硬编码的密码仍然是一个关键的安全漏洞

从Juniper到Fortinet,再到思科,很多公司都曾将含有硬编码密码的产品推向市场,这给企业带来了安全风险

作家,方案 |

锤头游荡(知识共享)

从Juniper到Fortinet,再到思科,很多公司都被指在产品中使用了硬编码的密码,这给企业带来了安全风险。

豁免公司(Immunity Inc.)的威胁情报负责人亚历克斯·麦克乔治(Alex McGeorge)说,这种常见的开发者缺陷是一个普遍存在的问题,不太可能很快消失。

不幸的是,硬编码的密码是一个本质上很难解决的问题,McGeorge说,“没有很好的解决方案。人们一直在受到影响。安全是一个很难解决的问题。”

制造网络设备的人是大目标,开发公司非常保护他们的源代码,因为那是他们的生命代码。麦克乔治说:“我们看到了思科对华为技术公司提起的诉讼,称华为窃取了他们的源代码,并将其用于自己的品牌。”

[更多硬编码问题:硬编码的凭证使牙科诊所处于危险之中]

对于那些担心自己的源代码会被用来对付自己的供应商来说,这些实例就是一个例子。“供应商非常不愿意让任何人访问他们的源代码,他们的软件的安全因此受到影响,”McGeorge说。

消费者与供应商有一种内在的信任关系,他们相信供应商不会放后门,但有人偷偷放后门的风险仍然存在。朱尼珀有这样的问题。McGeorge说:“他们没有发现或者没有在寻找这个问题。”

有人偷偷地放了一个后门用硬编码的密码,这样他们就可以登录并修改了一些加密变量。McGeorge说,危险在于,“如果你能在Juniper的防火墙和其他东西之间设置人员,你就有可能对通信进行解密。”

这是一个没有实际解决办法的问题。大多数人都认为Juniper没有这么做,并认为是别人做的。尽管如此,他们还是花了好几年时间才弄明白这一点。

“作为消费者,你能做的不多。你不能审计源代码,因为它不是公开的。你可以要求Juniper承担这笔费用,或者要求他们将源代码交由第三方审计,并与他人分享这些结果,”McGeorge说。

Casaba Security的联合创始人克里斯•韦伯(Chris Weber)说,发布产品的密码很容易找到,因为它们是随产品一起发货的。获得该产品使用权的人可以拆卸固件或软件,轻松找到密码。不容易隐藏和发现,”韦伯说。

企业面临的安全风险取决于如何使用密码,但如果将密码与软件一起发送,则被恶意行为者发现的可能性就会加大。

这个问题并不新鲜,但由于许多不同的原因,它也没有消失。“在开发过程中,人们常常在团队中工作,他们需要访问不同的系统,并共享对系统和证书的访问权限,”Weber说。

开发人员需要共享对用于加密和解密的证书和私钥的访问权限,然后他们需要一个安全存储和共享这些密码的地方。该软件需要连接到其他系统,它们需要登录。韦伯说:“当你把数据发送到数据库进行交互时,需要登录。”因此,开发人员通常会将密码硬编码到软件中。

有时候,在软件中设置密码是为了在开发过程中提供方便,但是没有删除密码常常是一个疏忽。韦伯解释说:“这些开发人员可能从一个场景开始,然后很快我们就需要做另一件事,为它存储密码。”“他们可能会想‘也许现在是时候考虑安全密码管理了,但我们太忙了,’”他接着说。

笔测员经常会看到写在源代码中的密码,韦伯说,“无论他们是有意还是无意地公布,这都是一个坏习惯。”这是与安全有关的事情之一:安全是一种不便。一个阻碍人们前进的路障。”

[更多关于中央民政事务处的资料:硬编码的密码暴露了多达46000个视频监控dvr的黑客]

帕洛阿尔托网络公司(Palo Alto Networks)第42单元威胁情报总监瑞安·奥尔森(Ryan Olson)说,该设备在企业中扮演的角色将决定密码对安全构成的风险水平。“最坏的情况是,设备控制了网络的很大一部分,而密码提供了对设备的完全访问,”Olson说。

有时,硬编码的密码是用来进行初始设置的。奥尔森说:“如果这个密码是一个默认账户的密码,那么第一个安装设备的人很可能会使用这个密码,在安装结束时,那个人应该删除这个账户。”

这些默认账户并不总是会被删除,Olson建议对你的设备进行审计,以了解它们是否有默认账户。奥尔森说:“这并不是在所有情况下都有效,因为在某些情况下,硬编码的密码就在代码中。”

企业可以采取一些措施来保护自己和网络,方法是向供应商施压,确保他们不会将密码留在设备中。询问关键问题,如果供应商丢失了密码,他们是否有办法恢复该设备,这将很好地表明是否存在硬编码的密码。

Olson说:“最好事先知道这是一个硬编码的密码,并且知道你的供应商也知道这些密码。

由于硬编码密码是在没有用户名或身份验证的情况下进入设备的一种方式,它们代表了进入硬编码系统的各种方式。BeyondTrust技术公司的副总裁莫雷·哈伯(Morey Haber)说,一些可获取的信息可能是敏感的。

“很多时候,我们并不知道硬编码的密码,直到他们被暴露。企业需要通过分割来保护这些密码。使敏感数据不可访问。使用控制平台和预先设置的密码安全技术。

此外,他们的IP子网不应该被任何东西访问,除了某种形式的管理,他们的使用代理,Haber说。“比如,你是一家银行。如果敏感数据与其他数据在同一子网上,则需要某种类型的代理,以确保安全或过滤。您可以将风险降低到可接受的程度,因为您必须在访问这些硬编码密码之前进行身份验证,”Haber解释道。

如果供应商在幕后外包软件或固件,他们通常不会改变用户名和密码,Haber说。因此,对于任何正在评估技术的公司来说,如果该工具不允许他们更改管理员的用户名或密码,那就是一个大危险信号。

“寻找另一种技术,”Haber说,“如果这是唯一可用的技术,确保在rfp或供应商发现讨论中包含它。你需要知道如何从管理的角度保护你的设备。”

这个故事,“硬编码密码仍然是一个关键的安全漏洞”最初是由发表方案

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对最重要的话题发表评论。
相关:

Kacy Zurkus是CSO的特约作者,涵盖了各种安全和风险主题。

版权©2016足球竞彩网下载

工资调查:结果在