Kevesen tudják, hogy fontos gondoskodnunk az adatok törléséről okostelefonjainkról és laptopjainkról, mielőtt továbbadnánk őket. Számtalan értékes, személyes adatot tartalmazhatnak ezek az eszközök. A vállalkozásoknak és más intézményeknek ugyanezt a megközelítést lenne érdemes követniük, és megfelelő körültekintéssel kellene törölniük adataikat a számítógépekről, szerverekről és hálózati eszközöökről, hogy azok ne kerülhessenek illetéktelen kezekbe. A San Franciscóban megrendezésre kerülő RSA biztonsági konferencián az ESET biztonsági cég kutatói olyan eredményeket mutattak be, amelyek szerint a tesztelésre vásárolt, használt vállalati routerek több mint felét az előző tulajdonosok ilyen szempontból teljesen érintetlenül hagyták. Az eszközök tele voltak hálózati információkkal, hitelesítő és bizalmas adatokkal azokról az intézményekről, amelyekben használták őket.

A kutatók 18 használt routert vásároltak tesztelés céljára, három mainstream gyártó különböző modelljeiből. Ezek közül kilencet nem állítottak vissza gyári állapotra, így teljesen hozzáférhetőek voltak a külőnféle érzékeny adatok. Kettő titkosított volt, egy volt működésképtelen, egy pedig egy másik eszköz tükörmásolataként funkciónált.

Mind a kilenc nem védett eszköz tartalmazott hitelesítő adatokat különféle vállalatok VPN-jéhez, egy másik biztonságos hálózati kommunikációs szolgáltatáshoz, vagy rendszergazda jelszavakat. Az eszközök közül mind elegendő adatot tartalmazott ahhoz, hogy megállapítható legyen, ki volt a router előző tulajdonosa vagy üzemeltetője.

A kilenc nem védett eszközből nyolcon megtalálhatók voltak a routerek közötti hitelesítési kulcsok és információk arról, hogy a router hogyan csatlakozott az előző tulajdonos által használt konkrét alkalmazásokhoz. Négy eszköz más szervezetek – például megbízható partnerek, munkatársak vagy más harmadik felek – hálózataihoz való csatlakozáshoz szükséges hitelesítő adatokat fedett fel. Három routeren találtak információkat arról, hogy egy vállalat hogyan csatlakozhatott harmadik félként az előző tulajdonos hálózatához, kettőn pedig közvetlen ügyféladatok voltak föllelhetőek.

“Egy központi router mindennel kapcsolatban áll a rendszeren belül, így mindent megtudhatok az alkalmazásokról és a szervezet jellegéről – ez nagyon megkönnyíti a szervezet megszemélyesítését” – mondja Cameron Camp, az ESET biztonsági kutatója, aki a projektet vezette. “Az egyik esetben kiváltságos információkat találtunk egy jelentős nagyságú könyvelőcégről, és a velük való közvetlen peering-kapcsolatról. Ez az a pont, ahol számomra igazán ijesztővé válik a dolog, mert mi kutatók itt azért vagyunk, hogy segítsünk, de mi lehet a helyzet a többi routerrel?”.

Potenciálisan nagymértékű veszélyt jelent az eszközökön található olyan információ, amely nagy értéket jelenthet a kiberbűnözők vagy akár az állam által támogatott hackerek számára. A vállalati alkalmazások bejelentkezési adatai, a hálózati hitelesítő adatok és a titkosítási kulcsok is nagy értéket képviselnek az illegális webes piacokon és fórumokn. A támadók az egyénekre vonatkozó adatokat is eladhatják, hogy azokat személyazonossághoz köthető visszaélésekhez, lopáshoz és egyéb csalásokhoz használhatják fel.

A vállalati hálózatok működésére és a szervezetek digitális struktúrájára vonatkozó részletek szintén rendkívül értékesek lehetnek a támadók számára, akár felderítést végeznek egy zsarolóvírus-támadás indításához, akár kémkedési kampányt terveznek . A routerekből kiderülhet például, hogy egy adott szervezet olyan alkalmazások vagy operációs rendszerek elavult verzióit futtatja, amelyek sebezhetőségükből fakadóan könnyű célpontot jelenthetnek. Ezzel lényegében a hackerek számára a lehetséges támadási stratégiák útitervét adják meg azok, akik védtelenül hagyják ezeket az adatokat a hálózati eszközökön. A tesztelést végző kutatók egyes routereken még az előző tulajdonosok irodáinak fizikai épületbiztonságára vonatkozó adatokat is találtak, amely még mélyebbre mutat biztonsági sebezhetőség terén.

Mivel használt eszközökhöz lényegesen olcsóbb hozzájutni, mint a piacon jelen lévő új termékekhez, a kiberbűnözők számára ideális módszer, hogy használt eszközök megvásárlásába invesztáljanak. Így könnyedén juthatnak hozzá a szükséges információkhoz és hálózati hozzáférési adatokhoz. Ezután az információkat általában maguk használják fel vagy adják tovább. Az ESET kutatói vitatkoztak azon, hogy nyilvánosságra hozzák-e eredményeiket, mert nem akartak új ötleteket adni a kiberbűnözőknek, de hosszas mérlegelést követően arra a következtetésre jutottak, hogy a probléma tudatosítása sokkal sürgetőbb kérdést jelent.

Tizennyolc router egy aprócska mintát adott a viszonteladói piacon világszertekeringő több millió vállalati hálózati eszközből, és más kutatók is megerősítették, hogy munkájuk során ők is többször találkoztak az ESET kutatói által feltárt a problémákkal.

“Többféle beágyazott, használt eszközt vásároltunk, többek között az eBay-en, és sok olyat láttunk, amelyeken nem végeztek digitálisan törlést. “ – mondja Wyatt Ford,egy IoT biztonsági cég, a Red Balloon Security vezető mérnöke. “Ezek az eszközök olyan információk tárházát tartalmazhatják, amelyeket könnyedén felhasználhatnak illegális támadások megcélzásához és végrehajtásához”.

Az ESET megállapításaihoz hasonlóan a Red Balloon kutatói is jelszavakat és egyéb hitelesítő adatokat, valamint személyazonosító információkat találtak. Egyes adatok, például a felhasználónevek és a konfigurációs fájlok általában egyszerű szövegekben találhatóak, így könnyen hozzáférhetők, míg a jelszavak és a konfigurációs fájlok gyakran védettek, mivel titkosított kriptográfiai hash-ként vannak tárolva. Azonban még a hashelt adatok is lehetnek potenciálisan veszélyeztetettek.

“Fogtuk az eszközön talált jelszóhash-eket, és feltörtük őket offline – meg lennél lepve, hányan használják még mindig például a macskájuk nevét jelszóként.” – mondja Ford. “Még az olyan ártalmatlannak tűnő dolgok is, mint a forráskód, a commit-előzmények, a hálózati konfigurációk, az router szabályok stb. segítségével is többet lehet megtudni egy szervezetről, az emberekről és a hálózati topológiáról.”

Az ESET kutatói rámutatnak, hogy a szervezetek azt gondolhatják, felelősségteljesen járnak el, ha külső eszközkezelő cégekkel vagy szolgáltatókkal szerződnek, amelyek állítják, hogy nagy tételben törlik a vállalati eszközöket viszonteladás előtt. A gyakorlatban azonban előfordulhat, hogy ezek a harmadik felek nem járnak el kellő körültekintéssel vagy egyszerűen csak nem végzik el a vállalt szolgáltatást. Camp azt is megjegyzi, hogy több szervezet kihasználhatná a titkosítási és egyéb biztonsági funkciókat, amelyekkel a mainstream routerek már alapból el vannak látva, hogy enyhítsék a következményeket, ha a törlés nélkül hagyott eszközök kidobásra kerülnek.

Camp és kollégái megpróbálták felvenni a kapcsolatot az általuk vásárolt használt routerek előző tulajdonosaival, hogy figyelmeztessék őket az eszközeiken hagyott adatok jelentette veszélyekre. Néhányan hálásak voltak az információért, de mások figyelmen kívül hagyták a figyelmeztetéseket, vagy nem kínáltak olyan lehetőséget, amelyen keresztül a kutatók jelenthetnék a biztonsági megállapításokat.