Dijital teknoloji, küçük işletmeler için, anakart genelinde daha yüksek verimlilik seviyeleri sunarak bir çözüm dünyası açtı. Ancak, daha önce hiç maruz kalmadıkları tehditler de getirmiştir.
Uluslararası uygulama güvenliği hizmetleri ve bilgi güvenliği danışmanlığı sağlayıcısı SEC Consult tarafından yakın zamanda yayınlanan bir araştırma, en az bir tane yeni tehdit olduğunu ortaya çıkardı. SEC Consult, son zamanlarda aynı HTTPS sunucu sertifikalarını ve Secure Shell Host (SSH) anahtarlarını paylaşma uygulamasının bir dizi küçük işletmeyi riske attığını bildirdi. Bunun birçoğunun HTTP'den HTTPS'ye değiştirilmesinin web siteleri için daha iyi güvenlik sağlayacağı söylendi.
$config[code] not foundHTTPS'nin Kısa Bir Açıklaması
Güvenli Metin Aktarım Protokolü Güvenli (HTTPS), gizlice dinleme ve ortadaki adam saldırılarına karşı koruma sağlamak için kullanıcı sayfa isteklerini şifreler ve şifresini çözer. Düzenli HTTP bağlantıları üzerinden gönderilen iletişimler ‘düz metin’de olduğundan, iletiler tarayıcınız ve web sitesi arasında seyahat ederken bilgisayar korsanları tarafından okunabilir. HTTPS ile iletişim şifrelenir ve bilgisayar korsanı bağlantıya giremez.
Bu şekilde çalışması gerekiyor, ancak HTTPS sertifikası ve SSH anahtarları tekrar tekrar aynı olanlar kullanılarak paylaşılıyorsa, sonunda birileri bunu anlayabilir ve iletişimi okuyabilirdi.
SEC Consult, yönlendiriciler, modemler, IP kameralar, VoIP telefonlar, ağ depolama aygıtları, İnternet ağ geçitleri ve daha fazlasını içeren kriptografik anahtarlara bakarak 70 satıcının 4.000'den fazla gömülü cihazın ürün yazılımını analiz etti. Ürün yazılımı görüntülerinde genel ve özel anahtarların yanı sıra sertifikalar da vardı.
Şirket, öne çıkan cihazlardan 580'den fazla eşsiz özel anahtar çıkardı. Araştırmacılar daha sonra, internette halka açık olan taramalardan aldıkları anahtarları ilişkilendirdi ve bu da 3,2 milyon HTTPS sunucusu için 150 sertifika keşfetmelerini sağladı. Bu, Web’deki tüm HTTPS ana bilgisayarlarının yüzde dokuzuna karşılık gelir. Araştırmacılar ayrıca 80 SSH ana bilgisayar anahtarı ya da Web'deki tüm güvenli kabuk ana makinelerinin% 6'sından fazlasını toplamda 0.9 milyon ana bilgisayar keşfetti.
Bu, 4 milyondan fazla cihaz tarafından aktif olarak kullanılan en az 230 anahtara çıkar. Bu kadar çok cihazla, dünyanın önde gelen donanım üreticilerinden bazıları bu aksaklıktan etkilendiğinde sürpriz olmamalıdır.
Raporda, tanımlanan firmalardan bazıları Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital ve diğerleri sayılabilir.
Bu, ürünlerin donanım tarafında olduğu için, satıcılar düzeltmeleri uygulamak zorundadır. Forbes'e göre, altı satıcı - Cisco, ZTE, ZyXEL, Technicolor, TrendNet ve Unify - düzeltmelerin yapıldığını onayladı. Ancak bu, etkilenen cihazları kullanan küçük işletmeler için çok az seçenek bırakıyor. Tek yapabilecekleri, ürünü yapan şirketten bir yama beklemek.
Bazı cihazlar anahtarların ve sertifikaların değiştirilmesine izin vermez ve bu da sorunları daha da karmaşık hale getirir.SEC Consult, tanımlanmış tüm sertifikaları ve özel anahtarları kısa süre içinde serbest bırakacağını söyledi. Bu arada, şirketin sitesine gidip raporu okuyabilir ve küçük işletmenizin şirketler listesinden bir ürün kullanıp kullanmadığını öğrenebilirsiniz.
https Fotoğraf Shutterstock ile
1
