Η ESET, εταιρεία που δραστηριοποιείται στην ψηφιακή ασφάλεια, παρουσίασε νέα έρευνα σχετικά με εταιρικές συσκευές δικτύων που αποσύρθηκαν και στη συνέχεια πουλήθηκαν σε δευτερογενή αγορά. Η ESET εξέτασε τα δεδομένα διαμόρφωσης από 16 διαφορετικούς εταιρικούς routers και διαπίστωσε ότι πάνω από το 56% - εννέα routers - περιείχαν ακόμα ευαίσθητα εταιρικά δεδομένα. Σε λάθος χέρια, αυτά τα δεδομένα είναι αρκετά για να πυροδοτήσουν μια κυβερνοεπίθεση που θα οδηγούσε σε παραβίαση δεδομένων, βάζοντας σε κίνδυνο την εταιρεία, τους συνεργάτες και τους πελάτες της.
Από τις εννέα συσκευές:
- Το 22% περιείχαν δεδομένα πελατών
- Το 33% περιείχαν δεδομένα που επέτρεπαν συνδέσεις τρίτων στο δίκτυο.
- Το 44% είχε διαπιστευτήρια για σύνδεση σε άλλα δίκτυα ως έμπιστο μέρος.
- Το 89% περιείχε αναλυτικά στοιχεία σύνδεσης για συγκεκριμένες εφαρμογές
- Το 89% περιείχε κλειδιά αυθεντικοποίησης router-to-router
- Το 100% περιείχε ένα ή περισσότερα από τα διαπιστευτήρια IPsec ή VPN ή κωδικούς root.
- Το 100% είχε επαρκή δεδομένα για την αξιόπιστη ταυτοποίηση του πρώην ιδιοκτήτη/διαχειριστή
"Τα ευρήματα μας είναι εξαιρετικά ανησυχητικά και θα πρέπει να μας αφυπνίσουν", δήλωσε ο Cameron Camp, ερευνητής ασφαλείας της ESET που ηγήθηκε της έρευνας. "Θα περιμέναμε ότι οι μεσαίου και μεγάλου μεγέθους εταιρείες θα είχαν ένα αυστηρό σύνολο πρωτοβουλιών ασφαλείας για την απόσυρση συσκευών, αλλά διαπιστώσαμε το αντίθετο. Οι οργανισμοί πρέπει να είναι πολύ προσεκτικοί σχετικά με το τι παραμένει στις συσκευές που βγάζουν προς πώληση, καθώς η πλειονότητα των συσκευών που πήραμε από τη δευτερογενή αγορά περιείχε ένα ψηφιακό πλάνο της εμπλεκόμενης εταιρείας, συμπεριλαμβανομένων, μεταξύ άλλων, βασικών πληροφοριών δικτύου, δεδομένων εφαρμογών, εταιρικών διαπιστευτηρίων και πληροφοριών σχετικά με συνεργάτες, προμηθευτές και πελάτες".
Όπως αναφέρεται σε σχετική ανακοίνωση, οι οργανισμοί συχνά ανακυκλώνουν τις παλαιές συσκευές μέσω τρίτων εταιρειών που είναι επιφορτισμένες με την επαλήθευση της ασφαλούς καταστροφής ή ανακύκλωσης του ψηφιακού εξοπλισμού και της διάθεσης των δεδομένων που περιέχονται σε αυτόν.
Είτε λόγω σφάλματος της εταιρείας ανακύκλωσης είτε λόγω των διαδικασιών απόρριψης της εταιρείας, στους εταιρικούς routers βρέθηκε μια σειρά από δεδομένα, μεταξύ των οποίων:
- Δεδομένα τρίτων: Όπως έχουμε δει σε κυβερνοεπιθέσεις, η παραβίαση του δικτύου μιας εταιρείας μπορεί να εξαπλωθεί στους πελάτες, τους συνεργάτες και άλλες επιχειρήσεις με τις οποίες μπορεί να συνδέονται.
- Αξιόπιστα μέρη: Τα έμπιστα μέρη (τα οποία θα μπορούσαν χρησιμοποιηθούν ως δευτερεύων φορέας επίθεσης) θα αποδέχονταν πιστοποιητικά και κρυπτογραφικά tokens που βρίσκονται σε αυτές τις συσκευές, επιτρέποντας μια πολύ πειστική επίθεση adversary in the middle (AitM) με έμπιστα διαπιστευτήρια, ικανή να αποσπάσει εταιρικά μυστικά, με τα θύματα να μην το γνωρίζουν για μεγάλα χρονικά διαστήματα.
- Δεδομένα πελατών: Αυτό μπορεί να προκαλέσει πιθανά προβλήματα ασφάλειας στους πελάτες, εάν ένας αντίπαλος είναι σε θέση να αποκτήσει συγκεκριμένες πληροφορίες σχετικά με αυτούς.
- Ειδικές εφαρμογές: Οι συσκευές αυτές περιείχαν πληροφορίες των σημαντικότερων εφαρμογών που χρησιμοποιούνται από συγκεκριμένους οργανισμούς, τόσο σε τοπικό επίπεδο όσο και στο νέφος. Οι εφαρμογές αυτές κυμαίνονται από το εταιρικό ηλεκτρονικό ταχυδρομείο έως ασφαλείς συνδέσεις πελατών, πληροφορίες για τη φυσική ασφάλεια κτιρίων, όπως προμηθευτές και τοπολογίες για κάρτες πρόσβασης και δίκτυα με κάμερες παρακολούθησης, καθώς και προμηθευτές και πλατφόρμες πωλήσεων και πελατών. Επιπλέον, οι ερευνητές της ESET μπόρεσαν να προσδιορίσουν σε ποιες θύρες και από ποιους κεντρικούς υπολογιστές επικοινωνούν αυτές οι εφαρμογές. Λόγω της λεπτομέρειας των εφαρμογών και των συγκεκριμένων εκδόσεων που χρησιμοποιήθηκαν σε ορισμένες περιπτώσεις, θα μπορούσαν να αξιοποιηθούν γνωστές ευπάθειες σε όλη την τοπολογία του δικτύου που ένας εισβολέας θα είχε ήδη χαρτογραφήσει.
- Εκτεταμένες πληροφορίες δρομολόγησης: Η ESET βρήκε πλήρεις διατάξεις των εσωτερικών λειτουργιών διαφόρων οργανισμών, οι οποίες θα παρείχαν εκτεταμένες πληροφορίες τοπολογίας δικτύου για εκμετάλλευση, εάν οι συσκευές έπεφταν στα χέρια ενός αντιπάλου. Οι διαμορφώσεις που ανακτήθηκαν περιείχαν επίσης τοπικές και διεθνείς τοποθεσίες απομακρυσμένων γραφείων και χειριστών, συμπεριλαμβανομένης της σχέσης τους με τα κεντρικά γραφεία - περισσότερα δεδομένα που θα ήταν εξαιρετικά πολύτιμα για πιθανούς αντιπάλους. Η σήραγγα IPsec μπορεί να χρησιμοποιηθεί για τη σύνδεση αξιόπιστων δρομολογητών μεταξύ τους, η οποία μπορεί να αποτελεί συστατικό στοιχείο ρυθμίσεων ομότιμων WAN router.
- Έμπιστοι χειριστές: Οι συσκευές ήταν γεμάτες με δυνητικά ανακτήσιμα ή άμεσα επαναχρησιμοποιήσιμα εταιρικά διαπιστευτήρια - συμπεριλαμβανομένων των συνδέσεων διαχειριστή, των στοιχείων VPN και των κρυπτογραφικών κλειδιών - που θα επέτρεπαν στους κακόβουλους φορείς να αποκτήσουν πρόσβαση σε όλο το δίκτυο.
"Υπάρχουν καλά δομημένες διαδικασίες για τη σωστή απόσυρση του υλικού και η έρευνα αυτή δείχνει ότι πολλές εταιρείες δεν τις ακολουθούν αυστηρά όταν προετοιμάζουν συσκευές για τη δευτερογενή αγορά υλικού", δήλωσε ο Tony Anscombe, Chief Security Evangelist της ESET. "Η εκμετάλλευση μιας ευπάθειας ή το spearphishing για διαπιστευτήρια είναι δυνητικά σκληρή δουλειά. Όμως η έρευνά μας δείχνει ότι υπάρχει ένας πολύ πιο εύκολος τρόπος για να αποκτήσει κανείς αυτά τα δεδομένα, και όχι μόνο. Προτρέπουμε τους οργανισμούς που ασχολούνται με την απόρριψη συσκευών, την καταστροφή δεδομένων και τη μεταπώληση συσκευών να εξετάσουν προσεκτικά τις διαδικασίες τους και να διασφαλίσουν ότι συμμορφώνονται με τα τελευταία πρότυπα NIST για την απόσυρση των μέσων".
Οι routers της έρευνας προέρχονταν από μεσαίες επιχειρήσεις έως μεγάλες πολυεθνικές που δραστηριοποιούνται σε διάφορους κλάδους (κέντρα δεδομένων, δικηγορικά γραφεία, πάροχοι τεχνολογίας, κατασκευαστικές εταιρίες, εταιρείες τεχνολογίας, δημιουργικά γραφεία και εταιρείες ανάπτυξης λογισμικού).
Στο πλαίσιο της διαδικασίας, η ESET, όπου ήταν δυνατόν, γνωστοποίησε τα ευρήματα σε κάθε οργανισμό - αρκετοί από αυτούς ήταν γνωστές εταιρείες - για να διασφαλίσει ότι είχαν επίγνωση των λεπτομερειών που ενδεχομένως διακυβεύονταν από άλλους στην αλυσίδα φύλαξης των συσκευών.
Ορισμένοι από τους οργανισμούς ήταν εξαιρετικά απρόθυμοι στις επανειλημμένες προσπάθειες της ESET να επικοινωνήσει μαζί τους, ενώ άλλοι έδειξαν την απαιτούμενη προσοχή αντιμετωπίζοντας το συμβάν ως μια ολοκληρωμένη παραβίαση της ασφάλειας.
Υπενθυμίζεται ότι οι οργανισμοί πρέπει να χρησιμοποιούν ένα αξιόπιστο, αρμόδιο τρίτο μέρος για την απόρριψη των συσκευών ή να λαμβάνουν όλες τις απαραίτητες προφυλάξεις εάν χειρίζονται οι ίδιοι την απόσυρση. Αυτό θα πρέπει να επεκτείνεται πέρα από τους routers και τους σκληρούς δίσκους σε κάθε συσκευή που αποτελεί μέρος του δικτύου.
Πολλοί οργανισμοί που συμμετείχαν στην έρευνα αυτή πιθανόν να αισθάνθηκαν ότι είχαν συνάψει συμβόλαια με αξιόπιστους προμηθευτές, αλλά τα δεδομένα τους εξακολουθούσαν να διαρρέουν. Έχοντας αυτό κατά νου, συνιστάται στους οργανισμούς να ακολουθούν τις οδηγίες του κατασκευαστή για την αφαίρεση όλων των δεδομένων από μια συσκευή προτού αυτή εγκαταλείψει τις εγκαταστάσεις τους, ένα απλό βήμα το οποίο μπορούν να χειριστούν πολλά στελέχη του τμήματος πληροφορικής.
Υπενθυμίζεται ότι οι οργανισμοί πρέπει να αντιμετωπίζουν σοβαρά τις κοινοποιήσεις δημοσιοποίησης. Σε αντίθετη περίπτωση μπορεί να είναι ευάλωτοι σε μια δαπανηρή παραβίαση δεδομένων και σε σημαντική ζημία της φήμης τους.
Για να διαβάσετε τη λευκή βίβλο, η οποία περιλαμβάνει πληροφορίες σχετικά με την ασφαλή απόρριψη συσκευών, επισκεφθείτε τη νέα δημοσίευση "Discarded, not destroyed: Old routers reveal corporate secrets" στο WeLiveSecurity.