A tecnologia digital abriu um mundo de soluções para pequenas empresas, proporcionando níveis crescentes de eficiência em todos os setores. Mas também introduziu ameaças às quais elas nunca haviam sido expostas anteriormente.
Um estudo recentemente divulgado pela SEC Consult, fornecedora internacional de serviços de segurança de aplicativos e consultoria de segurança da informação, revelou pelo menos uma dessas novas ameaças. A SEC Consult informou recentemente que uma prática de compartilhar os mesmos certificados de servidor HTTPS e chaves Secure Host Host (SSH) colocou uma série de pequenas empresas em risco. Isto é depois que muitos foram informados que mudar de HTTP para HTTPS proporcionaria melhor segurança para seus sites.
$config[code] not foundUma breve explicação do
O Protocolo de Transferência de Hipertexto Seguro (HTTPS) criptografa e descriptografa as solicitações da página do usuário para proteger contra ataques de espionagem e de interceptação. Como as comunicações enviadas através de conexões HTTP regulares estão em "texto simples", elas podem ser lidas por hackers enquanto as mensagens estão viajando entre o navegador e o site. Com o HTTPS, a comunicação é criptografada e o hacker não consegue entrar na conexão.
É assim que deve funcionar, mas se o certificado HTTPS e as chaves SSH forem compartilhados usando os mesmos repetidamente, eventualmente alguém poderá descobrir e ler as comunicações.
A SEC Consult analisou o firmware de mais de 4.000 dispositivos embarcados de 70 fornecedores, observando as chaves criptográficas, que incluíam roteadores, modems, câmeras IP, telefones VoIP, dispositivos de armazenamento de rede, gateways de Internet e muito mais. Havia chaves públicas e privadas, bem como certificados nas imagens do firmware.
A empresa expôs mais de 580 chaves privadas exclusivas dos dispositivos que foram destacados. Os pesquisadores então correlacionaram as chaves das varreduras que estavam publicamente disponíveis na Internet, o que as levou a descobrir 150 certificados para 3,2 milhões de hosts HTTPS. Isso se traduz em nove por cento de todos os hosts HTTPS na Web. Os pesquisadores descobriram ainda 80 chaves de host SSH, ou mais de 6% de todos os hosts de shell seguros na Web, totalizando 0,9 milhão de hosts.
Isso resulta em pelo menos 230 chaves que estão sendo ativamente usadas por mais de 4 milhões de dispositivos. Com tantos dispositivos, não deve ser uma surpresa que alguns dos principais fabricantes de hardware do mundo sejam afetados por essa falha.
Algumas das empresas identificadas incluem a Alcatel-Lucent, a Cisco, a General Electric (GE), a Huawei, a Motorola, a Netgear, a Seagate, a Vodafone, a Western Digital e muitas outras, diz o relatório.
Como isso está no lado do hardware dos produtos, os fornecedores precisam implementar as correções. De acordo com a Forbes, seis fornecedores - Cisco, ZTE, ZyXEL, Technicolor, TrendNet e Unify - confirmaram que as correções estão chegando. Mas isso deixa muito poucas opções para pequenas empresas que estão usando os dispositivos afetados. Tudo o que eles podem fazer é esperar por um patch da empresa que fez o produto.
Alguns dispositivos não permitem alterações de chaves e certificados, o que complica ainda mais as coisas.A SEC Consult informou que irá liberar todos os certificados e chaves privadas identificados em breve. Enquanto isso, você pode acessar o site da empresa, ler o relatório e descobrir se sua pequena empresa está usando um produto da lista de empresas.
https foto via Shutterstock
1
