從瞻博到Fortinet再到思科，眾多企業的在售解決方案都包含著硬編碼通行碼，而這或將給企業客戶帶來嚴重的安全風險。

這項常見的開發者漏洞不僅廣泛存在，而且在短時間內似乎也不太可能被徹底解決，Immunity公司威脅情報負責人Alex McGeorge指出。

[[163722]]

遺憾的是，硬編碼密碼屬于一項難以解決的內在問題，McGeorge指出。“目前還沒有一種理想的解決辦法。人們因此而長期受到安全困擾，但其直到當下仍是一項安全難題。”

各大網絡設備制造商已經成為主要目標，各企業開發團隊也在以謹慎的態度保護自己的源代碼——具體來講，這些代碼已經成為其立足的根基。“我們發現思科公司起訴華為竊取其源代碼，并在自有品牌的產品當中加以使用，”McGeorge表示。

這些實例切實證明，各供應商害怕自己親手編寫的源代碼成果被反過來用于同自身競爭。“各供應商不愿讓任何外部人士訪問其源代碼，但由此帶來的結果就是軟件方案面臨嚴重安全風險，”McGeorge解釋稱。

客戶與供應商之間存在著固有的信任關系，而且他們相信供應商不會在產品當中添加后門——不過部分安全從業者已經將此視為一種潛在可能性。“瞻博公司就面臨著這樣的問題。他們無法忽略這種問題的出現機率，”McGeorge指出。

有些人會悄悄利用硬編碼密碼建立一道后門，從而保證其順利登錄并修改部分加密變量。這種作法非常危險，McGeorge表示，“特別是考慮到大家能夠在瞻博的防火墻與其它基礎設施之間發動中間人攻擊，從而對流量進行解密。”

這是一類尚不具備切實解決方案的問題。大多數用戶選擇信任瞻博，并假定這類行為源自他人之手。當然，他們花了幾年時間才最終確定這項結論。

“作為客戶，我們能做的其實非常有限。大家無法審計源代碼，因為其在法律層面上并不需要公開。我們只能要求瞻博方面承擔這項審計成本，或者要求他們將源代碼交由第三方進行審計并公布相關結果，”McGeorge表示。

專門負責軟件評估與代碼審計的白帽安全企業Casaba Security公司聯合創始人Chris Weber指出，已發布產品中的密碼能夠被輕易找到，因為它們會隨產品一同放出。“某些能夠訪問該產品的人完全可以對固件或者軟件進行分解，從而輕松找出密碼內容。這種內置密碼藏得不深，剖析起來也很容易，”Weber指出。

解碼

通過提出以下五個與硬編碼密碼相關的問題向供應商施加壓力，從而實現安全性提升。

1. 該供應商是否聘請了第三方進行源代碼審計?

2. 審計結果是否可供查閱?

3. 該供應商的開發項目安全性如何?

4. 該供應商是否在產品中采用了滲透測試?

5. 該供應商是否有能力在密碼丟失的情況下實現設備恢復?

企業面臨的具體安全風險取決于密碼的使用方式，但如何在發售的軟件中內置密碼，那么其很有可能被惡意人士所發現。

這并非安全領域的新興難題，但出于種種原因其直到今天還在困擾著我們。“在開發流程當中，人們通常以團隊形式工作并需要訪問不同系統并共享系統訪問及憑證，”Weber解釋稱。

開發人員需要共享憑證訪問能力，并利用私有密鑰進行加密與解密，隨后還需要安全地保存并共享這些密碼。另外，該軟件還需要接入其它系統并進行登錄。“當大家將數據發送至數據庫并與之交互，其自然要求使得者進行登錄，”Weber指出。由此帶來的結果是，開發人員往往需要在軟件當中使用硬編碼密碼。

有時候在軟件當中保留密碼還能夠有效韶華軟件開發流程，但事后將其剔除卻難度很高。“這些開發人員可能立足于單一場景，但很快發現另一項需要完成的任務并為其保存密碼，”Weber解釋道。“他們可能認為’也許確實應該采用安全的密碼管理方式，不過我們太忙了，以后再說吧，’”他補充稱。

一般來講，滲透測試能夠發現被寫入至源代碼當中的密碼內容，而Weber指出，“無論這些密碼是有意還是無意被發布出來，這都是種很差的習慣。歸根結底，我們需要立足于安全考慮問題：而安全就是便捷性的對立面。安全就像一道路障，總會橫亙在捷徑前面。”

Palo Alto Networks公司42部門威脅情報主管Ryan Olson指出，設備在企業環境下扮演的角色將決定密碼給安全性造成的風險水平。“最糟糕的場景就是，該設備能夠對網絡內某重要部分進行控制，而該密碼又允許訪問者順利接入設備的全部功能，”Olson表示。

有時候，硬編碼密碼的作用只供初始設置使用。“如果該密碼被用于默認賬戶，那么其基本上就是供第一位安裝該設備的用戶使用，在此之后這位用戶應當將該賬戶移除，”Olson表示。

不過這些默認賬戶往往沒有被正確移除，而Olson建議稱對設備進行審計能夠幫助大家了解這些默認賬戶的存在。“這種作法不一定每次都能起效，因為某些硬編碼密碼存在于代碼本體當中，”Olson表示。

企業能夠采取一定措施以對供應商施加壓力，確保其不會將密碼直接放置在設備當中，并借此保護自身及網絡安全。向供應商詢問其是否有能力在丟失密碼的情況下實現設備恢復非常重要，這能夠幫助我們快速弄清其是否在產品中使用了硬編碼密碼。

Olson指出，“我們最好搞清楚設備中是否存在硬編碼，并確認供應商自身是否清楚這一點。”

由于硬編碼密碼允許我們無需用戶名或者驗證實現設備登錄，因此其往往會帶來多種潛在使用途徑。一部分敏感信息亦可能因此遭到泄露，BeyondTrust公司技術副總裁Morey Haber解釋稱。

“多數情況下，我們意識不到產品當中存在硬編碼密碼——直到出現實際問題。企業需要通過劃分與隔離手段保護這些密碼，從而保證敏感數據不會因此被意外訪問。具體來講，大家可以選擇使用控制平臺與內部密碼安全技術，”Haber建議稱。

除此之外，設備的IP子網亦不應被任何形式的代理管理機制所訪問，Haber提醒道。“舉例來說，作為一家銀行，大家的敏感數據可能與其它信息一道處于同一子網當中，這時我們需要某種形式的代理機制實現安全訪問或者流量過濾。大家可以將風險控制在可接受的范圍內，因為各位需要在訪問這些硬編碼密碼之前進行認證，”Haber解釋稱。

如果供應商將軟件或者固件以外包形式開發，那么其通常不會變更用戶名與密碼內容。Habaer強調稱，在這種情況下，任何企業客戶都應當對此類技術方案進行評估，了解該工具是否允許使用者變更其管理員用戶名或者密碼。如果答案是否定的，那么其應被視為一種高危狀況。

“這時應當果斷考慮其它技術方案，”Haber表示，“而且如果這是目前惟一可用的技術產品，那么確保其中包含RFP或者與供應商進行接洽。大家需要了解自己的設備在管理角度是否具備良好保障。”