01.09.2017

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

В конце августа зарубежные ИБ – специалисты обнаружили публикацию с крупным списком учетных данных для различных IoT – устройств, содержащим IP – адреса устройств, логины и пароли. В большинстве случаев это были учетные данные по умолчанию, то есть admin:admin, root:root и так далее. Был составлен следующий «рейтинг» паролей, которые чаще всего использовались в устройствах: admin - 4621 123456 - 698 12345 - 575 xc3511 - 530 GMB182 - 495 Zte521 - 415 Password - 399 oelinux123 - 385 jauntech - 344 1234 – 341 Все приведенные учетные данные, кроме GMB182, являются паролями по умолчанию для различных устройств. Эксперты полагают, что списком много месяцев пользовались преступники, управляющие IoT – ботнетами. Так, 143 из 144 пар логин-пароль являлись известными дефолтными комбинациями, а 60 из них уже использовались известным вредоносным ботнетом Mirai. Известно, что используя главным образом уязвимости в IP-камерах, видеорегистраторах и маршрутизаторах, ботнеты берут устройства под свой контроль и в дальнейшем используют для вредоносных действий, например, для осуществления масштабных DDoS-атак. Скомпрометированная техника также может быть использована для сканирования интернета на предмет устройств с аналогичными уязвимостями для последующего присоединения их к ботнету. Согласно недавним исследованиям, в мире насчитывается около 7,5 миллионов потенциально уязвимых камер и около 4 миллионов маршрутизаторов. В связи с этими событиями декан института SANS Йоханнес Б. Ульрих решил провести эксперимент и намеренно подключил к Сети незащищенный видеорегистратор, записывая все попытки входа в систему в течение двух дней. Устройство использовало одно из опубликованных в списке сочетаний логина и пароля, и в течение 45 часов было зафиксировано в общей сложности 1254 попытки входа с разных IP-адресов, т.е. попытка авторизации совершалась каждые 2 минуты с использованием скомпрометированных учетных данных. Позднее Ульрих с помощью поисковика Shodan получил информацию о 592 атакующих устройствах и обнаружил, что в основном атаки проводились устройствами от производителей TP-Link, AvTech, Synology и D-Link, а также отметил схожесть действий атакующих с поведением ботнета Mirai. Эксперты ФГУП «ЗащитаИнфоТранс» отмечают, что проблема уязвимости устройств IoT актуальна в отношении информационных систем транспортной отрасли. К таким устройствам могут быть отнесены устройства телеметрии, используемые для мониторинга транспортных средств, в том числе в системе ЭРА-ГЛОНАСС, системы видеонаблюдения, устанавливаемые в аэропортах, на вокзалах и других объектах транспортной инфраструктуры, а также портативные видеорегистраторы и многое другое. Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют не использовать легкоугадываемые и стандартные пароли устройств и следовать следующим требованиям при выборе пароля: · в пароле не должна использоваться персональная информация, легкоугадываемые и повторяющиеся последовательности символов, последовательности символов, совпадающие с ранее использовавшимися паролями; · пароль должен иметь длину не менее восьми символов, в состав которых должны входить буквы латинского алфавита в верхнем и нижнем регистрах, цифры и специальные знаки; · пароли должны меняться на регулярной основе не реже 1 раза в 90 дней; · все начальные пароли, установленные производителями устройств, должны быть немедленно изменены при начале использования устройства.