เทคโนโลยีดิจิตอลได้เปิดโลกแห่งโซลูชั่นสำหรับธุรกิจขนาดเล็กด้วยการนำเสนอระดับประสิทธิภาพที่เพิ่มขึ้นทั่วกระดาน แต่มันยังแนะนำภัยคุกคามที่พวกเขาไม่เคยสัมผัสมาก่อน
การศึกษาล่าสุดที่เผยแพร่โดย SEC Consult ซึ่งเป็นผู้ให้บริการด้านความปลอดภัยของแอพพลิเคชั่นระดับโลกและการให้คำปรึกษาด้านความปลอดภัยของข้อมูลได้เปิดเผยภัยคุกคามใหม่ดังกล่าว SEC Consult รายงานเมื่อเร็ว ๆ นี้ว่าแนวทางปฏิบัติในการแบ่งปันใบรับรองเซิร์ฟเวอร์ HTTPS และกุญแจ Secure Shell Host (SSH) ทำให้ธุรกิจขนาดเล็กจำนวนมากตกอยู่ในความเสี่ยง นี่คือหลังจากที่หลายคนบอกว่าเปลี่ยนจาก HTTP เป็น HTTPS จะให้ความปลอดภัยที่ดีขึ้นสำหรับเว็บไซต์ของพวกเขา
$config[code] not foundคำอธิบายสั้น ๆ ของ
Hyper Text Transfer Protocol Secure (HTTPS) เข้ารหัสและถอดรหัสการร้องขอหน้าผู้ใช้เพื่อป้องกันการดักฟังและการโจมตีแบบ Man-in-the-middle เนื่องจากการสื่อสารที่ส่งผ่านการเชื่อมต่อ HTTP ปกติเป็น 'ข้อความธรรมดา' พวกเขาสามารถอ่านได้โดยแฮกเกอร์ในขณะที่ข้อความกำลังเดินทางระหว่างเบราว์เซอร์ของคุณและเว็บไซต์ เมื่อใช้ HTTPS การสื่อสารจะถูกเข้ารหัสและแฮกเกอร์ไม่สามารถเชื่อมต่อได้
นั่นคือวิธีการทำงาน แต่ถ้าใบรับรอง HTTPS และคีย์ SSH มีการใช้ร่วมกันโดยใช้รหัสเดิมซ้ำไปซ้ำมาในที่สุดก็มีคนคิดออกและอ่านการสื่อสาร
SEC Consult วิเคราะห์เฟิร์มแวร์ของอุปกรณ์ฝังตัวมากกว่า 4,000 แห่งจากผู้จำหน่าย 70 รายโดยดูที่คีย์เข้ารหัสซึ่งรวมถึงเราเตอร์โมเด็มกล้อง IP โทรศัพท์ VoIP อุปกรณ์เก็บข้อมูลเครือข่ายเกตเวย์อินเทอร์เน็ตและอื่น ๆ มีกุญแจสาธารณะและส่วนตัวรวมถึงใบรับรองในภาพเฟิร์มแวร์
บริษัท เปิดเผยคีย์ส่วนตัวที่เป็นเอกลักษณ์มากกว่า 580 รายการจากอุปกรณ์ที่แยกออกมา จากนั้นนักวิจัยได้ทำการเชื่อมโยงคีย์จากการสแกนที่เปิดเผยต่อสาธารณชนบนอินเทอร์เน็ตซึ่งทำให้พวกเขาค้นพบใบรับรอง 150 รายการสำหรับโฮสต์ HTTPS 3.2 ล้านใบ นั่นแปลเป็นเก้าเปอร์เซ็นต์ของโฮสต์ HTTPS ทั้งหมดบนเว็บ นักวิจัยค้นพบคีย์โฮสต์ SSH 80 ตัวหรือมากกว่าหกเปอร์เซ็นต์ของโฮสต์เชลล์ที่ปลอดภัยทั้งหมดบนเว็บรวมเป็นจำนวน 0.9 ล้านโฮสต์
ที่ออกมาอย่างน้อย 230 ปุ่มที่มีการใช้งานอย่างแข็งขันโดยอุปกรณ์มากกว่า 4 ล้านเครื่อง ด้วยอุปกรณ์จำนวนมากจึงไม่น่าแปลกใจที่ผู้ผลิตฮาร์ดแวร์ชั้นนำบางรายในโลกจะได้รับผลกระทบจากความผิดพลาดนี้
บาง บริษัท ระบุว่ารวมถึง Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital และอื่น ๆ อีกมากมายรายงานกล่าว
เนื่องจากสิ่งนี้อยู่ในด้านฮาร์ดแวร์ของผลิตภัณฑ์ผู้ขายจึงต้องดำเนินการแก้ไข ตาม Forbes ผู้ค้าหกราย ได้แก่ Cisco, ZTE, ZyXEL, Technicolor, TrendNet และ Unify ได้ยืนยันการแก้ไขแล้ว แต่สิ่งนี้มีตัวเลือกน้อยมากสำหรับธุรกิจขนาดเล็กที่ใช้อุปกรณ์ที่ได้รับผลกระทบ สิ่งที่พวกเขาทำได้คือรอแพตช์จาก บริษัท ที่สร้างผลิตภัณฑ์
อุปกรณ์บางอย่างไม่อนุญาตให้เปลี่ยนคีย์และใบรับรองซึ่งจะทำให้เรื่องยุ่งยากมากขึ้น ก.ล.ต. ที่ปรึกษากล่าวว่าจะปล่อยใบรับรองที่ระบุและคีย์ส่วนตัวทั้งหมดในไม่ช้า ในระหว่างนี้คุณสามารถไปที่เว็บไซต์ของ บริษัท และอ่านรายงานและตรวจสอบว่าธุรกิจขนาดเล็กของคุณใช้ผลิตภัณฑ์จากรายการ บริษัท หรือไม่
https ถ่ายผ่าน Shutterstock
1
