Skaitmeninės technologijos atvėrė mažųjų įmonių sprendimų pasaulį, nes visose srityse jis yra efektyvesnis. Tačiau ji taip pat įvedė grėsmes, su kuriomis jos niekada nebuvo paveiktos.
Tyrimas, kurį neseniai išleido „SEC Consult“, tarptautinė taikomųjų programų saugumo ir informacijos saugumo konsultantų teikėja, atskleidė bent vieną tokią naują grėsmę. „SEC Consult“ neseniai pranešė, kad praktika pasidalyti tais pačiais HTTPS serverio sertifikatais ir „Secure Shell Host“ (SSH) raktais kelia pavojų daugeliui mažų įmonių. Po to daugelis pasakė, kad iš HTTP į HTTPS būtų užtikrintas geresnis jų svetainių saugumas.
$config[code] not foundTrumpas HTTPS paaiškinimas
„Hyper Text Transfer Protocol Secure“ („HTTPS“) užšifruoja ir iššifruoja naudotojo puslapio užklausas, skirtas apsaugoti nuo slapto pasiklausymo ir žmogaus vidurio atakų. Kadangi ryšiai, siunčiami per įprastinius HTTP ryšius, yra „paprastame tekste“, juos gali skaityti įsilaužėliai, o pranešimai keliauja tarp jūsų naršyklės ir svetainės. Su HTTPS, ryšys yra užšifruotas ir įsilaužėlis negali įsilaužti į ryšį.
Štai kaip ji turėtų dirbti, bet jei HTTPS sertifikatas ir SSH raktai yra bendrinami, naudojant tuos pačius ir vėl, galiausiai kažkas galėjo ją suprasti ir skaityti komunikacijas.
SEC Consult analizavo daugiau kaip 4 000 įdėtųjų įrenginių programinę įrangą iš 70 tiekėjų, ieškodamas kriptografinių raktų, įskaitant maršrutizatorių, modemų, IP kamerų, VoIP telefonų, tinklo saugojimo įrenginių, interneto vartų ir kt. Programinės įrangos atvaizduose buvo vieši ir privatūs raktai bei sertifikatai.
Bendrovė atskleidė daugiau nei 580 unikalių privačių raktų iš įrenginių, kurie buvo išskirti. Tuomet mokslininkai tarpusavyje susiejo raktus nuo skenavimų, kurie buvo viešai prieinami internete, todėl jie atrado 150 sertifikatų už 3,2 mln. HTTPS kompiuterių. Tai verčia devynis procentus visų „HTTPS“ kompiuterių žiniatinklyje. Mokslininkai toliau atrado 80 SSH kompiuterio raktų arba daugiau nei šešis procentus visų saugių „shell“ kompiuterių, kurių bendras skaičius siekia 0,9 mln.
Tai pasireiškia ne mažiau kaip 230 raktų, kuriuos aktyviai naudoja daugiau nei 4 milijonai įrenginių. Su tiek daug prietaisų, ji neturėtų ateiti kaip nustebinti kai kurie iš pirmaujančių aparatūros gamintojai pasaulyje veikia šį trikdymą.
Ataskaitoje teigiama, kad kai kurios iš nurodytų bendrovių buvo „Alcatel-Lucent“, „Cisco“, „General Electric“ („GE“), „Huawei“, „Motorola“, „Netgear“, „Seagate“, „Vodafone“, „Western Digital“ ir daugelis kitų.
Kadangi tai yra gaminių techninė pusė, pardavėjai turi įgyvendinti pataisas. Pasak „Forbes“, šeši pardavėjai - „Cisco“, „ZTE“, „ZyXEL“, „Technicolor“, „TrendNet“ ir „Unify“ - patvirtino pataisas. Tačiau mažoms įmonėms, naudojančioms atitinkamus įrenginius, tai labai mažai galimybių. Viskas, ką jie gali padaryti, yra laukti, kol produktas bus pagamintas iš įmonės.
Kai kurie įrenginiai neleidžia keisti raktų ir sertifikatų, o tai dar labiau apsunkina klausimus.SEC Consult sakė, kad netrukus išleis visus nustatytus sertifikatus ir privačius raktus. Tuo tarpu galite eiti į įmonės svetainę ir perskaityti ataskaitą bei sužinoti, ar jūsų mažoji įmonė naudoja produktą iš bendrovių sąrašo.
„https“ nuotrauka per „Shutterstock“
1
