فتحت التكنولوجيا الرقمية عالما من الحلول للشركات الصغيرة من خلال توفير مستويات أعلى من الكفاءة في جميع المجالات. لكنها طرحت أيضاً تهديدات لم تكن قد تعرضت لها من قبل.
كشفت دراسة حديثة أصدرتها SEC Consult ، وهي شركة دولية تقدم خدمات أمن التطبيقات واستشارات أمن المعلومات ، عن تهديد جديد واحد على الأقل. أشارت SEC Consult مؤخراً إلى أن ممارسة مشاركة نفس شهادات خادم HTTPS ومفاتيح Secure Shell Host (SSH) قد عرضت عدداً من الشركات الصغيرة للخطر. هذا بعد أن تم إخبار العديد من المتغير من HTTP إلى HTTPS من شأنه توفير أمان أفضل لمواقع الويب الخاصة بهم.
$config[code] not foundشرح موجز لـ
يقوم بروتوكول Hyper Text Transfer Secure (HTTPS) بتشفير وفك تشفير طلبات صفحة المستخدم للحماية من هجمات التنصت وهجمات الرجل في الوسط. نظرًا لأن الاتصالات المرسلة عبر اتصالات HTTP العادية هي "نص عادي" ، يمكن قراءتها بواسطة المتسللين بينما تنتقل الرسائل بين متصفحك وموقع الويب. باستخدام HTTPS ، يتم تشفير الاتصال ولا يستطيع الهاكر اختراق الاتصال.
هذه هي الطريقة التي من المفترض أن تعمل بها ، ولكن إذا تمت مشاركة شهادة HTTPS ومفاتيح SSH باستخدام نفس الكلمات مرارًا وتكرارًا ، فقد يتمكن شخص ما من اكتشافها وقراءة الرسائل.
قامت شركة SEC Consult بتحليل البرامج الثابتة لأكثر من 4000 جهاز مضمن من 70 بائعاً من خلال النظر إلى مفاتيح التشفير ، والتي شملت الموجهات وأجهزة المودم وكاميرات IP وهواتف VoIP وأجهزة تخزين الشبكة وبوابات الإنترنت وغيرها. كانت هناك مفاتيح عامة وخاصة وكذلك شهادات في صور البرامج الثابتة.
كشفت الشركة عن أكثر من 580 من المفاتيح الخاصة الفريدة من الأجهزة التي تم اختيارها. ثم ربط الباحثون المفاتيح من عمليات الفحص التي كانت متاحة للجمهور على الإنترنت ، والتي أدت بهم إلى اكتشاف 150 شهادة لـ 3.2 مليون مضيف HTTPS. يترجم ذلك إلى تسعة بالمائة من جميع مضيفي HTTPS على الويب. كما اكتشف الباحثون 80 مفتاح مضيف لـ SSH ، أو أكثر من ستة في المائة من جميع مضيفات shell الآمنة على الويب التي يبلغ مجموعها 0.9 مليون مضيف.
يخرج هذا إلى 230 مفتاحًا على الأقل يتم استخدامها بشكل نشط من قبل أكثر من 4 ملايين جهاز. مع العديد من الأجهزة ، لا ينبغي أن يكون مفاجئًا أن تتأثر بعض الشركات الرائدة في صناعة الأجهزة في هذا العائق.
ومن بين الشركات التي تم تحديدها شركة Alcatel-Lucent ، و Cisco ، و General Electric (GE) ، و Huawei ، و Motorola ، و Netgear ، و Seagate ، و Vodafone ، و Western Digital وغيرها الكثير ، كما يقول التقرير.
نظرًا لوجود جانب الأجهزة في المنتجات ، يتعين على البائعين تنفيذ الإصلاحات. ووفقًا لشركة Forbes ، فإن ستة بائعين - Cisco و ZTE و ZyXEL و Technicolor و TrendNet و Unify - أكدوا أن هناك إصلاحات قادمة. ولكن هذا يترك القليل من الخيارات للشركات الصغيرة التي تستخدم الأجهزة المتأثرة. كل ما يمكنهم فعله هو انتظار التصحيح من الشركة التي صنعت المنتج.
لا تسمح بعض الأجهزة بتغيير المفاتيح والشهادات ، مما يزيد من تعقيد الأمور.قالت شركة SEC Consult إنها ستفرج عن جميع الشهادات والمفاتيح الخاصة التي تم تحديدها في وقت قريب. في غضون ذلك ، يمكنك الانتقال إلى موقع الشركة وقراءة التقرير ومعرفة ما إذا كان نشاطك التجاري الصغير يستخدم منتجًا من قائمة الشركات.
https الصور عبر Shutterstock
1
