Digital teknologi har åbnet en verden af løsninger til små virksomheder ved at levere øgede effektivitetsniveauer overalt. Men det har også introduceret trusler, som de aldrig tidligere havde været udsat for.
En undersøgelse, som nylig blev udgivet af SEC Consult, en international udbyder af applikationssikkerhedstjenester og informationssikkerhedskonsulenter, har afsløret mindst en sådan ny trussel. SEC Consult rapporterede for nylig, at en praksis med at dele de samme HTTPS servercertifikater og Secure Shell Host (SSH) nøgler har sat en række små virksomheder i fare. Dette er efter mange fik at vide at skifte fra HTTP til HTTPS ville give bedre sikkerhed for deres hjemmesider.
$config[code] not foundEn kort beskrivelse af
Hyper Text Transfer Protocol Secure (HTTPS) krypterer og dekrypterer brugersideanmodninger for at beskytte mod aflytning og man-i-midterangreb. Fordi kommunikation sendt over regelmæssige HTTP-forbindelser er i "almindelig tekst", kan de læses af hackere, mens meddelelserne rejser mellem din browser og hjemmesiden. Med HTTPS er kommunikationen krypteret, og hackeren kan ikke bryde ind i forbindelsen.
Sådan fungerer det, men hvis HTTPS-certifikatet og SSH-nøglerne deles ved at bruge de samme dem igen og igen, så kan nogen som helst finde ud af det og læse meddelelserne.
SEC Consult analyserede firmwareen af mere end 4.000 indlejrede enheder fra 70 leverandører ved at se på kryptografiske nøgler, der omfattede routere, modemer, IP-kameraer, VoIP-telefoner, netværkslagringsenheder, internetgateways og meget mere. Der var offentlige og private nøgler samt certifikater i firmware-billederne.
Virksomheden udsatte mere end 580 unikke private nøgler fra de enheder, der blev udpeget. Forskerne korrelerede derefter nøglerne fra scanninger, som var offentligt tilgængelige på internettet, hvilket førte dem til at opdage 150 certifikater for 3,2 millioner HTTPS værter. Det svarer til ni procent af alle HTTPS-værter på internettet. Forskerne opdagede yderligere 80 SSH-værtsnøgler, eller mere end seks procent af alle sikre skalværter på internettet på i alt 0,9 millioner værter.
Det kommer ud på mindst 230 nøgler, der bliver brugt aktivt af mere end 4 millioner enheder. Med så mange enheder, bør det ikke komme som en overraskelse Nogle af de førende hardwareproducenter i verden påvirkes af denne fejl.
Nogle af de identificerede virksomheder omfattede Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital og mange andre, siger rapporten.
Da dette er på hardwaresiden af produkterne, skal sælgerne gennemføre rettelserne. Ifølge Forbes har seks leverandører - Cisco, ZTE, ZyXEL, Technicolor, TrendNet og Unify - bekræftet, at rettelser kommer. Men det giver meget få muligheder for små virksomheder, der bruger de berørte enheder. Alt de kan gøre er at vente på en patch fra firmaet, der lavede produktet.
Nogle enheder tillader ikke nøglerne og certifikaterne at blive ændret, hvilket yderligere komplicerer forhold.SEC Consult sagde, at det snart vil frigive alle identificerede certifikater og private nøgler. I mellemtiden kan du gå til virksomhedens websted og læse rapporten og finde ud af, om din lille virksomhed bruger et produkt fra listen over virksomheder.
https foto via shutterstock
1
