Специалисты немецкой компании разработчика антивирусного программного обеспечения Avira провели исследование и выяснили, какие учетные данные на данный момент являются самыми небезопасными при работе с «умными» гаджетами и устройствами IoT. Как оказалось, на первом месте при атаках используются не стандартные admin, p@ssw0rd или 12345, а просто пустые значения логина и пароля.
Специальные сетевые приманки Avira, созданные для поиска новых угроз для «умных» устройств, выявили новые распространенные небезопасные учетные данные — это вообще ничего (пустота в учетках) или использование там пробела.
Для организации сбора информации о возможных небезопасных широко используемых паролях специалисты компании открыли доступ к нескольким фейковым сетевым устройствам-приманкам (honeypots), которые имитировали работу роутеров, сетевых камер, других онлайн-гаджетов и устройств IoT (интернета вещей).
Данный пул устройств был почти сразу атакован различными злоумышленниками и хакерами со всего мира. Они пытались получить доступ к настройкам устройств, вводя разные комбинации логина и пароля.
Таким образом, 5 сентября 2019 года было зафиксировано около 14 125 попыток ввода учетных данных для доступа на устройства-приманки через три наиболее распространенных протокола, используемых в «умных» гаджетах — Telnet, Secure Shell и Android Debug Bridge.
После этого специалисты компании провели сводных анализ комбинаций учетных данных, которые чаще всего использовались для в попытках проникновения на устройства.
«Наиболее часто используемые учетные данные — это незаполненные ячейки, что означает, что злоумышленники просто оставляют пустым имя пользователя и пароль при попытке входа», — заявила аналитик по ИБ Avira Хамидреза Эбтехадж (Hamidreza Ebtehaj). «Это практикуется сейчас даже чаще, чем admin/admin», — дополнила Хамидреза Эбтехадж.
С учетом вышеописанной схемы по сбору данных выяснилось, что атаки с использованием незаполненных ячеек или пробела в комбинации имени пользователя и пароля составляли 25,6% от общего числа, что значительно превосходило другие топовые комбинации учетных данных.
Эта пустота или пробел в попытках использования входа для учеток смогли превзойти долю других учетных данных при попытках проникнуть на устройства IoT по умолчанию, таких как: «root/xc3511» и «default/S2fGqNFs» (25%), «admin/QWestM0dem» и «admin/airlive» (24%), а также широко распространенные ранее учетки типа «admin/админ»,«support/support» и «root/root» (23,4%).
Зачем нужно собирать такие данные о текущих попытках взлома устройств IoT
Атака, проводимая злоумышленниками на доступные «умные» устройства в сети, проходит в два этапа, каждый из которых может быть в значительной степени автоматизированным.
Первый этап — выбор целей для атаки. Для этого злоумышленники могут использовать сканирование IP/портов или слепо задействовать поисковую систему по Интернету вещей Shodan, также они могут получать информацию от других злоумышленников и ботнетов с базами данных уязвимых устройств.
Второй этап — попытка получить доступ и скомпрометировать зловредами идентифицированное устройство. Вот на этом этапе такие устройства-приманки играют свою роль в системе безопасности. В дополнение к сбору учетных данных, используемых при атаке на устройство, приманка также собирает данные о векторах заражения, вредоносных сценариях и вредоносных программах, которые пытаются установить на нее.
На этот раз это не только пользователи оказываются виноваты в такой ситуации
Многие специалисты по ИБ часто критикуют «умные» устройства за их штатную низкую безопасность, тем более, что их пользователи зачастую просто не меняют пароли по умолчанию.
Однако, эта проблема возникает не только из-за неосведомленности пользователей устройств или их неохоте по незнанию изменять настройки безопасности.
«Обычные пользователи таких устройств не понимают этих протоколов и даже не знают, что их устройства могут быть доступны хакерам. Мы не можем ожидать, что пользователи войдут в терминал и изменят конфигурацию и внесут изменения в настройки протоколов, о которых они даже не слышали», — утверждает Хамидреза Эбтехадж.
Таким образом, большая часть ответственности лежит на производителях и разработчиках устройств IoT. Именно им нужно больше уделять внимания разработкам в части безопасности для своей продукции, а не упрощать доступ к ней злоумышленникам.
Во-первых, во многие устройства еще на стадии производства прописываются только определенные учетные данные для пользователя, а способа изменить их нет.
Во-вторых, заводские настройки по умолчанию обычно являются «слабыми» и общеизвестными (с одинаковыми учетными данными по умолчанию для всех пользователей этих устройств).
В-третьих, даже если учетные данные и можно сбросить или изменить, то среднестатистический пользователь вряд ли знает об этом и захочет их изменить, потому что «все и так работает».
В-четвертых, когда у пользователя оказывается в использовании несколько «умных» устройств, то для упрощения их управление и настройки часто используются измененные, но одинаковые учетные данные. А компрометация одного из этих устройств приводит к получению доступа на другие.
Отраслевые соглашения об ИБ-стандартах для устройств IoT только сейчас проходят этапы планирования, оставляя в сети миллионы практически открытых «умных» устройств.
Если вы используете дома или на работе «умные» устройства, то обязательно выполняйте эти пункты при их эксплуатации:
- Измените штатные учетные записи на «очень надежные» для входа в настройки устройства (не используйте одинаковые учетные записи на нескольких устройствах).
- Проверяйте, не сброшены ли по умолчанию настройки ваших устройств или доступ к ним вообще заблокирован.
- Поищите в интернете модели своих устройств, проверьте, не обнаружены ли в них потенциальные уязвимости.
- Проверяйте устройства на наличия обновлений прошивок для исправления любых известных уязвимостей или проблем.
- Сканируйте сеть с устройствами на наличие открытых портов, блокируйте к ним доступ.
