Digital teknik har öppnat en värld av lösningar för småföretag genom att leverera ökade effektivitetsnivåer över hela linjen. Men det har också infört hot som de aldrig tidigare varit utsatta för.
En studie nyligen av SEC Consult, en internationell leverantör av applikationssäkerhetstjänster och informationssäkerhetskonsult, har avslöjat minst ett sådant nytt hot. SEC Consult rapporterade nyligen att en övning av att dela samma HTTPS-servercertifikat och SSH-tangenter (Secure Shell Host) har satt ett antal små företag i fara. Det här är efter att många fick höra att byta från HTTP till HTTPS skulle ge bättre säkerhet för sina webbplatser.
$config[code] not foundEn kort förklaring av
Hyper Text Transfer Protocol Secure (HTTPS) krypterar och dekrypterar användarsidan för att skydda mot avlyssning och man-i-mitten attacker. Eftersom meddelanden som skickas över vanliga HTTP-anslutningar finns i "vanlig text" kan de läsas av hackare medan meddelandena reser mellan din webbläsare och webbplatsen. Med HTTPS, är kommunikationen krypterad och hackaren kan inte bryta sig in i anslutningen.
Det är så som det ska fungera, men om HTTPS-certifikat och SSH-nycklar delas genom att använda samma om och om igen så kan någon så småningom räkna ut det och läsa kommunikationen.
SEC Consult analyserade firmware av mer än 4000 inbäddade enheter från 70 säljare genom att titta på kryptografiska nycklarna, som inkluderade routrar, modem, IP-kameror, VoIP-telefoner, nätverkslagringsenheter, internetgateways och mer. Det fanns offentliga och privata nycklar samt certifikat i firmwarebilderna.
Företaget exponerade mer än 580 unika privata nycklar från de enheter som utpekades. Forskarna korrelerade sedan nycklarna från skanningar som var offentligt tillgängliga på Internet, vilket ledde till att de upptäckte 150 certifikat för 3,2 miljoner HTTPS-värdar. Det motsvarar nio procent av alla HTTPS-värdar på webben. Forskarna upptäckte vidare 80 SSH-värdnycklar, eller mer än sex procent av alla skyddade skalvärdar på webben med totalt 0,9 miljoner värdar.
Det kommer ut till minst 230 nycklar som aktivt används av mer än 4 miljoner enheter. Med så många enheter borde det inte komma som en överraskning några av de ledande hårdvaruproducenterna i världen påverkas av denna glitch.
Några av de identifierade företagen inkluderade Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital och många andra, säger rapporten.
Eftersom det här är på maskinvarans sida av produkterna, måste leverantörerna genomföra fixarna. Enligt Forbes har sex säljare - Cisco, ZTE, ZyXEL, Technicolor, TrendNet och Unify - bekräftat att korrigeringar kommer. Men det lämnar väldigt få alternativ för småföretag som använder de berörda enheterna. Allt de kan göra är att vänta på en lapp från företaget som gjorde produkten.
Vissa enheter tillåter inte att nycklarna och certifikaten ändras, vilket ytterligare komplicerar saker.SEC Consult sa att det kommer att släppa alla identifierade certifikat och privata nycklar inom kort. Under tiden kan du gå till företagets webbplats och läsa rapporten och ta reda på om ditt lilla företag använder en produkt från listan över företag.
https-bild via shutterstock
1