数字技术通过提高全面的效率,为小型企业开辟了一个解决方案的世界。但它也引入了以前从未暴露过的威胁。
最近由应用安全服务和信息安全咨询公司的国际提供商SEC Consult发布的一项研究显示,至少有一个这样的新威胁。 SEC Consult最近报告说,共享相同的HTTPS服务器证书和安全外壳主机(SSH)密钥的做法使许多小型企业面临风险。这是因为许多人被告知从HTTP更改为HTTPS将为他们的网站提供更好的安全性。
$config[code] not foundHTTPS的简要说明
安全超文本传输协议(HTTPS)加密和解密用户页面请求,以防止窃听和中间人攻击。由于通过常规HTTP连接发送的通信是“纯文本”,因此当消息在您的浏览器和网站之间传输时,黑客可以读取它们。使用HTTPS,通信被加密,黑客无法进入连接。
这就是它应该如何工作,但如果通过反复使用相同的HTTPS证书和SSH密钥共享,最终有人可以弄明白并阅读通信。
SEC Consult通过查看加密密钥(包括路由器,调制解调器,IP摄像头,VoIP电话,网络存储设备,Internet网关等),分析了来自70家供应商的4,000多种嵌入式设备的固件。固件映像中有公钥和私钥以及证书。
该公司从被挑出的设备中暴露了超过580个独特的私钥。然后,研究人员将互联网上公开扫描的密钥关联起来,这使得他们为320万个HTTPS主机发现了150个证书。这意味着Web上所有HTTPS主机的百分之九。研究人员进一步发现了80个SSH主机密钥,占网络上所有安全shell主机的6%以上,总计90万台主机。
这至少有230个密钥被400多万台设备主动使用。有这么多设备,世界上一些领先的硬件制造商都会受到这种故障的影响,这不足为奇。
报告称,其中一些公司包括阿尔卡特朗讯,思科,通用电气(GE),华为,摩托罗拉,Netgear,希捷,沃达丰,西部数据等。
由于这是在产品的硬件方面,供应商必须实施修复。据福布斯报道,思科,中兴通讯,ZyXEL,Technicolor,TrendNet和Unify等六家供应商已确认修复工作即将到来。但是,对于使用受影响设备的小型企业而言,这几乎没有选择。他们所能做的只是等待制造产品的公司补丁。
某些设备不允许更改密钥和证书,这使问题更加复杂。SEC Consult表示,它将很快发布所有已识别的证书和私钥。在此期间,您可以访问公司网站并阅读报告,了解您的小型企业是否使用公司列表中的产品。
1