衆所周知,原機主在将智能手機或筆記本電腦轉售或送給别人之前,應該清除掉裏面的數據。畢竟,設備中有太多有價值的個人數據,應該由原機主控制。企業及其他機構需要采取同樣的做法,從 PC、服務器和網絡設備中删除掉信息,以免落入壞人之手。不過,在下周于舊金山召開的 RSA 安全大會上,來自安全公司 ESET 的研究人員将展示調查結果,表明他們買來用于測試的二手企業路由器中有一半以上完全沒有被原機主擦除掉數據。這些設備含有關于它們所屬機構的大量網絡信息、憑據和機密數據。
研究人員購買了 18 隻不同型号的二手路由器,這些路由器來自三大主流廠商:思科、飛塔和瞻博網絡。其中 9 隻處于與原機主丢棄時一樣的狀态,完全可以訪問,隻有 5 隻采取了适當的數據擦除操作。2 隻經過加密,1 隻已壞掉,還有 1 隻是另一個設備的鏡像副本。
所有 9 隻未受保護的設備都含有相應組織的 VPN 的憑據、另一項安全網絡通信服務的憑據或經過哈希處理的根管理員密碼。所有這些設備都含有足夠多的身份識别數據,可以确定路由器的原機主或運營者是誰。
9 隻未受保護的設備中有 8 隻含有路由器到路由器的身份驗證密鑰以及有關路由器如何連接到原機主使用的特定應用程序的信息。4 隻設備洩露了連接到其他組織網絡的憑據,比如受信任的合作夥伴、合作者或其他第三方。其中 3 隻含有關于組織如何作爲第三方連接到原機主的網絡的信息。還有 2 隻直接含有客戶數據。
領導這個研究項目的 ESET 安全研究員 Cameron Camp 說:" 核心路由器觸及組織中的一切,因此我了解相應組織的所有應用程序和特征,這使得冒充這家組織變得非常容易。在一個案例中,這一家大型組織擁有關于一家非常知名的會計師事務所的特權信息,并與他們有直接合作關系。對我來說,這正是情況開始變得真正可怕的地方,因爲我們是研究人員,我們是來幫忙的,但其餘那些路由器的安全狀況又如何呢?"
重大危險在于,這些設備上的大量信息對于網絡犯罪分子、甚至政府撐腰的黑客來說都頗具價值。公司應用程序登錄信息、網絡憑據和加密密鑰在暗網市場和犯罪論壇上都能賣出高價。攻擊者還可以出售有關個人的信息,用于身份盜竊及其他詐騙活動 。
關于公司網絡如何運作和組織數字架構的詳細信息也極具價值,無論不法分子在進行偵察以發起勒索軟件攻擊還是策劃間諜活動。比如說,路由器可能會顯示某家特定組織在運行含有可利用漏洞的過時版本的應用程序或操作系統,這實際上爲黑客謀劃可能的攻擊策略提供了一份路線圖。研究人員甚至在一些路由器上發現了有關原機主辦公室的物理建築安全的詳細信息。
由于二手設備打折出售,網絡犯罪分子可能掏錢購買二手設備,尋覓其中的信息和網絡訪問權限,然後自己使用或轉售這些信息。ESET 的研究人員表示,他們讨論過是否要公布研究結果,因爲他們不想給網絡犯罪分子新的點子,但最後得出的結論是,讓公衆加強對該問題的認識更爲緊迫。
對全球二手市場上流通的數百萬隻企業網絡設備而言,18 隻路由器隻是極小的樣本,但其他研究人員表示,他們在研究工作中也一再發現同樣的問題。
物聯網安全公司 Red Balloon Security 的工程經理 Wyatt Ford 說:" 我們在 eBay 及其他二手賣家網站上購買了各種嵌入式設備,我們看到許多二手設備并沒有用數字手段擦除掉其中的數據。這些設備可能含有大量信息,不法分子可以利用這些信息來鎖定目标,并實施攻擊。"
與 ESET 的調查結果一樣,Ford 表示,Red Balloon 的研究人員也找到了密碼、其他憑據以及個人身份信息,用戶名和配置文件等一些數據通常是明文格式,易于訪問。而密碼和配置文件本該常常受到保護,因爲它們作爲加密哈希加以存儲。但 Ford 指出,即使經過哈希處理的數據仍面臨潛在風險。
他說:" 我們已經獲取了在設備上找到的密碼哈希,并在離線環境破解了它們,你會驚訝地發現許多人仍然用寵物的名稱設置密碼。即使是源代碼、提交曆史記錄、網絡配置、路由規則等看似無害的信息,它們也可用于了解有關組織、人員及網絡拓撲的更多信息。"
ESET 研究人員指出,組織可能認爲自己通過與外部設備管理公司、電子垃圾處理公司或者甚至聲稱可以擦除大批量企業設備以便轉售的設備淨化服務簽訂合同,因此盡到了責任。但在實踐占,這些第三方可能并沒有說到做到。Camp 也特别指出,更多組織可能利用主流路由器已經提供的加密及其他安全功能,以減小未被擦除内容的設備最終散落在全球各個角落所帶來的影響。
Camp 及其同事試圖聯系他們購買的二手路由器的原機主,警告他們的設備現在已經在外面洩露數據。一些人對此表示感謝,但另一些人似乎無視警告,或者沒有提供研究人員可以報告安全結果的機制。
Camp 說:" 我們利用已有的可靠渠道通知了一些公司,但後來我們發現更多的公司更難聯系上,情況比較糟糕。"
