Perute bekas sering kali dilengkapi dengan rahasia perusahaan – Ars Technica

Anda tahu Anda seharusnya Bersihkan ponsel cerdas Anda Atau laptop Anda sebelum Anda menjualnya kembali atau memberikannya kepada sepupu Anda. Lagi pula, ada banyak data pribadi berharga yang perlu Anda kendalikan. Perusahaan dan organisasi lain perlu mengikuti pendekatan yang sama, menghapus informasi mereka dari komputer, server, dan peralatan jaringan agar tidak jatuh ke tangan yang salah. Namun, pada Konferensi Keamanan RSA di San Francisco minggu depan, peneliti dari perusahaan keamanan ESET akan melakukannya Hasil saat ini Dia menjelaskan bahwa lebih dari separuh router perusahaan bekas yang mereka beli untuk pengujian dibiarkan utuh sepenuhnya oleh pemilik sebelumnya. Perangkat tersebut diisi dengan informasi jaringan, kredensial, dan data rahasia tentang organisasi tempat mereka berada.

Para peneliti membeli 18 router bekas dalam berbagai model dari tiga vendor besar: Cisco, Fortinet, dan Juniper Networks. Dari jumlah tersebut, hanya sembilan yang ditinggalkan oleh pemiliknya dan dapat diakses sepenuhnya, sementara hanya lima yang terhapus dengan benar. Dua dienkripsi, satu mati, dan yang lainnya adalah salinan persis dari mesin lain.

Kesembilan perangkat yang tidak dilindungi berisi kredensial untuk VPN organisasi, kredensial untuk layanan koneksi jaringan aman lainnya, atau kata sandi administrator root hash. Semua berisi metadata yang cukup untuk mengidentifikasi pemilik atau operator router sebelumnya.

Delapan dari sembilan perangkat yang tidak terlindungi menyertakan kunci otentikasi router-ke-router dan informasi tentang bagaimana router berkomunikasi dengan aplikasi tertentu yang digunakan oleh pemilik sebelumnya. Empat perangkat membuka kredensial untuk terhubung ke jaringan organisasi lain—seperti mitra tepercaya, kolaborator, atau pihak ketiga lainnya. Tiga di antaranya berisi informasi tentang bagaimana entitas pihak ketiga terhubung ke jaringan pemilik sebelumnya. Dan dua langsung berisi data pelanggan.

“Router utama menyentuh semua yang ada di perusahaan, jadi saya tahu segalanya tentang aplikasi dan karakter perusahaan — sangat mudah untuk menyamar sebagai perusahaan,” kata Cameron Camp, peneliti keamanan di ESET yang memimpin proyek tersebut. “Dalam satu kasus, kelompok besar ini memiliki informasi istimewa tentang kantor akuntan yang sangat besar dan hubungan peer-to-peer langsung dengannya. Dan di situlah bagi saya, itu mulai menjadi sangat menakutkan, karena kami adalah peneliti, kami di sini untuk membantu, tetapi di mana router lainnya?”

Risiko besarnya adalah kekayaan informasi di perangkat akan berharga bagi penjahat dunia maya dan bahkan peretas yang didukung negara. Login aplikasi perusahaan, kredensial jaringan, dan kunci enkripsi sangat dihargai di pasar web gelap dan forum forensik. Penyerang juga dapat menjual informasi tentang individu untuk digunakan dalam pencurian identitas dan penipuan lainnya.

Detail tentang cara kerja jaringan perusahaan dan struktur digital organisasi juga sangat berharga, baik Anda sedang mengintai serangan ransomware atau merencanakan kampanye spionase. Misalnya, router mungkin mendeteksi bahwa organisasi tertentu menjalankan versi usang dari aplikasi atau sistem operasi yang mengandung kerentanan yang dapat dieksploitasi, yang pada dasarnya memberi peretas peta jalan menuju strategi serangan potensial. Para peneliti bahkan menemukan detail pada beberapa router tentang keamanan bangunan fisik kantor pemilik sebelumnya.

Karena peralatan bekas didiskon, penjahat dunia maya cenderung berinvestasi dalam membeli perangkat keras bekas untuk menambang informasi dan mengakses jaringan dan kemudian menggunakan informasi itu sendiri atau menjualnya kembali. Peneliti ESET mengatakan mereka telah memperdebatkan apakah akan merilis temuan mereka, karena mereka tidak ingin memberikan ide baru kepada penjahat dunia maya, tetapi menyimpulkan bahwa meningkatkan kesadaran tentang masalah ini lebih mendesak.

“Salah satu ketakutan terbesar saya adalah jika seseorang jahat TIDAK Dengan melakukan itu, itu hampir seperti malapraktik peretasan, karena itu akan mudah dan jelas,” kata Camp.

Delapan belas router adalah sampel kecil dari jutaan perangkat jaringan perusahaan yang tersebar di seluruh dunia di pasar penjualan kembali, tetapi peneliti lain mengatakan bahwa mereka juga telah melihat masalah yang sama berulang kali dalam pekerjaan mereka.

kata White Ford, direktur teknik di Red Balloon Security, sebuah perusahaan keamanan Internet of Things. “Perangkat ini dapat berisi sejumlah besar informasi yang dapat digunakan oleh pelaku jahat untuk menargetkan dan melakukan serangan.”

Seperti dalam temuan ESET, Ford mengatakan para peneliti Red Balloon menemukan kata sandi, kredensial lain, dan informasi identitas pribadi. Beberapa data seperti nama pengguna dan file konfigurasi biasanya berupa teks biasa dan mudah diakses, sedangkan kata sandi dan file konfigurasi seringkali dilindungi karena disimpan sebagai campuran Hash kriptografi. Tetapi Ford menunjukkan bahwa bahkan data yang terfragmentasi masih berisiko.

“Kami menghapus hash kata sandi yang ditemukan di perangkat dan memisahkannya secara offline — Anda akan terkejut betapa banyak orang yang masih mendasarkan kata sandi mereka pada kucing mereka,” katanya. “Dan bahkan hal-hal yang tampaknya tidak berbahaya seperti kode sumber, riwayat komit, konfigurasi jaringan, aturan perutean, dll. – dapat digunakan untuk mempelajari lebih lanjut tentang organisasi, karyawannya, dan topologi jaringannya.”

Peneliti ESET menunjukkan bahwa organisasi mungkin percaya bahwa mereka bertanggung jawab dengan mengontrak perangkat ke perusahaan pihak ketiga. Perusahaan pembuangan limbah elektronik, atau bahkan layanan sterilisasi perangkat yang mengklaim dapat memindai sejumlah besar perangkat perusahaan untuk dijual kembali. Namun dalam praktiknya, pihak ketiga ini mungkin tidak melakukan apa yang diklaimnya. Camp juga mencatat bahwa lebih banyak organisasi dapat memanfaatkan enkripsi dan fitur keamanan lain yang sudah disediakan oleh router utama untuk mengurangi dampak jika perangkat yang tidak dihapus berakhir di dunia.

Camp dan rekan-rekannya mencoba menghubungi pemilik lama dari router bekas yang telah mereka beli untuk memperingatkan mereka bahwa perangkat mereka sekarang di luar sana memuntahkan data mereka. Beberapa berterima kasih atas informasi tersebut, tetapi yang lain tampaknya mengabaikan peringatan tersebut atau tidak memberikan mekanisme yang dapat digunakan peneliti untuk melaporkan temuan keamanan.

“Kami menggunakan saluran tepercaya yang kami miliki dengan beberapa perusahaan, tetapi kemudian menemukan bahwa banyak perusahaan lain yang lebih sulit dihubungi,” kata Camp. “sangat menakutkan.”

Cerita ini awalnya muncul wired.com.