Perute bekas sering kali dilengkapi dengan rahasia perusahaan

Anda tahu bahwa Anda harus menghapus smartphone atau laptop computer Anda sebelum menjualnya kembali atau memberikannya kepada sepupu Anda. Lagi pula, ada banyak knowledge pribadi berharga di sana yang seharusnya tetap berada dalam kendali Anda. Bisnis dan institusi lain perlu mengambil pendekatan yang sama, menghapus informasi mereka dari PC, server, dan peralatan jaringan agar tidak jatuh ke tangan yang salah. Namun, pada konferensi keamanan RSA di San Francisco minggu depan, para peneliti dari firma keamanan ESET akan mempresentasikan temuan yang menunjukkan bahwa lebih dari separuh router perusahaan bekas yang mereka beli untuk pengujian dibiarkan utuh sepenuhnya oleh pemilik sebelumnya. Dan perangkat itu penuh dengan informasi jaringan, kredensial, dan knowledge rahasia tentang institusi tempat mereka berada.

Para peneliti membeli 18 router bekas dalam mannequin berbeda yang dibuat oleh tiga vendor utama: Cisco, Fortinet, dan Juniper Networks. Dari mereka, sembilan hanya seperti yang ditinggalkan pemiliknya dan dapat diakses sepenuhnya, sementara hanya lima yang telah dibersihkan dengan benar. Dua dienkripsi, satu mati, dan satu salinan cermin dari perangkat lain.

Kesembilan perangkat yang tidak dilindungi berisi kredensial untuk VPN organisasi, kredensial untuk layanan komunikasi jaringan aman lainnya, atau kata sandi administrator root hash. Dan semuanya menyertakan knowledge pengenal yang cukup untuk menentukan siapa pemilik atau operator router sebelumnya.

Delapan dari sembilan perangkat yang tidak dilindungi termasuk kunci otentikasi router-ke-router dan informasi tentang bagaimana router terhubung ke aplikasi tertentu yang digunakan oleh pemilik sebelumnya. Empat perangkat menampilkan kredensial untuk terhubung ke jaringan organisasi lain—seperti mitra tepercaya, kolaborator, atau pihak ketiga lainnya. Tiga berisi informasi tentang bagaimana suatu entitas dapat terhubung sebagai pihak ketiga ke jaringan pemilik sebelumnya. Dan dua langsung berisi knowledge pelanggan.

“Router inti menyentuh semua hal dalam organisasi, jadi saya tahu semua tentang aplikasi dan karakter organisasi—itu membuatnya sangat, sangat mudah untuk menyamar sebagai organisasi,” kata Cameron Camp, peneliti keamanan ESET yang memimpin proyek tersebut. “Dalam satu kasus, kelompok besar ini memiliki informasi istimewa tentang salah satu kantor akuntan yang sangat besar dan hubungan peering langsung dengan mereka. Dan di situlah bagi saya itu mulai menjadi sangat menakutkan, karena kami adalah peneliti, kami di sini untuk membantu, tetapi di mana router lainnya?”