Digitální technologie otevřely svět řešení pro malé podniky tím, že dosáhly vyšší úrovně efektivity v celé oblasti. Zaváděla však i hrozby, které nikdy nebyly vystaveny.
Studie nedávno zveřejněné společností SEC Consult, mezinárodním poskytovatelem služeb pro bezpečnost aplikací a poradenství v oblasti informační bezpečnosti, odhalila alespoň jednu takovou novou hrozbu. Společnost SEC Consult nedávno oznámila, že praxe sdílení stejných certifikátů serveru HTTPS a klíčů SSH (Secure Shell Host) ohrožuje řadu malých podniků. To je po mnoha řečeno, že změna z HTTP na HTTPS by zajistila lepší zabezpečení svých webových stránek.
$config[code] not foundStručné vysvětlení
HyperText Transfer Protocol Secure (HTTPS) zašifruje a dešifruje požadavky na uživatelské stránky, aby chránily před odposloucháním a útoky typu man-in-the-middle. Vzhledem k tomu, že komunikace odesílaná přes běžné HTTP připojení jsou v "obyčejném textu", mohou být hackery čteny, zatímco zprávy se pohybují mezi vaším prohlížečem a webovou stránkou. S protokolem HTTPS je komunikace šifrována a hacker se nemůže připojit k připojení.
Tak to má fungovat, ale pokud jsou certifikáty HTTPS a SSH klíče sdíleny pomocí stejných, znovu a znovu, někdo by to mohl zjistit a přečíst si komunikaci.
Společnost SEC Consult analyzovala firmware více než 4 000 vestavěných zařízení od 70 dodavatelů tím, že se podívala na kryptografické klíče, které zahrnovaly směrovače, modemy, IP kamery, VoIP telefony, síťová paměťová zařízení, internetové brány a další. Ve firmwarových obrázcích byly k dispozici veřejné i soukromé klíče a certifikáty.
Společnost odhalila více než 580 unikátních soukromých klíčů ze zařízení, které byly vypsány. Vědci pak korelovali s klíči ze skenů, které byly veřejně dostupné na internetu, což vedlo k odhalení 150 certifikátů pro 3,2 milionu hostitelů HTTPS. To znamená 9 procent všech hostitelů HTTPS na webu. Výzkumníci dále objevili 80 hostitelských klíčů SSH nebo více než šest procent všech bezpečných hostitelů prostředí na webu v celkovém počtu 0,9 milionu hostitelů.
To přichází na nejméně 230 klíčů, které jsou aktivně používány více než 4 miliony zařízení. S tolika zařízeními by nemělo být překvapením, že některé z předních hardwarových výrobců na světě jsou touto závadou ovlivněny.
Některé z nich byly Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital a mnoho dalších.
Jelikož se jedná o hardwarovou stránku produktů, musí dodavatelé implementovat opravy. Podle společnosti Forbes potvrdila, že šest prodejců - Cisco, ZTE, ZyXEL, Technicolor, TrendNet a Unify - potvrzuje opravy. To však ponechává velmi málo možností pro malé podniky, které používají dotčená zařízení. Jediné, co mohou udělat, je čekat na opravu od firmy, která produkt vyrobila.
Některá zařízení neumožňují změnu klíčů a certifikátů, což dále komplikuje záležitosti.Společnost SEC Consult oznámila, že brzy uvolní všechny certifikáty a soukromé klíče. Mezitím můžete navštívit stránky společnosti a přečíst si přehled a zjistit, zda váš malý podnik používá produkt ze seznamu firem.
https Foto přes Shutterstock
1
