Firmy masowo wymieniają sprzęt. Ważne dane jak na tacy
Regularna wymiana routerów i innych urządzeń sieciowych w firmach nie jest zaskoczeniem, ale zaskakiwać może lekkomyślne podejście do starego sprzętu. Specjaliści ustalili, że znakomita większość routerów z rynku wtórnego pamięta dane, które nie powinny wydostać się z firm.
Na problem zwracają uwagę badacze z firmy Eset, którzy kupili wybrane routery z rynku wtórnego, które wcześniej działały w dużych firmach. W ponad połowie znaleziono wrażliwe dane, bo sprzedający nie zadbali o ich usunięcie. Eset podaje, że finalnie kupił 16 routerów i w 9 z nich dotarł do szczegółów konfiguracji sieci poprzedniego właściciela. Ponadto udało się odczytać szereg innych danych, w tym dane klientów.
Jak podają badacze, we wszystkich urządzeniach dało się dotrzeć przynajmniej do jednego poświadczenia IPsec lub VPN, bądź zaszyfrowane jednostronnie hasło roota, ponadto wszystkie zawierały takie dane, które pozwalały wiarygodnie zidentyfikować poprzedniego właściciela lub operatora. W 8 z 9 routerów udało się dotrzeć do kluczy uwierzytelniających i szczegółów połączeń dla określonych aplikacji. W 3 urządzeniach zostały dane, które pozwalały na nawiązanie bezpiecznego połączenia z siecią firmy.
Eset podkreśla, że dostęp do opisywanych danych nie jest tylko ciekawostką, ale w wielu przypadkach jest to wystarczający komplet informacji, który może pomóc w przeprowadzeniu cyberataku na infrastrukturę danej firmy. Administratorzy powinni być więc bardziej świadomi zagrożeń, jakie niesie za sobą bezmyślna wymiana sprzętu na nowy, by nie narażać firmy i klientów na potencjalne problemy.
Dalsza część artykułu pod materiałem wideo
Z tego testu należy wyciągnąć jeden, niezwykle istotny wniosek: poufne dane na każdym urządzeniu opuszczającym firmę muszą zostać trwale wymazane, a proces usuwania danych musi być ustandaryzowany i regularnie audytowany. Nie można dopuścić do tego, aby najcenniejsze dane firmowe krążyły po rynku jak zwykły, używany sprzęt biurowy. Część badanych organizacji mogła być przekonana, że zawiera umowy z renomowanymi dostawcami zajmującymi się utylizacją sprzętu. Tak jednak nie stało się. Aby unikać takich sytuacji, należy postępować zgodnie z wytycznymi producenta, dotyczącymi usuwania wszystkich danych z urządzenia, zanim fizycznie opuści ono siedzibę firmy. To zadanie, z którym powinna poradzić sobie większość pracowników działów IT
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
