硬编码密码仍然是一个关键的安全漏洞

瞻博网络到Fortinet公司和思科公司,很多公司已经被引用了具有包含硬编码的通行码,以市场出货产品,带来安全隐患的企业

作家,CSO |

石材雕刻
托普德斯(创作共用BY或BY-SA)

瞻博网络到Fortinet公司和思科公司,很多公司已经被引用了具有包含硬编码的通行码,这对安全隐患的企业产品出货。

这个共同开发的缺陷是一个普遍的问题是不可能任何时间很快消失,亚历克斯·麦克乔治,威胁情报的头,免疫公司表示,

不幸的是,硬编码密码来解决本质难题,并麦克乔治说,“没有一个很好的解决方案了。人们越来越危及所有的时间。安全是解决一个困难的问题“。

谁做网络设备的人都是大目标和开发企业都非常注意保护自己的源代码,因为这是他们的生命密码。“我们看到,思科起诉华为声称华为窃取了他们的源代码,并在自己的品牌使用它的情况下,”麦克乔治说。

[MORE硬编码的问题:硬编码的凭据将牙科诊所在风险]

这些实例站为例对谁害怕他们的源代码可能对他们使用的供应商。“供应商非常不愿意给他们的源代码别人存取和软件的安全性受到影响的缘故吧,”麦克乔治说。

消费者与厂商固有的信任关系,他们相信厂商不会把在后门,但已经有人把一个在危险偷偷摸摸地保持。“瞻博有这个问题。他们不能够发现或不注意这个问题,麦克乔治说。

有人曾偷偷放在一个后门用硬编码密码,以便他们能够登录并修改了一些加密变量。危险,说麦克乔治,“如果你能在男人Juniper的防火墙和别的东西之间的中间,你可能解密的流量。”

这是没有一个真正实用的解决方案的问题。最给瞻博网络的怀疑,他们没有这样做,并认为别人做的好处。尽管如此,他们还是没能想出解决办法了数年。

“作为一个消费者没有了一大堆你可以做。因为它不是公众不能审计的源代码。你可以要求瞻博网络承担该费用,或者要求他们必须有自己的源代码审计由第三方分享这些成果,”麦克乔治说。

克里斯·韦伯,Casaba安全,他的白帽子公司做了很多的软件保证和代码审计的联合创始人表示,在发布的产品,密码很容易被发现,因为它们附带的产品。“有人谁获得了对产品的访问可以拆卸的固件或软件,方便地找到密码。不容易隐藏,并且容易找到,”韦伯说。

安全风险企业依赖于如何被使用的密码,而是通过航运随软件的密码,它可以被恶意者发现潜在的提高。

这个问题是不是新的,但它也不会消失的原因有很多。“在发展过程中,很多时候,人们在团队中工作,他们需要访问不同的系统和系统和凭据共享访问,”韦伯说。

开发人员需要将证书和用于加密和解密私钥的共享访问,然后他们需要存储和安全地共享这些密码的地方。该软件需要连接到其他系统,他们需要登录。“当你将数据发送到数据库进行交互,它需要登录,”韦伯说。其结果是,开发人员通常硬编码密码进入软件。

有时不得不在软件密码是为了方便起见在开发过程中,但未能将其删除是经常的监督。“这些开发者可以用一个场景开始,然后迅速出现,我们需要为它做和存储密码的另一件事,”韦伯解释说。“他们可能会想‘也许现在是时候看看安全的密码管理,但我们太忙了,’”他继续说。

很多时候,一个渗透测试人员会看到密码写在源代码,韦伯说,“不管他们是有意出版或无意,这是一种不好的习惯。它是安全的事情之一:安全是件麻烦事。路障减缓人失望。”

[MORE ON CSO:硬编码密码暴露了46000视频监控的DVR黑客攻击]

赖恩·奥尔森,威胁情报总监,单元42,帕洛阿尔托网络表示,该设备在企业中扮演的角色将确定风险级别的密码对安全。“最糟糕的情况是,设备具有在网络上的显著部分控制和密码向设备的完全访问权限,”奥尔森说。

有时硬编码密码的目的是为了用于初始设置。“如果密码被用于默认帐户,很可能要通过安装装置的第一人使用,并且在过程结束的那个人应该删除该帐户,”奥尔森说。

这些默认账户并不总是得到去除,奥尔森提出审核您的设备要明白,他们确实有默认帐户。“这将在任何情况下不工作,因为在某些情况下,硬编码密码是在代码本身,”奥尔森说。

企业可以采取一些行动施加压力以供应商,以确保他们不会离开密码的设备,以保护自己和他们的网络。询问供应商是否有办法如果他们输密码会给出是否有硬编码密码一个很好的迹象,以恢复该设备的关键问题。

奥尔森说,“这是更好地知道,这是一个硬编码密码,前期要知道,你的供应商也意识到了密码。

由于硬编码密码的方式进入一个没有用户名或认证的设备,它们代表进入已被硬编码到系统的各种方法。有些可访问可能是敏感的信息,说莫雷哈伯,技术,BeyondTrust的副总裁。

“很多时候,我们并不知道硬编码密码,直到它们被暴露出来。企业需要通过细分来保护这些密码。使敏感数据不可访问。使用控制平台和前提密码安全技术,”哈伯说。

此外,他们的IP子网不应该,除了一些管理形式来代理其使用任何访问,哈伯说。“举个例子,你是一家银行。如果敏感数据是在同一个子网中的一切,你需要某种类型的代理那里有一个安全或过滤。您可以减轻风险降至可接受的水平,因为你访问这些硬编码密码前必须进行身份验证,”哈伯解释。

如果供应商外包软件或固件在幕后,他们通常是不会改变用户名和密码的路线,哈伯说。因此,对于正在评估的技术,如果工具不允许他们更改管理员或密码的用户名的任何公司,这是一个大红旗。

“寻找另一个技术,”哈伯说,”如果这是唯一可用的技术,确保它是包含在任何招标书或供应商发现讨论。你需要知道你的设备是从管理角度看,安全的。”

这个故事,“硬编码密码仍然是一个关键的安全漏洞”最初发表CSO

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
有关:

Kacy Zurkus是CSO贡献的作家涵盖了各种安全和风险的主题。

版权所有©2016Raybet2

IT薪资调查:结果是