Da Wired.it :
Anche i dettagli sul funzionamento di una rete aziendale e sulla struttura digitale di un’organizzazione sono estremamente utili per la raccolta di informazioni prima del lancio di un attacco ransomware o per una campagna di spionaggio. I router, per esempio, possono rivelare che una particolare organizzazione utilizza versioni obsolete di applicazioni o sistemi operativi che contengono vulnerabilità sfruttabili, regalando ai cybercriminali una mappa delle possibili strategie di attacco. Su alcuni router i ricercatori hanno persino trovato dati sulla sicurezza fisica degli uffici dei precedenti proprietari.
Dal momento che le apparecchiature di seconda mano vengono vendute a un prezzo scontato, potenzialmente i criminali informatici potrebbero acquistarle in massa per estrarre informazioni utili e poi sfruttarle o rivenderle. I ricercatori di Eset riportano di aver discusso dell’opportunità di non rendere pubbliche le loro scoperte per non rischiare di dare nuove idee ai cybercriminali, concludendo poi che sarebbe stato più importante sensibilizzare il pubblico sul problema.
E se da una parte è vero che diciotto router sono un campione molto limitato confrontato ai milioni di dispositivi di rete aziendali che circolano in tutto il mondo sul mercato di seconda mano, anche altri ricercatori affermano di aver riscontrato ripetutamente gli stessi problemi. “Abbiamo acquistato ogni tipo di dispositivo embedded su eBay e su altri rivenditori di articoli di seconda mano e abbiamo visti che molti non erano stati ripuliti – racconta Wyatt Ford, engineering manager della società di sicurezza Red Balloon Security –. Questi dispositivi possono contenere una marea di informazioni che possono essere utilizzate dai attori malintenzionati per pianificare e portare a termine gli attacchi“.
Ford afferma che i ricercatori di Red Balloon, esattamente come quelli di Eset, hanno trovato password, credenziali e altre informazioni di identificazione personale. Alcuni dati, come i nomi utente e i file di configurazione, sono solitamente in chiaro e facilmente accessibili, a differenza delle password e dei file di configurazione, che sono spesso protetti (ma comunque potenzialmente a rischio).
“Abbiamo preso gli hash delle password trovate su un dispositivo e li abbiamo decifrati offline: sareste sorpresi di sapere quante persone basano ancora le loro password sul nome del proprio gatto – racconta Ford –. Anche cose apparentemente innocue. come il codice sorgente, la cronologia dei commit, le configurazioni di rete, le regole di routing ecc., possono essere utilizzate per saperne di più su un’organizzazione, le sue persone e la topologia della sua rete“.
I ricercatori di Eset sottolineano che le organizzazioni possono pensare che sia sufficiente stipulare contratti con società esterne che si occupano di gestione dei dispositivi, aziende di smaltimento dei rifiuti elettronici o persino servizi di sanificazione dei dispositivi. Nella pratica, però, queste terze parti potrebbero non fare quello che dichiarano. Inoltre, Camp osserva che un maggior numero di organizzazioni potrebbe sfruttare la crittografia e altre funzioni di sicurezza già offerte dai router tradizionali per minimizzare eventuali conseguenze negative.
Camp e i suoi colleghi hanno cercato di contattare i vecchi proprietari dei router usati acquistati nell’ambito della ricerca per avvertirli che i loro vecchi dispositivi contenevano ancora i loro dati. Alcune organizzazioni hanno apprezzato, mentre altre sembravano ignorare gli avvertimenti o non hanno indicato ai ricercatori un meccanismo per segnalare le loro scoperte. “Abbiamo usato i canali di fiducia che avevamo con alcune aziende, ma poi abbiamo scoperto che parecchie altre sono molto più difficili da contattare – commenta Camp –. È una cosa spaventosa“.