Проблема "admin:password: стандартні паролі допомогли створити ботнет з майже 400 000 IoT-пристроїв

На початку жовтня в мережі був опубліковано код складових великого IoT-ботнету Mirai. Повідомлялося, що в ботнет головним чином входять IoT-пристрої, у тому числі відеокамери і DVR, а загальний його розмір на піку досягав майже 400 000 девайсів, c допомогою яких зловмисники можуть здійснювати вкрай потужні DDoS-атаки.

image

Скріншот форуму Hackforums, на якому було опубліковане повідомлення з посиланнями на вихідний код ботнету

Відомо як мінімум про двох великих атаках із застосуванням Mirai — спочатку жертвою нападу став журналіст Брайан Кребс, сайт якого зазнав DDoS потужністю близько 620 Гбіт/с, а потім французький хостинг-провайдер OVH випробував ще більш потужний DDoS потужністю 1 Тб/с.

При цьому логіка поширення ботнету і зараження пристроїв, проаналізована експертами Positive Technologies, говорить про те, що метою його творців були не цифрові камери або IoT. Замість цього, вони фокусувалися на пошук підключених до інтернету пристроїв із встановленими стандартними паролями — у результаті в ботнет легко могли потрапити і звичайні домашні комп'ютери, сервери та роутери.

Цей факт подтверждается наявністю в коді ботнету 61 стандартних паролів, за допомогою яких творцям вдалося зібрати настільки значну мережу заражених пристроїв. Логіка роботи Mirai проста — система сканує доступні в інтернеті пристрою telnet, а потім використовує паролі зі списку для отримання доступу до девайсу за допомогою брутфорса.

image

У списку використаних Mirai стандартних паролів були багато популярні комбінації кшталт «admin:admin» або «admin: password». Як правило подібні паролі використовуються в пристроях і передбачається їх зміна користувачем, однак дуже часто люди забувають або лінуються зробити це.

Крім того, в деяких випадках пристрої поставляються з «зашитими» у коді сервісними обліковими записами, до яких у користувачів немає доступу, і які ніде не документуються. Досить часто подібні випадки зустрічаються при релізах продуктів великих вендорів — помилково фахівці компаній можуть забути прибрати з випущеної версії софта вшиті облікові записи, що використовувалися для відкладання або потреб розробки. Приклад подібної помилки — вразливість операційної системи NX-OS, яка використовується в комутаторах Cisco Nexus 3000 Series і 3500 Platform. Дослідники виявили в ній зашитий пароль для доступу Telnet з правами root-користувача, який не можна відключити.

При цьому, сфера інтернету речей (IoT) зараз активно розвивається, і далеко не всі компанії, що займаються створенням подібних продуктів впровадили підходи до безпеки розробки (SSDLC), як це зробили, приміром, вендори телеоммуникационного обладнання.

Таким чином специфічність ботнету Mirai полягає лише в тому, що його творці змогли створити шкідливий софт для різних архітектур.

У нашому блозі ми вже розглядали проблему використання недостатньо сильних або стандартних паролів і публікували поради щодо захисту облікових записів від ІТ-фахівців та експертів з безпеки. Нижче — рекомендації щодо організації роботи з паролями від старшого аналітика Positive Technologies Дмитра Склярова.

Дмитро Скляров, старший аналітик Positive Technologies

Щоб пароль залишився тільки Вашим секретом, зазвичай достатньо дотримуватися трьох простих правил:

  • не намагатися придумати короткі, що легко запам'ятовуються паролі;
  • не використовувати однакові паролі на різних ресурсах;
  • не вводити паролі на комп'ютерах, яким не можна довіряти.
Щоб не запам'ятовувати багато довгих складних паролів, можна використовувати будь-який пристойний Password Keeper. В ньому ж можна генерувати випадкові паролі заданої стійкості.

Для захисту бази з паролями доведеться запам'ятати один пароль. Як варіант – використовувати парольну фразу довжиною 20-30 символів.

Якщо Password Keeper підтримує двофакторну аутентифікацію за допомогою смарт-карти або USB Security Token – це підвищує рівень безпеки і звужує «вікно можливостей» для атакуючого.

Зрозуміло, використання Password Keeper-програм може призвести до втрати таємності всіх збережених паролів у разі компрометації майстер-пароля. Цей ризик обов'язково треба враховувати.

Зараз багато програми для зберігання паролів мають версії під мобільні операційні системи і пропонують синхронізацію через хмару. Це, безумовно, зручно, але зручність майже суперечить безпеки…

Мій вибір – KeePass на довірених комп'ютерах, база захищена довгою парольної фрази. І ніяких сховищ паролів в хмарах або на мобільних пристроях.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.