ESET, kullanılmayan ve ikinci el piyasasında satılan yönlendiricilerle alakalı yeni araştırmasını duyurdu.
Dijital güvenlikte dünya lideri olan ESET, kullanılmayan ve ikinci el piyasasında satılan müessesesel ağ makineleri olan yönlendiricilerle router alakalı yeni araştırmasını açıkladı. ESET, 16 farklı ağ aygıtından gelen yapılandırma bilgilerini araştırdıktan sonra, bunların yüzde 56 ’dan aşırısının alıngan firma bilgileri taşıdığını tespit etti.
En kolay tanımı ile iki ağ arasında tehlikesiz bir biçimde bilgi aktarımı sağlamak için kullanılan teçhizatsal makineler olan yönlendiriciler bugün orta ve büyük ölçekteki her firma tarafından kullanılıyor. ESET ’in reelleştirdiği araştırma kapsamında ikinci el piyasasından satın aldığı yönlendiricilerin yüzde 56 ’dan aşırısı, müessesesel kimlik bilgileri, VPN detayları, kriptografik anahtarlar ve daha bir hayli alıngan bilgiden oluşan bir hazine kapsıyor. Bu bilgiler yanlış ellere geçtiğinde bilgi ihlaline yol açabilecek ve işletmeyi, ortaklarını ve alıcılarını tehlikeye atabilecek bir siber hamleye neden olabilir.
Tüm yapılandırma bilgilerinin olduğu bu dokuz makinede aynı zamanda yüzde 22 oranında alıcı bilgisi, yüzde 33 oranında ağa üçüncü taraf iletişimlerinin ulaşım sağlamasına yarayacak bilgiler, yüzde 44 oranında emin bir taraf olarak değişik ağlara bağlanmak için kimlik bilgileri, yüzde 89 oranında belli uygulamalara özgü iletişim detayları, yüzde 89 oranında yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları, yüzde 100 oranında bir veya daha fazla IPsec veya VPN kimlik bilgisi veya hashlenmiş root şifreler ve yeniden yüzde 100 oranında daha önceki sahibini tespit etmek için yeterli bilgi yer alıyordu.
Firmaların tasarıları istenmeyen bireylerin eline kolaylıkla geçebilir
Projeyi idareyen ESET Güvenlik Tahlilcisi Cameron Camp şu bilgileri paylaştı: “Tespit ettiklerimizin potansiyel tesiri son derece kaygı verici ve bir ihtar kalitesinde. Orta ölçekli ve müessesesel firmaların, daha önceki aygıtlarını kullanım dışı vazgeçmek için katı güvenlik tedbirleri almasını bekliyorduk, ancak vaziyet bütün tersi istikamette büyüdü. İkinci el piyasasından aldığımız makinelerin çoğunda firmanın dijital tasarısının yanı gizeme temel ağ bilgileri, uygulama bilgileri, müessesesel kimlik bilgileri ve ortaklar, satıcılar ve alıcılar hakkında bilgiler yer alıyor. Bu sebeple kuruluşlar kullanım dışı vazgeçtikleri aygıtlarda hangi bilgilerin kaldığı mevzusunda daha dikkatli olmalıdır.”
Kuruluşlar, genellikle dijital teçhizatın tehlikesiz bir biçimde yıkım edilmesini veya geri dönüştürülmesini ve bunların kapsadığı bilgilerin silinmesini doğrulamakla vazifeli üçüncü taraf işletmeler aracılığıyla aşınan teknolojiyi geri dönüştürüyor. Bir e-atık işletmesinden kaynaklanan kusur veya firmanın kendi yıkım süreçlerinden kaynaklanan bir kusur olsun, yönlendiricilerde bir hayli bilgiyi sarihe çıkarıyor.
ESET Türkiye Genel Müdür Dayanakçısı Erkan Tuğral yapılan araştırma ile alakalı şu değerlendirmeyi yaptı: “Bir Hayli iş yeri etrafında artık kullanılmayan yönlendiriciler yıkım edilmeden yenisi ile değiştiriliyor. Ancak atılan yönlendiricinin mukadderatı, yerini alan yeni aygıtın meselesiz bir biçimde çalışması kadar ehemmiyetli. Ne yazık ki, çoğu zaman bunu önem vermiyoruz. ESET araştırma takımı, bir test civarı yaratmak için birkaç kullanılmış yönlendirici satın aldı. Satın alınan makinelerin bir haylisinde daha evvel kullanılan yapılandırmalar silinmemişti ve daha da makûssu makinelerdeki bilgilerin silinmediğini bildiklerinde takım azaları afallamışlığa uğradı. Zira bu bilgiler ağ yapılandırmalarının detaylarının yanı gizeme yönlendiricinin evvelki sahiplerini tanımlamak için de kullanılabilir.
Tespit edilen bilgiler yönlendiricilerin ait olduğu kuruluşlarla paylaşıldı.
ESET ’deri Cameron Camp ve Tony Anscombe şu bilgileri paylaştılar: “Bu araştırmadaki yönlendiriciler, orta ölçekli şirketlerden muhtelif sektörlerdeki küresel firmalara bilgi merkezleri, hukuk firmaları, üçüncü taraf teknoloji sağlayıcılar, imal ve teknoloji işletmeleri, yaratıcı şirketler ve yazılım geliştiriciler kadar farklı bir hayli kuruluştan alındı. ESET bu araştırma çerçevesinde tespit ettiği bilgileri, yönlendiricilerin ait olduğu kuruluşlarla paylaştı. Buradaki emel, firmaların kullandıkları makinelerin himaye zincirindeki potansiyel tehlikelerinden haberdar olmalarını sağlayarak işbirliği yapmaktı. Bilgi güvenliği ihlal edilmiş kuruluşlardan kimileri, ESET ’in ısrarlı irtibat kurma teşebbüslerine afallatıcı biçimde tepkisiz kalırken, değişikleri vakayı bütün bir güvenlik ihlali olarak değerlendirip dikkate aldı. Kuruluşlara, makineleri yıkım etmek için emin, yetkin bir üçüncü taraf şirket ile uyuşmalarını veya kullanım dışı vazgeçme işlemini kendileri yapacaklarsa zorunlu tüm ihtiyatları aldıklarından emin olmalarını andırdırıyoruz. Bu vaziyet, daha önceki yönlendiricilerden, sabit sürücülerden ve ağın parçası olan rastgele bir aygıta kadar geniş bir yelpazeyi içeriyor.
Bu araştırmadaki bazı kuruluşlar muhtemelen yıkım hizmeti veren, tanınmış şirketlerle kontrat yaptıklarını düşündü, ancak bilgileri yeniden de sızdırıldı. Bunu göz önünde bulundurarak kuruluşların, bir makine fiziksel olarak binadan çıkartılmadan evvel, içindeki bilgileri kaldırmak için üretici direktiflerine uymalarını öneriyoruz; bu, bir hayli BT personelinin üstesinden gelebileceği kolay bir iştir. Bu gidişatın mümkün neticelerini ciddiye almanızı tekerrür andırdırıyoruz. Aksi halde maliyetli bir bilgi ihlali ve ehemmiyetli bir haysiyet kaybıyla karşı karşıya kalabilirsiniz.”
Kaynak: BYZHA Beyaz Haber Ajansı