Bedrijfsrouters die op de occasionmarkt belanden, bevatten regelmatig data en zelfs bedrijfsgeheimen. De data op die hardware zijn dus lang niet altijd gewist, waarschuwt ict-beveiliger Eset.
Eset bekeek de configuratiegegevens van zestien verschillende routers op de tweedehandsmarkt en vond bij meer dan de helft van de apparaten gevoelige bedrijfsdata. Op negen toestellen, waarvan de volledige configuratiedata beschikbaar was, werden klantgegevens, data over netwerkverbindingen met derden en inloggegevens gevonden.
Alle negen toestellen beschikten over één of meer ipsec- of vpn-referentie of gehashte rootwachtwoorden. Ook bevatte deze apparatuur voldoende gegevens om de vorige eigenaar of exploitant te identificeren. Eset-onderzoeker Cameron Camp, die het project leidde, noemt de potentiële impact van zijn bevindingen ‘bijzonder zorgwekkend’, de uitkomst zou volgens hem een wake-upcall moeten zijn.
Tokens
Eset-beveiligingsonderzoeker Camp: ‘Je zou verwachten dat middelgrote tot grote bedrijven een reeks strikte beveiligingsprocessen hebben, maar we vonden het tegenovergestelde.’ Volgens hem moeten bedrijven en overheden zich meer bewust zijn van wat er achterblijft op de apparatuur. Zeker nu blijkt dat die data in veel gevallen niet beperkt blijft tot kernnetwerkinformatie, maar ook toepassingsgegevens, bedrijfsreferenties en informatie over partners, leveranciers en klanten bevat.
Door zich voor te doen als een vertrouwde partij kunnen cybercriminelen misdrijven plegen. Eset ziet dat aanvallers met de gegevens op de routers vertrouwde partijen kunnen nabootsen. Zonder dat anderen er erg in hebben, kan met certificaten en cryptografische tokens die op de toestellen staan overtuigend een aanval worden gepleegd. Vaak is het mogelijk bedrijfsgeheimen over te hevelen doordat slachtoffers langere tijd niet op de hoogte zijn dat een vertrouwde partij in feite een groep cybercriminelen is, legt Eset uit.
In Nederland
Organisaties recycleren verouderde technologie vaak via externe bedrijven. Deze zijn belast met het verifiëren van de veilige vernietiging of recycling en de verwijdering van de gegevens. Eset dat het onderzoek in de VS uitvoerde, wijst op de normen van standaardisatie-instituut Nist voor het opschonen van apparatuur.
Ook roepen ze organisaties die apparatuur vernietigen of doorverkopen op om hun processen onder de loep te nemen en ervoor te zorgen dat ze voldoen aan die normen.
In Nederland zit het opschonen van de data op tweedehandshardware vaak in het dienstenaanbod van de opkoper, verwerker of handelaar. Het is een gecertificeerd proces waarbij opkopers tekenen voor het verwijderen van de gegevens. Zo biedt veilinghuis Troostwijk, naast het verwijderen van de softwareprogramma’s, aan om gegevens op computerapparatuur te wissen. Dat gebeurt met speciale software. Ook kan in samenspraak worden besloten om de harde schijf er uit te halen en die bij een derde partij te laten vernietigen.
Het verbaast me niet dat velen er niet bij stilstaan dat routers voor hackers interessante gegevens opslaan. Ik verwacht dat men de gegevens op bijv. professionele printers / copiers met uitgebreide functionaliteit net zo vaak over het hoofd ziet.
Het minste wat je kan doen is het resetten van de router (en het standaardwachtwoord weer instellen), eventueel de firmware updaten (wat je al eerder had moeten doen), de configuratiebestanden opschonen / verwijderen en dan testen of je acties goed zijn uitgevoerd.
Nu heb je routers en routers. De mogelijkheid van grote lekken zit juist bij de snelle professionele routers met uitgebreide mogelijkheden, omdat die veel data opslaan die toegang tot netwerken geven en informatie kunnen bevatten over de opbouw van het netwerk. Het rapport van Eset gaat over dit type routers. Die routers worden beheert door professionals. Het management moet de beheerders de mogelijkheid geven om de routers op te schonen en op virussen te controleren voordat ze worden afgevoerd. En daar gaat het wel eens mis. Nu ben ik van mening dat een goede professional die mogelijkheid moet afdwingen, want de algemene leiding kan de gevolgen van niet opschonen niet overzien. E.e.a. kan ook misgaan als apparatuur vanwege on-site garantie wordt vervangen. Dat is vaak haastwerk.
Je kan het opschonen aan professionele brokers van 2e hands apparatuur overlaten. Alleen een VIHB-registratie voldoet niet. Het voldoen aan de WEEELABEX kwaliteitsstandaard is ook belangrijk. De aangehaalde normen van standaardisatie-instituut Nist voor het opschonen zijn te vinden op https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf.
Het rapport van Eset is te vinden op https://www.welivesecurity.com/wp-content/uploads/2023/04/used_routers_corporate_secrets.pdf.