Gebrauchte Router sind oft voller Firmengeheimnisse – Ars Technica

Du weißt, dass du es solltest Wischen Sie Ihr Smartphone ab Oder Ihren Laptop, bevor Sie ihn weiterverkaufen oder Ihrem Cousin geben. Schließlich gibt es viele wertvolle persönliche Daten, die unter Ihrer Kontrolle bleiben müssen. Unternehmen und andere Organisationen müssen denselben Ansatz verfolgen und ihre Informationen von Computern, Servern und Netzwerkgeräten löschen, damit sie nicht in die falschen Hände geraten. Auf der RSA-Sicherheitskonferenz nächste Woche in San Francisco werden es jedoch Forscher der Sicherheitsfirma ESET tun Aktuelle Ergebnisse Er erklärt, dass mehr als die Hälfte der gebrauchten Enterprise-Router, die sie zum Testen gekauft haben, von ihren Vorbesitzern vollständig intakt gelassen wurden. Die Geräte waren mit Netzwerkinformationen, Anmeldeinformationen und vertraulichen Daten über die Organisationen, denen sie angehörten, gefüllt.

Die Forscher kauften 18 gebrauchte Router in verschiedenen Modellen von drei großen Anbietern: Cisco, Fortinet und Juniper Networks. Davon waren nur neun so, wie sie von ihren Besitzern hinterlassen wurden, und vollständig zugänglich, während nur fünf ordnungsgemäß gelöscht wurden. Zwei waren verschlüsselt, einer starb und der andere war eine exakte Kopie einer anderen Maschine.

Alle neun ungeschützten Geräte enthielten Anmeldedaten für das VPN der Organisation, Anmeldedaten für einen anderen sicheren Netzwerkverbindungsdienst oder gehashte Root-Administratorkennwörter. Alle enthielten genügend Metadaten, um den früheren Eigentümer oder Betreiber des Routers zu identifizieren.

Acht der neun ungeschützten Geräte enthielten Router-zu-Router-Authentifizierungsschlüssel und Informationen darüber, wie der Router mit bestimmten Apps des Vorbesitzers kommunizierte. Vier Geräte haben Anmeldeinformationen offengelegt, um sich mit den Netzwerken anderer Organisationen zu verbinden – wie vertrauenswürdige Partner, Mitarbeiter oder andere Dritte. Drei von ihnen enthalten Informationen darüber, wie sich ein Drittanbieter mit dem Netzwerk des Vorbesitzers verbunden hat. Und zwei enthalten direkt Kundendaten.

„Der primäre Router berührt alles im Unternehmen, daher weiß ich alles über die Anwendungen und den Charakter des Unternehmens – es macht es sehr einfach, sich als Unternehmen auszugeben“, sagt Cameron Camp, ein Sicherheitsforscher bei ESET, der das Projekt leitete. „In einem Fall hatte diese große Gruppe privilegierte Informationen über eine sehr große Wirtschaftsprüfungsgesellschaft und eine direkte Peer-to-Peer-Beziehung zu ihr. Und da begann es für mich wirklich beängstigend zu werden, weil wir Forscher sind, wir Sie sind hier, um zu helfen, aber wo sind die restlichen Router?“

Das große Risiko besteht darin, dass die Fülle an Informationen auf den Geräten für Cyberkriminelle und sogar staatlich unterstützte Hacker wertvoll sein wird. Anmeldedaten für Unternehmensanwendungen, Netzwerkanmeldeinformationen und Verschlüsselungsschlüssel werden auf Dark-Web-Märkten und forensischen Foren sehr geschätzt. Angreifer können auch Informationen über Einzelpersonen verkaufen, um sie für Identitätsdiebstahl und andere Betrugsversuche zu verwenden.

Details darüber, wie das Netzwerk eines Unternehmens funktioniert, und die digitale Struktur der Organisation sind ebenfalls von unschätzbarem Wert, egal ob Sie einen Ransomware-Angriff aufklären oder eine Spionagekampagne planen. Beispielsweise könnten Router erkennen, dass eine bestimmte Organisation veraltete Versionen von Anwendungen oder Betriebssystemen ausführt, die ausnutzbare Schwachstellen enthalten, was Hackern im Wesentlichen eine Roadmap für potenzielle Angriffsstrategien an die Hand gibt. Die Forscher fanden auf einigen Routern sogar Details über die Sicherheit des physischen Gebäudes der Büros der Vorbesitzer.

Da gebrauchte Geräte rabattiert sind, investieren Cyberkriminelle wahrscheinlich in den Kauf gebrauchter Hardware, um nach Informationen zu suchen und auf das Netzwerk zuzugreifen und die Informationen dann selbst zu verwenden oder weiterzuverkaufen. ESET-Forscher sagen, dass sie darüber debattiert haben, ob sie ihre Ergebnisse veröffentlichen sollen, da sie Cyberkriminellen keine neuen Ideen liefern wollen, aber zu dem Schluss kommen, dass es dringender ist, das Bewusstsein für das Problem zu schärfen.

„Eine meiner größten Ängste ist, dass jemand böse ist NEIN Dabei handelt es sich fast um einen Hacker-Kunstfehler, weil es einfach und offensichtlich wäre“, sagt Camp.

Achtzehn Router sind nur eine kleine Auswahl von Millionen von Unternehmensnetzwerkgeräten, die auf dem Wiederverkaufsmarkt auf der ganzen Welt verstreut sind, aber auch andere Forscher sagen, dass sie die gleichen Probleme bei ihrer Arbeit immer wieder gesehen haben.

sagt White Ford, Engineering Director bei Red Balloon Security, einem Sicherheitsunternehmen für das Internet der Dinge. „Diese Geräte können riesige Mengen an Informationen enthalten, die Angreifer nutzen können, um Angriffe zu zielen und auszuführen.“

Wie in den ESET-Ergebnissen sagt Ford, dass die Forscher von Red Balloon Passwörter, andere Zugangsdaten und personenbezogene Daten gefunden haben. Einige Daten wie Benutzernamen und Konfigurationsdateien sind normalerweise im Klartext und leicht zugänglich, während Passwörter und Konfigurationsdateien oft geschützt sind, weil sie gemischt gespeichert werden Kryptografische Hashes. Aber Ford weist darauf hin, dass selbst fragmentierte Daten immer noch gefährdet sind.

„Wir haben Passwort-Hashes entfernt, die auf einem Gerät gefunden wurden, und sie offline geteilt – Sie wären überrascht, wie viele Leute ihre Passwörter immer noch auf ihren Katzen basieren“, sagt er. „Und selbst scheinbar harmlose Dinge wie Quellcode, Commit-Verlauf, Netzwerkkonfigurationen, Routing-Regeln usw. können verwendet werden, um mehr über eine Organisation, ihre Mitarbeiter und ihre Netzwerktopologie zu erfahren.“

ESET-Forscher weisen darauf hin, dass Organisationen möglicherweise glauben, dass sie verantwortlich sind, wenn sie Geräte an Drittunternehmen vergeben. Entsorgungsunternehmen für Elektroschrott oder sogar Gerätesterilisationsdienste, die behaupten, große Chargen von Unternehmensgeräten für den Weiterverkauf zu scannen. In der Praxis tun diese Dritten jedoch möglicherweise nicht das, was sie behaupten. Camp stellt außerdem fest, dass mehr Organisationen die Vorteile der Verschlüsselung und anderer Sicherheitsfunktionen nutzen können, die bereits von Mainstream-Routern bereitgestellt werden, um die Auswirkungen zu mildern, wenn ungelöschte Geräte in die Welt gelangen.

Camp und seine Kollegen versuchten, die alten Besitzer der gebrauchten Router, die sie gekauft hatten, zu kontaktieren, um sie zu warnen, dass ihre Geräte jetzt in der Wildnis ihre Daten ausspuckten. Einige waren dankbar für die Informationen, andere schienen die Warnungen zu ignorieren oder keinen Mechanismus bereitzustellen, mit dem die Forscher die Sicherheitsergebnisse melden konnten.

„Wir nutzten die vertrauenswürdigen Kanäle, die wir mit einigen Unternehmen hatten, stellten dann aber fest, dass viele andere Unternehmen schwieriger zu erreichen waren“, sagt Camp. „sehr gruselig.“

Diese Geschichte erschien ursprünglich Wired.com.