デジタルテクノロジーは、全面的に効率性を向上させることで、中小企業向けのソリューションの世界を切り開きました。しかし、それはまた彼らが以前にさらされたことがなかった脅威をもたらしました。
アプリケーションセキュリティサービスと情報セキュリティコンサルタントの国際的なプロバイダーであるSEC Consultによって最近発表された研究は、少なくともそのような新たな脅威の1つを明らかにしました。 SEC Consultは最近、同じHTTPSサーバー証明書とSecure Shell Host(SSH)キーを共有することによって、多くの中小企業が危険にさらされることを報告しました。これは、多くの人がHTTPからHTTPSに変更することが彼らのウェブサイトにより良いセキュリティを提供するだろうと言われた後です。
$config[code] not foundHTTPSの簡単な説明
ハイパーテキスト転送プロトコルセキュア(HTTPS)は、盗聴や中間者攻撃から保護するために、ユーザーページ要求を暗号化および復号化します。通常のHTTP接続を介して送信される通信は「プレーンテキスト」であるため、メッセージがブラウザとWebサイトの間を移動している間にハッカーによって読み取られる可能性があります。
それがどのように動作するかと思われる方法ですが、HTTPS証明書とSSH鍵が同じものを何度も使用して共有されている場合、最終的に誰かがそれを把握して通信を読み取ることができます。
SEC Consultは、ルーター、モデム、IPカメラ、VoIP電話、ネットワークストレージデバイス、インターネットゲートウェイなどを含む暗号化キーを調べて、70社のベンダーからの4,000以上の組み込みデバイスのファームウェアを分析しました。ファームウェアイメージには、公開鍵と秘密鍵、および証明書がありました。
同社は、選び出された機器から580を超える固有の秘密鍵を公開しました。それから研究者たちはインターネット上で公に利用可能だったスキャンからのキーを相関させました。そして、それは彼らを320万のHTTPSホストのために150の証明書を発見することに導きました。これは、Web上の全HTTPSホストの9パーセントに相当します。研究者らはさらに、80個のSSHホスト鍵、つまりWeb上の全セキュアシェルホストの6%以上、合計90万個のホストを発見しました。
これは、400万以上のデバイスで活発に使用されている少なくとも230個の鍵に由来します。非常に多くのデバイスがあるので、世界の大手ハードウェア製造業者の中には、このグリッチの影響を受けていることが驚くべきものではないはずです。
Alcatel-Lucent、Cisco、General Electric(GE)、Huawei、Motorola、Netgear、Seagate、Vodafone、Western Digital、その他多数の企業が特定されている、と同報告は述べている。
これは製品のハードウェア側にあるため、ベンダーは修正を実装する必要があります。フォーブス氏によると、シスコ、ZTE、ZyXEL、Technicolor、TrendNet、Unifyの6社が修正が行われていることを確認しています。しかし、これは影響を受けるデバイスを使用している中小企業のための非常に少数のオプションを残します。彼らができることは、製品を作った会社からのパッチを待つことだけです。
鍵や証明書を変更することを許可していないデバイスもあります。これはさらに問題を複雑にします。 SEC Consultは、識別されたすべての証明書と秘密鍵をまもなく公開すると述べた。それまでの間、会社のサイトにアクセスしてレポートを読み、あなたの中小企業が会社のリストにある製品を使用しているかどうかを調べることができます。
Shutterstockによるhttps写真
1
