Digital teknologi har åpnet en verden av løsninger for små bedrifter ved å levere økt effektivitet over hele linjen. Men det har også introdusert trusler som de aldri tidligere hadde vært utsatt for.
En studie nylig utgitt av SEC Consult, en internasjonal leverandør av applikasjonssikkerhetstjenester og informasjonssikkerhetskonsulent, har avslørt minst en slik ny trussel. SEC Consult rapporterte nylig at en praksis med å dele de samme HTTPS server-sertifikatene og Secure Shell Host (SSH) -tastene har satt en rekke små bedrifter i fare. Dette er etter at mange ble fortalt å skifte fra HTTP til HTTPS ville gi bedre sikkerhet for sine nettsteder.
$config[code] not foundEn kort beskrivelse av
Hyper Text Transfer Protocol Secure (HTTPS) krypterer og dekrypterer brukersideforespørsler for å beskytte mot avlytting og man-i-midten-angrep. Fordi kommunikasjon sendt over vanlige HTTP-tilkoblinger er i «ren tekst», kan de leses av hackere mens meldingene reiser mellom nettleseren din og nettsiden. Med HTTPS er kommunikasjonen kryptert og hackeren kan ikke bryte inn i forbindelsen.
Det er slik det skal fungere, men hvis HTTPS-sertifikatet og SSH-nøklene deles ved å bruke de samme om og om igjen, kan noen til slutt finne ut det og lese kommunikasjonen.
SEC Consult analyserte fastvareprogrammet til mer enn 4000 innebygde enheter fra 70 leverandører ved å se på kryptografiske nøkler, inkludert rutere, modemer, IP-kameraer, VoIP-telefoner, nettverkslagringsenheter, Internett-gateways og mer. Det var offentlige og private nøkler samt sertifikater i fastvarebildene.
Selskapet eksponerte mer enn 580 unike private nøkler fra enhetene som ble utpekt. Forskerne korrelerte deretter nøklene fra skanninger som var offentlig tilgjengelige på Internett, noe som førte til at de oppdaget 150 sertifikater for 3,2 millioner HTTPS-verter. Det betyr at ni prosent av alle HTTPS-vertene på nettet. Forskerne oppdaget ytterligere 80 SSH-vertsnøkler, eller mer enn seks prosent av alle sikre skalverter på nettet med totalt 0,9 millioner verter.
Det kommer ut til minst 230 nøkler som aktivt brukes av mer enn 4 millioner enheter. Med så mange enheter, bør det ikke komme som en overraskelse Noen av de ledende maskinvareproduksjonene i verden påvirkes av denne feilen.
Noen av selskapene som ble identifisert, var Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital og mange andre, sier rapporten.
Siden dette er på maskinvaresiden av produktene, må leverandørene implementere reparasjonene. Ifølge Forbes har seks leverandører - Cisco, ZTE, ZyXEL, Technicolor, TrendNet og Unify - bekreftet at fikser kommer. Men dette gir svært få alternativer for små bedrifter som bruker de berørte enhetene. Alt de kan gjøre er å vente på et lapp fra firmaet som laget produktet.
Noen enheter tillater ikke at nøklene og sertifikatene endres, noe som ytterligere kompliserer saker.SEC Consult sa at den vil frigjøre alle identifiserte sertifikater og private nøkler innen kort tid. I mellomtiden kan du gå til selskapets nettsted og lese rapporten og finne ut om din småbedrift bruker et produkt fra listen over selskaper.
https-bilde via shutterstock
1
