后自己使用或轉(zhuǎn)售這些信息。ESET 的研究人員表示,他們討論過是否要公布研究結(jié)果,因?yàn)樗麄儾幌虢o網(wǎng)絡(luò)犯罪分子新的點(diǎn)子,但最后得出的結(jié)論是,讓公眾加強(qiáng)對該問題的認(rèn)識更為緊迫。
對全球二手市場上流通的數(shù)百萬只企業(yè)網(wǎng)絡(luò)設(shè)備而言,18只路由器只是極小的樣本,但其他研究人員表示,他們在研究工作中也一再發(fā)現(xiàn)同樣的問題。
物聯(lián)網(wǎng)安全公司Red Balloon Security的工程經(jīng)理Wyatt Ford說:“我們在eBay及其他二手賣家網(wǎng)站上購買了各種嵌入式設(shè)備,我們看到許多二手設(shè)備并沒有用數(shù)字手段擦除掉其中的數(shù)據(jù)。這些設(shè)備可能含有大量信息,不法分子可以利用這些信息來鎖定目標(biāo),并實(shí)施攻擊。”
與ESET的調(diào)查結(jié)果一樣,F(xiàn)ord表示,Red Balloon的研究人員也找到了密碼、其他憑據(jù)以及個人身份信息,用戶名和配置文件等一些數(shù)據(jù)通常是明文格式,易于訪問。而密碼和配置文件本該常常受到保護(hù),因?yàn)樗鼈冏鳛榧用芄<右源鎯Α5獸ord指出,即使經(jīng)過哈希處理的數(shù)據(jù)仍面臨潛在風(fēng)險。
他說:“我們已經(jīng)獲取了在設(shè)備上找到的密碼哈希,并在離線環(huán)境破解了它們,你會驚訝地發(fā)現(xiàn)許多人仍然用寵物的名稱設(shè)置密碼。即使是源代碼、提交歷史記錄、網(wǎng)絡(luò)配置、路由規(guī)則等看似無害的信息,它們也可用于了解有關(guān)組織、人員及網(wǎng)絡(luò)拓?fù)涞母嘈畔ⅰ?rdquo;
ESET研究人員指出,組織可能認(rèn)為自己通過與外部設(shè)備管理公司、電子垃圾處理公司或者甚至聲稱可以擦除大批量企業(yè)設(shè)備以便轉(zhuǎn)售的設(shè)備凈化服務(wù)簽訂合同,因此盡到了責(zé)任。但在實(shí)踐占,這些第三方可能并沒有說到做到。Camp也特別指出,更多組織可能利用主流路由器已經(jīng)提供的加密及其他安全功能,以減小未被擦除內(nèi)容的設(shè)備最終散落在全球各個角落所帶來的影響。
Camp及其同事試圖聯(lián)系他們購買的二手路由器的原機(jī)主,警告他們的設(shè)備現(xiàn)在已經(jīng)在外面泄露數(shù)據(jù)。一些人對此表示感謝,但另一些人似乎無視警告,或者沒有提供研究人員可以報(bào)告安全結(jié)果的機(jī)制。
Camp說:“我們利用已有的可靠渠道通知了一些公司,但后來我們發(fā)現(xiàn)更多的公司更難聯(lián)系上,情況比較糟糕。”
本文翻譯自:https://arstechnica.com/information-technology/2023/04/used-routers-often-come-loaded-with-corporate-secrets/