Birçok iş yeri ortamında artık kullanılmayan yönlendiriciler imha edilmeden yenisi ile değiştiriliyor. Ancak atılan yönlendiricinin kaderi, yerini alan yeni cihazın sorunsuz bir şekilde çalışması kadar önemli. Ne yazık, çoğu zaman bunu umursamıyoruz.
ESET araştırma ekibi, bir test ortamı yaratmak için birkaç kullanılmış yönlendirici satın aldı. Satın alınan cihazların birçoğunda daha önce kullanılan yapılandırmalar silinmemişti ve daha da kötüsü cihazlardaki verilerin silinmediğini öğrendiklerinde ekip üyeleri şaşkınlığa uğradı. Çünkü bu veriler ağ yapılandırmalarının ayrıntılarının yanı sıra yönlendiricinin önceki sahiplerini belirlemek için de kullanılabilir.
Bu durum, bizi daha kapsamlı bir test yapmaya, daha fazla kullanılmış cihaz satın almaya ve cihazlarda verilerin hala mevcut olup olmadığını görmek için basit bir metodoloji uygulamaya yöneltti. Toplam 18 yönlendirici alındı, bir tanesi elimize geçtiğinde kullanılmaz durumdaydı, iki tanesi birbirinin aynı olan bir çiftti, bu yüzden onları tek bir birim olarak değerlendirdik. Sonrasında yaptığımız testlerde, cihazların %56’dan fazlasında yapılandırma ayrıntıları ve verileri olduğunu keşfettik.
Cihazlarda bulunan veriler (müşteri bilgileri, yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları, uygulama listeleri ve çok daha fazlası) yanlış ellere geçtiğinde bir siber saldırı başlatmaya yetecek kadardı. Kötü amaçlı bir kişi, şirketin dijital varlıklarının nerede olduğunu ve hangilerinin değerli olabileceğini araştırmak için gereken ilk erişimi elde edebilir. Muhtemelen hepimiz bu senaryoda daha sonra ne olabileceğini biliyoruz.
Son yıllarda kötü amaçlı kişiler, para kazanma amacıyla işletmelere yönelik siber saldırılar gerçekleştirmek için birçok değişik yöntem kullanıyor. Daha gelişmiş ve kalıcı tehdit yöntemiyle saldırı yapmak amacıyla, siber suçluların ağlarda bir giriş noktası ve dayanak noktası oluşturduğunu görüyoruz. Daha sonra, karmaşık veri çıkarma işlemleri için zaman ve kaynak harcıyor, güvenlik önlemlerini atlatmak için yöntemler keşfediyor ve ardından zarar verici bir fidye yazılımı saldırısı veya diğer siber suçlar ile bir işletmeye zarar veriyorlar.
Bir şirket ağına yapılan ilk yetkisiz erişim saldırısının değeri vardır: KELA Siber Suç Önleme tarafından yapılan araştırmaya göre, kurumsal ağlara erişim kimlik bilgileri için mevcut ortalama fiyat 2.800 ABD doları civarındadır. Bu, ağ erişimi sağlayan ve birkaç yüz dolara satın alınan ikinci el bir yönlendiricinin, bir siber suçluya çok fazla çaba harcamadan önemli bir kazanç sağlayabileceği anlamına gelir. Yani kendileri bir siber saldırı başlatmak yerine ele geçirdikleri erişim bilgilerini karanlık bir web pazarında satabilirler.
Bu araştırmanın endişe verici yanlarından biri, verilerin kamu malı olarak erişilebilir olduğu konusunda onları uyarmaya çalıştığımızda şirketlerin aynı fikirde olmamasıydı. Bazı şirketler iletişime açık davrandı, birkaç şirket cihazların güvenli bir şekilde imha edilmesi veya silinmesi için başka şirketlere verildiğini doğruladı ancak belli ki bu süreç gerçekleşmemiş ve diğer şirketler ısrarlı iletişim çabalarımızı görmezden geldi.
Bu araştırmadan alınması gereken ders, şirketinizden çıkan tüm cihazların temizlenmiş olması gerektiği ve şirketinizdeki önemli verilerin halka açık ikinci el donanım pazarlarında satılmadığından emin olmak için temizleme sürecinin onaylanması ve düzenli olarak denetlenmesi gerektiğidir.
Şirketlerin adları ve hangi şirket olduğunu anlamayı sağlayacak veriler dışındaki her ayrıntıyı bir teknik rapor olarak yayınladık. Teknik rapor ayrıca, NIST özel yayını 800.88r1, Ortam Temizleme Yönergeleri’ne yapılan atıflar da dahil olmak üzere, izlenmesi gereken süreçle ilgili bazı talimatları da içeriyor. Hiçbir verinin izinsiz ifşa edilmediğinden emin olmak için ayrıntıları okumanızı ve bulgularımızı kendi kuruluşunuzdaki süreci kontrol etmek için kullanmanızı önemle tavsiye ediyoruz.
