O nouă provocare de securitate: cum routerele scoase din uz pot dezvălui secrete corporative


Atunci când scot din uz echipamentul hardware-ul vechi, multe companii uită să șteargă datele conținute de acesta.

Înlocuirea unui router învechit dintr-un rack de echipamente și introducerea altuia nou și mai performant este probabil un eveniment cotidian în multe medii de afaceri. Cu toate acestea, soarta routerului eliminat ar trebui să fie la fel de importantă, dacă nu chiar mai importantă, precum instalarea fără probleme a noului kit. Din nefericire, în multe cazuri, se pare că nu se întâmplă așa.

Atunci când echipa de cercetare ESET a achiziționat câteva routere folosite pentru a configura un mediu de testare, membrii echipei au fost șocați când au constatat că, în multe cazuri, configurațiile utilizate anterior nu fuseseră șterse. Dimpotrivă, datele conținute în dispozitive puteau fi folosite pentru a identifica proprietarii anteriori, împreună cu detaliile configurațiilor de rețea ale acestora.

Acest lucru a determinat echipa de cercetare ESET să efectueze un test mai amplu, achiziționând mai multe dispozitive folosite și adoptând o metodologie simplă pentru a verifica dacă mai existau date pe aceste dispozitive. Au fost achiziționate în total 18 routere, dintre care unul s-a dovedit a fi nefuncțional iar două erau conectate prin modul Mirror, astfel încât au fost considerate ca fiind o singură unitate. După aceste ajustări, au fost descoperite detalii de configurare și date în peste 56% dintre acestea. 

În mâinile persoanelor greșite, datele obținute de pe dispozitive - inclusiv datele clienților, cheile de autentificare de la routerele din rețea, listele de aplicații și multe altele - sunt suficiente pentru a lansa un atac cibernetic. Un actor rău intenționat ar fi putut obține accesul inițial necesar pentru a începe să verifice unde se află activele digitale ale companiei și care dintre informații ar putea fi valoroase. 

Este binecunoscută schimbarea din ultimii ani a metodelor utilizate de hackeri pentru a lansa atacuri cibernetice asupra companiilor, aceștia urmărind scopuri financiare. Trecerea la un stil de atac de tip amenințare persistentă mai avansat a determinat infractorii cibernetici să își îndrepte atenția către rețele, unde pot să stabilească un punct de intrare și un punct de sprijin. Apoi, aceștia investesc timp și resurse pentru a extrage date, pentru a explora metode de eludare a măsurilor de securitate și, în cele din urmă, pentru a compromite o companie prin atacuri de tip ransomware sau alte tipuri de atacuri cibernetice.

Incursiunea neautorizată inițială în rețeaua unei companii este valoroasă pentru atacatori: prețul mediu actual pentru datele de acces în rețelele corporative, conform cercetării efectuate de KELA Cybercrime Prevention, este de aproximativ 2.800 de dolari. Acest lucru înseamnă că un router second-hand achiziționat pentru doar câteva sute de dolari, și care, fără prea mult efort, oferă acces la rețea, ar putea furniza unui infractor cibernetic un randament semnificativ al investiției. Asta presupunând că aceștia nu fac decât să sustragă datele de acces și să le vândă apoi pe o piață dark web, în loc să lanseze ei înșiși un atac cibernetic.

Un element îngrijorător al acestei cercetări a fost lipsa de implicare din partea companiilor atunci când s-a tras un semnal de alarmă cu privire la problema legată de accesul neautorizat la datele lor. Unele au fost receptive, câteva au confirmat că dispozitivele fuseseră transmise companiilor colaboratoare pentru distrugere sau ștergere securizată - un proces care, în mod clar, nu a avut loc - iar altele au ignorat pur și simplu încercările repetate de contact.

Lecțiile care ar trebui desprinse din această cercetare sunt că orice dispozitiv care părăsește compania dvs. trebuie să fie curățat, datele conținute șterse, iar întreg procesul trebuie să fie certificat și auditat în mod regulat. Astfel vă asigurați că datele prețioase ale companiei dvs. nu pot fi accesate de către persoanele neautorizate care achiziționează hardware la mâna a doua.

Detaliile generale, cu excepția numelor companiilor și a datelor care le-ar putea identifica, au fost ilustrate în raportul cu cercetările. Acesta cuprinde, de asemenea, câteva îndrumări cu privire la procesul care ar trebui urmat, inclusiv referințe la publicația specială NIST 800.88r1, Guidelines for Media Sanitization. Vă recomandăm să citiți instrucțiunile și să folosiți constatările drept un imbold pentru a verifica procesul pus în funcțiune din propria companie și pentru a vă asigura că nu sunt divulgate în mod neintenționat.

De asemenea, puteți să ascultați o dezbatere pe tema acestui subiect, în care se analizează ce s-a întâmplat cu routerul nefuncțional sau cum poate fi folosit un echipament similar dacă este găsit într-o zonă de război, în cadrul celui mai recent podcast ESET Research, în care Cameron Camp discută despre experimentele sale cu Aryeh Goretsky, cercetător ESET. 

Cameron Camp May 4, 2023

Lasa un comentariu