信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)，作者/布加迪。

眾所周知，原機(jī)主在將智能手機(jī)或筆記本電腦轉(zhuǎn)售或送給別人之前，應(yīng)該清除掉里面的數(shù)據(jù)。畢竟，設(shè)備中有太多有價(jià)值的個(gè)人數(shù)據(jù)，應(yīng)該由原機(jī)主控制。企業(yè)及其他機(jī)構(gòu)需要采取同樣的做法，從PC、服務(wù)器和網(wǎng)絡(luò)設(shè)備中刪除掉信息，以免落入壞人之手。不過，在下周于舊金山召開的RSA安全大會上，來自安全公司ESET的研究人員將展示調(diào)查結(jié)果，表明他們買來用于測試的二手企業(yè)路由器中有一半以上完全沒有被原機(jī)主擦除掉數(shù)據(jù)。這些設(shè)備含有關(guān)于它們所屬機(jī)構(gòu)的大量網(wǎng)絡(luò)信息、憑據(jù)和機(jī)密數(shù)據(jù)。

研究人員購買了18只不同型號的二手路由器，這些路由器來自三大主流廠商：思科、飛塔和瞻博網(wǎng)絡(luò)。其中9只處于與原機(jī)主丟棄時(shí)一樣的狀態(tài)，完全可以訪問，只有5只采取了適當(dāng)?shù)臄?shù)據(jù)擦除操作。2只經(jīng)過加密，1只已壞掉，還有1只是另一個(gè)設(shè)備的鏡像副本。

所有9只未受保護(hù)的設(shè)備都含有相應(yīng)組織的VPN的憑據(jù)、另一項(xiàng)安全網(wǎng)絡(luò)通信服務(wù)的憑據(jù)或經(jīng)過哈希處理的根管理員密碼。所有這些設(shè)備都含有足夠多的身份識別數(shù)據(jù)，可以確定路由器的原機(jī)主或運(yùn)營者是誰。

9只未受保護(hù)的設(shè)備中有8只含有路由器到路由器的身份驗(yàn)證密鑰以及有關(guān)路由器如何連接到原機(jī)主使用的特定應(yīng)用程序的信息。4只設(shè)備泄露了連接到其他組織網(wǎng)絡(luò)的憑據(jù)，比如受信任的合作伙伴、合作者或其他第三方。其中3只含有關(guān)于組織如何作為第三方連接到原機(jī)主的網(wǎng)絡(luò)的信息。還有2只直接含有客戶數(shù)據(jù)。

領(lǐng)導(dǎo)這個(gè)研究項(xiàng)目的ESET安全研究員Cameron Camp說：“核心路由器觸及組織中的一切，因此我了解相應(yīng)組織的所有應(yīng)用程序和特征，這使得冒充這家組織變得非常容易。在一個(gè)案例中，這一家大型組織擁有關(guān)于一家非常知名的會計(jì)師事務(wù)所的特權(quán)信息，并與他們有直接合作關(guān)系。對我來說，這正是情況開始變得真正可怕的地方，因?yàn)槲覀兪茄芯咳藛T，我們是來幫忙的，但其余那些路由器的安全狀況又如何呢？”

重大危險(xiǎn)在于，這些設(shè)備上的大量信息對于網(wǎng)絡(luò)犯罪分子、甚至政府撐腰的黑客來說都頗具價(jià)值。公司應(yīng)用程序登錄信息、網(wǎng)絡(luò)憑據(jù)和加密密鑰在暗網(wǎng)市場和犯罪論壇上都能賣出高價(jià)。攻擊者還可以出售有關(guān)個(gè)人的信息，用于身份盜竊及其他詐騙活動(dòng) 。

關(guān)于公司網(wǎng)絡(luò)如何運(yùn)作和組織數(shù)字架構(gòu)的詳細(xì)信息也極具價(jià)值，無論不法分子在進(jìn)行偵察以發(fā)起勒索軟件攻擊還是策劃間諜活動(dòng)。比如說，路由器可能會顯示某家特定組織在運(yùn)行含有可利用漏洞的過時(shí)版本的應(yīng)用程序或操作系統(tǒng)，這實(shí)際上為黑客謀劃可能的攻擊策略提供了一份路線圖。研究人員甚至在一些路由器上發(fā)現(xiàn)了有關(guān)原機(jī)主辦公室的物理建筑安全的詳細(xì)信息。

由于二手設(shè)備打折出售，網(wǎng)絡(luò)犯罪分子可能掏錢購買二手設(shè)備，尋覓其中的信息和網(wǎng)絡(luò)訪問權(quán)限，然后自己使用或轉(zhuǎn)售這些信息。ESET 的研究人員表示，他們討論過是否要公布研究結(jié)果，因?yàn)樗麄儾幌虢o網(wǎng)絡(luò)犯罪分子新的點(diǎn)子，但最后得出的結(jié)論是，讓公眾加強(qiáng)對該問題的認(rèn)識更為緊迫。

對全球二手市場上流通的數(shù)百萬只企業(yè)網(wǎng)絡(luò)設(shè)備而言，18只路由器只是極小的樣本，但其他研究人員表示，他們在研究工作中也一再發(fā)現(xiàn)同樣的問題。

物聯(lián)網(wǎng)安全公司Red Balloon Security的工程經(jīng)理Wyatt Ford說：“我們在eBay及其他二手賣家網(wǎng)站上購買了各種嵌入式設(shè)備，我們看到許多二手設(shè)備并沒有用數(shù)字手段擦除掉其中的數(shù)據(jù)。這些設(shè)備可能含有大量信息，不法分子可以利用這些信息來鎖定目標(biāo)，并實(shí)施攻擊。”

與ESET的調(diào)查結(jié)果一樣，F(xiàn)ord表示，Red Balloon的研究人員也找到了密碼、其他憑據(jù)以及個(gè)人身份信息，用戶名和配置文件等一些數(shù)據(jù)通常是明文格式，易于訪問。而密碼和配置文件本該常常受到保護(hù)，因?yàn)樗鼈冏鳛榧用芄＜右源鎯?。但Ford指出，即使經(jīng)過哈希處理的數(shù)據(jù)仍面臨潛在風(fēng)險(xiǎn)。

他說：“我們已經(jīng)獲取了在設(shè)備上找到的密碼哈希，并在離線環(huán)境破解了它們，你會驚訝地發(fā)現(xiàn)許多人仍然用寵物的名稱設(shè)置密碼。即使是源代碼、提交歷史記錄、網(wǎng)絡(luò)配置、路由規(guī)則等看似無害的信息，它們也可用于了解有關(guān)組織、人員及網(wǎng)絡(luò)拓?fù)涞母嘈畔ⅰ?rdquo;

ESET研究人員指出，組織可能認(rèn)為自己通過與外部設(shè)備管理公司、電子垃圾處理公司或者甚至聲稱可以擦除大批量企業(yè)設(shè)備以便轉(zhuǎn)售的設(shè)備凈化服務(wù)簽訂合同，因此盡到了責(zé)任。但在實(shí)踐占，這些第三方可能并沒有說到做到。Camp也特別指出，更多組織可能利用主流路由器已經(jīng)提供的加密及其他安全功能，以減小未被擦除內(nèi)容的設(shè)備最終散落在全球各個(gè)角落所帶來的影響。

Camp及其同事試圖聯(lián)系他們購買的二手路由器的原機(jī)主，警告他們的設(shè)備現(xiàn)在已經(jīng)在外面泄露數(shù)據(jù)。一些人對此表示感謝，但另一些人似乎無視警告，或者沒有提供研究人員可以報(bào)告安全結(jié)果的機(jī)制。

Camp說：“我們利用已有的可靠渠道通知了一些公司，但后來我們發(fā)現(xiàn)更多的公司更難聯(lián)系上，情況比較糟糕。”

本文翻譯自：https://arstechnica.com/information-technology/2023/04/used-routers-often-come-loaded-with-corporate-secrets/