Estrarre un router defunto da un rack per apparecchiature e sostituirlo con un nuovo brillante è probabilmente un evento quotidiano in molti ambienti di rete aziendali. Tuttavia, il destino del router che viene scartato dovrebbe essere altrettanto importante, se non di più, della transizione graduale e dell’implementazione del nuovo kit nel rack. Sfortunatamente, questo sembra spesso non essere il caso.
Quando il team di ricerca ESET ha acquistato alcuni router usati per configurare un ambiente di test, i membri del team sono rimasti scioccati quando hanno scoperto che, in molti casi, le configurazioni utilizzate in precedenza non erano state cancellate… e peggio ancora, i dati sui dispositivi potevano essere utilizzato per identificare i precedenti proprietari insieme ai dettagli delle loro configurazioni di rete.
Questo ci ha portato a condurre un test più approfondito, acquistando dispositivi più usati e adottando una metodologia semplice per vedere se i dati esistevano ancora sui dispositivi. Sono stati acquisiti un totale di 18 router, uno era morto all’arrivo, due erano una coppia con mirroring, quindi li abbiamo contati come una singola unità; dopo questi aggiustamenti, abbiamo scoperto dettagli e dati di configurazione su oltre il 56% dei dispositivi
Nelle mani sbagliate, i dati raccolti dai dispositivi, inclusi i dati dei clienti, le chiavi di autenticazione da router a router, gli elenchi di applicazioni e molto altro, sono sufficienti per lanciare un attacco informatico. Un cattivo attore potrebbe aver ottenuto l’accesso iniziale necessario per iniziare a ricercare dove si trovano le risorse digitali dell’azienda e cosa potrebbe essere prezioso. Probabilmente siamo tutti consapevoli di ciò che verrà dopo in questo scenario.
Il cambiamento negli ultimi anni dei metodi utilizzati dai malintenzionati per condurre attacchi informatici alle imprese a fini di monetizzazione è ben documentato. Il passaggio a uno stile di attacco di minaccia persistente più avanzato ha visto i criminali informatici stabilire un punto di ingresso e un punto d’appoggio nelle reti. Quindi spendono tempo e risorse conducendo sofisticate estrazioni di dati, esplorando metodi per aggirare le misure di sicurezza e infine mettendo in ginocchio un’azienda infliggendo un dannoso attacco ransomware o altre cattiverie informatiche.
Un elemento preoccupante di questa ricerca è stata la mancanza di impegno da parte delle aziende quando abbiamo tentato di avvisarle del problema o dei problemi relativi all’accessibilità dei loro dati di dominio pubblico. Alcuni sono stati ricettivi al contatto, alcuni hanno confermato che i dispositivi erano stati passati alle aziende per la distruzione o la cancellazione sicura – un processo che chiaramente non aveva avuto luogo – e altri hanno semplicemente ignorato i ripetuti tentativi di contatto.
Le lezioni che dovrebbero essere tratte da questa ricerca sono che qualsiasi dispositivo che lascia la tua azienda deve essere stato ripulito e che il processo di pulizia deve essere certificato e controllato regolarmente per garantire che i gioielli della corona della tua azienda non vengano venduti apertamente in hardware pubblico di seconda mano mercati.
OA Point revisiona il tuo hardware e lo smaltisce garantendone la distruzione del dato come da normativa