Poiché le apparecchiature di seconda mano sono scontate, sarebbe potenzialmente fattibile per i criminali informatici investire nell’acquisto di dispositivi usati per estrarli per informazioni e accesso alla rete e quindi utilizzare le informazioni stesse o rivenderle. I ricercatori ESET affermano di aver discusso se pubblicare le loro scoperte, perché non volevano dare nuove idee ai criminali informatici, ma hanno concluso che la sensibilizzazione sul problema è più urgente.
“Una delle grandi preoccupazioni che ho è che, se qualcuno malvagio non lo sta facendo, è quasi negligenza degli hacker, perché sarebbe così facile e ovvio”, dice Camp.
Diciotto router sono un minuscolo campione dei milioni di dispositivi di rete aziendali che circolano in tutto il mondo sul mercato della rivendita, ma anche altri ricercatori affermano di aver riscontrato ripetutamente gli stessi problemi nel loro lavoro.
“Abbiamo acquistato tutti i tipi di dispositivi incorporati online su eBay e altri venditori di seconda mano, e abbiamo visto molti che non sono stati cancellati digitalmente”, afferma Wyatt Ford, responsabile tecnico di Red Balloon Security, un Internet delle cose impresa di sicurezza. “Questi dispositivi possono contenere quantità di informazioni che possono essere utilizzate da malintenzionati per prendere di mira ed eseguire attacchi”.
Come nei risultati di ESET, Ford afferma che i ricercatori di Red Balloon hanno trovato password e altre credenziali e informazioni di identificazione personale. Alcuni dati come nomi utente e file di configurazione sono solitamente in chiaro e facilmente accessibili, mentre le password e i file di configurazione sono spesso protetti perché sono archiviati come hash crittografici codificati. Ma Ford sottolinea che anche i dati con hash sono ancora potenzialmente a rischio.
“Abbiamo preso gli hash delle password trovati su un dispositivo e li abbiamo decifrati offline: rimarrai sorpreso da quante persone basano ancora le loro password sui loro gatti”, afferma. “E anche cose che sembrano innocue come il codice sorgente, la cronologia dei commit, le configurazioni di rete, le regole di routing, eccetera, possono essere utilizzate per saperne di più su un’organizzazione, le sue persone e la sua topologia di rete”.
I ricercatori ESET sottolineano che le organizzazioni potrebbero pensare di essere responsabili stipulando contratti con società di gestione dei dispositivi esterne. società di smaltimento dei rifiuti elettronici o persino servizi di sanificazione dei dispositivi che affermano di pulire grandi lotti di dispositivi aziendali per la rivendita. Ma in pratica, queste terze parti potrebbero non fare ciò che affermano. E Camp rileva inoltre che più organizzazioni potrebbero trarre vantaggio dalla crittografia e da altre funzionalità di sicurezza già offerte dai router tradizionali per mitigare le conseguenze se i dispositivi che non sono stati cancellati vengono lasciati liberi nel mondo.
Camp e i suoi colleghi hanno cercato di contattare i vecchi proprietari dei router usati che avevano acquistato per avvertirli che i loro dispositivi erano ora allo stato brado a vomitare i loro dati. Alcuni erano grati per le informazioni, ma altri sembravano ignorare gli avvertimenti o non offrivano alcun meccanismo attraverso il quale i ricercatori potessero segnalare i risultati della sicurezza.
“Abbiamo utilizzato canali affidabili che avevamo con alcune aziende, ma poi abbiamo scoperto che molte altre aziende sono molto più difficili da ottenere”, afferma Camp. “In modo spaventoso.”
