Исследование защищённости доступных в online потребительских интернет-устройств, проведённое компанией Positive Technologies на основе сканирования сети, показало (http://blog.ptsecurity.com/2017/06/practical-ways-to-misuse-...), что 15% пользователей не меняют заданные производителем пароли удалённого доступа к устройствам, таким как беспроводные маршрутизаторы, TV-приставки, устройства IP-телефонии, принтеры и web-камеры. Кроме того, для входа на 10% устройств применялось пять популярных типовых паролей: support/support, admin/admin, admin/0000, user/user и root/12345, что во многом объясняет успешное продвижение сетевых червей, использующих для распространения только подборку самых популярных учётных записей.Например, поражающее клиентские маршрутизаторы вредоносное ПО Mirai (https://www.opennet.ru/opennews/art.shtml?num=45583), использовало для построения ботнета перебор из 62 типовых комбинации логин/пароль. Кроме того, отмечается, что большинство пользователей не заботятся об обновлении прошивок и устройства остаются с неисправленными уязвимостями на всём протяжении жизненного цикла усройства, который в среднем составляет 3-4 года. При рассмотрении открытых сетевых портов, 48% устройств оказались доступны через HTTP, 41% - NetBIOS (137 порт), 28% - telnet, 24% - HTTPS, 23% - SSH, 17% - FTP.
Cотрудники Лаборатории Касперского в дополнение к исследованию Positive Technologies провели оценку степени активности атак на потребительские интернет-устройства, запустив (https://securelist.ru/honeypots-and-the-internet-of-things/3.../) серию подставных хостов (honeypot), симулирующих работу различных незащищённых сетевых устройств. На данные устройства с января ежедневно фиксируются десятки тысяч попыток подбора паролей входа и эксплуатации известных уязвимостей. При этом 85% запросов приходится на протокол telnet и 15% на SSH.
Сканирование сети через такие сервисы, как Shodan и ZoomEye, выявило около 7.5 млн доступных в online IP-камер и DVR-устройств, а также около 4 млн беспроводных маршрутизаторов и модемов, сколько из них не защищены и содержат уязвимости неизвестно. Также фиксируется рост числа образцов вредоносного ПО, пытающегося атаковать IoT-устройства - если в 2015 году коллекция Лаборатории Касперского включала 696 подобных программ, то в 2016 их число возросло до 3219, а в 2017 до 7242.
URL: https://www.bleepingcomputer.com/news/security/15-percent-of.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46725
А как быть с устройствами, которые не дают сменить пароль? Мне попалось в последнее время два роутера, на которых я поменял пароль и после этого не смог войти. Пришлось скидывать на дефолтные настройки, а там admin/admin. Вот что делать? Роутеры брендированные, от провайдера, в поддержке сидят огурцы и на такие сложные вопросы ответить не могут. Вот это уже пипецъ.
Не удивлюсь, если многие сотрудники провайдеров в доле. Этож нужно специально обгадить изкоробочную систему своими модификациями, чтобы пароль нельзя было поменять.
Да скорей просто необразованные
А ещё скорее это защита техников от полных кретинов -- чтобы техник мог зайти на маршрутизатор, а не выслушивал "Ну я там что-то когда-то вводил, но я не помню что и когда".
>защита техников от полных кретиновсамих от себя?
От себя самих, извините :).
>а не выслушивал "Ну я там что-то когда-то вводил, но я не помню что и когда"Т.е. зеркальная ситуация, когда саппорт ни бэ, ни мэ, ни кукареку на вопрос "а какой пароль был на роутере, модель такая-то, версия fw такая-то, достался по договору номер такой-то" лучше? Берёте ответственность на себя, дак отхватывайте по полной, с готовностью ответить на банальные вопросы, вроде пароля на роутере, а по-хорошему ещё и регулярно обновлять прошивку, а не так, что морда на статике прямиком из 2007 с орфографическими ошибками в русской локале, уж не говоря о дырявых версиях upnp, самбы и ядра.
У одного полосатого провайдера в роутерах есть несколько пользователей и тот, который дают юзеру - с обрезанными правами: ну там, вайфайку настроить, тригэ свисток подцепить. Ещё в нём есть канал для внешнего доступа, через который провайдер его обновляет и конфигурирует. В этом случае от кретинов роутер защищён.
> чтобы техник мог зайти на маршрутизатор, а не выслушивал "Ну я там что-то когда-то вводил, но я не помню что и когда".Это чтож за техник такой, который не знает про сброс настроек?
В доле чего? Я так понимаю, что им тупо проще, чтобы пароли были дефолтные и чтобы с их стороны можно было зайти на роутер, потому что основная клиентура такая. Если какой умник сменит пароль, то стройная цепочка ломается. А на безопасность - да болт они забили на МОЮ безопасность, им жопу от кресла лень отрывать.
В оптических терминалах хуавей пароли сменить нельзя штатными средствами, но и в интернет эта морда по умолчанию не смотрит. Единственный выход это перевод роутера в режим бриджа.
> два роутера, на которых я поменял пароль и после этого не смог войти.не смог зайти ты, не смогут зайти и хакеры. это же идеальная защита!
Сменить прошивку на кастом?
Менять устройства либо провайдера.
>Мне попалось в последнее время два роутера, на которых я поменял пароль и после этого не смог войти.Asus + https?
В техподдержку обращаться не пробовали7
Такая же ухня у Comcast'а.
У многих железок прошивка режет длину пароля до 14 символов, вводишь больше (при смене) - пароль меняется, но железка его не принимает, пока не откинешь последние символы (до 14-и знаков).:-) Этим страдают, как минимум ZyXEL и TP-Link, вроде ещё на ASUS-ах встречал.
Я подозревал такое, ещё думал про недопустимые символы, но пробовал разные пароли, сложные, простые, длинные, короткие, с дополнительными символами, без. В любом случае пароль. вроде как, сменяется, но при логине его не принимает. И старый тоже не принимает. Что там поломали, специально или просто обрубки код писали?
Ещё бывает не пропускает некоторые символы при вводе пароля при входе: такой пароль задать можно, а использовать потом нельзя.
Пора бы производителям устройств признать проблему и начать выдавать случайные пароли для каждого выпускаемого экземпляра. Это трудно, но всё-таки технически решаемо.
> Пора бы производителям устройств признать проблему и ...так это не проблема производителя, это проблема юзера. соответственно, производителю и признавать нечего
Есть такое понятие, как защита от дурака.
admin/admin по умолчанию - это проблема производителя, а не пользователя.
изя, пользователю глубоко н@cр@ть какой у него пароль, ему нужен интернет, а не настройки какого-то маршрутизатора. Проблема производителя в том, что эти бараны позиционируют свои устройства как "для домохозяек", чего быть в принципе не должно - каждый должен заниматься своим делом, в том числе и маршрутизаторы настраивать.
Именно. Хоть по месту, хоть удалённо - но настраивать должен либо специалист, либо автоматика. Ну а если уж юзер полез (имеет право, чо) - то это должно быть посложнее, чем тупо вбить дефолтные логин/пароль.
И получить шквал запросов на техподдержку и отказ провайдеров закупать эти устройства?По уму здесь два отдельных случая, для которых должны быть различные решения.
1) для железок предоставляемых и настраиваемых провайдером - соответствующая инфраструктура, в которой у провайдера есть свой "чёрный ход" на устройство с нормальной защитой. У пользователя, в зависимости от ситуации - либо вообще доступа нет, либо уникальные пароли, либо доступ временно открывается по обращению к провайдеру.
2) для самостоятельно установленных железок - там да, уникальные логины/пароли.
не надо уникальных. нужно всего лишь запретить работать устройству пока не сменишь пароль по-умолчанию, а также вводимый пароль должен обладать определенным уровнем сложности.
У меня есть свойство забывать уникальные простые пароли через 5 минут после того, как я их ввёл и меня увлекли другие задачи, требующие немедленного решения. Поэтому я набираю очень сложный буквенно-цифровой пароль, который я физически не в состоянии запомнить и воспроизвести даже под пыткой, копирую в поля ввода пароля, сохраняю его в электронном виде, чтобы можно было скопировать и вставить снова. Но пользователям эту технику не объяснишь - слишком сложно. Поэтому они надеются на свою память и естественно придумывают простые пароли или пользуются одним из трёх ходовых. Идиоты? Не думаю!
1. Сложные пароли в памяти не сохранишь.
2. Список записанных паролей, которые невозможно запомнить, могут похитить.
Дилемма.
Так что со слабыми паролями надо что-то решать. И решение ложится на производителя!
Мы же всё ещё про роутеры говорим? Что мешает сделать по-умолчанию интерфейс типа «мастер настроек» и генерить в нём пароль с рекомендацией записать его на бумажку и приклеить её снизу роутера? Два действия. Проще разве что разрешать вход пользователю под admin:admin только в течение минуты после двойного нажатия на кнопку wps.
Я ведь не один такой умный, что до этого догадался, верно?
всегда ставлю паролем сирийник устройства + мак адрес, если на этикетки указан...
Аналогично.
Очень удобно, взглянул на этикетку и вспомнил пароль.
Добавим ваш вариант в программу подбора пароля, спасибо. Но если при этом вы в пароле делаете столько же ошибок, сколько в вашем сообщении, то его даже вы не подберёте.
Уже есть в германии, там пароль для морды в договор вписывают, а для wifi вообще на задней панели штрих код на 20 цифр - сканируешь и вводишь сразу на телефоне.
Ну ничего удивительного в новости нет.
Абсолютному большинству юзеров главное чтобы интернет работал.
Я удивлён что всего 15, а не к примеру 85%
> Я удивлён что всего 15, а не к примеру 85%Ну так исправь свой пароль на что-то более предсказуемое. Улучши статистику:)
удивлен не меньше, ни один знакомый не айтишник никаких паролей на роутерах-телевизорах-принтерах и тд никогда не менял, максимум - на мобилке (паттерн входа и тп)
15% - это те, что админку наружу выставляют
в исследовании говорится что 15 это среди выставленных наружу
а это потому, что большинство таких устройств блокируют доступ из интернета, что сильно влияет на статистику. вот если бы сканирователи получили полный доступ ко всем этим 192.168.1.1, там бы было 85% (а может и больше)
Его ещё и менять надо? За что деньги плачу?!
На последних роутерах dlink генерят раномный под наклейку.
Ужас. Надо законодательно запретить дефолтные пароли на всех роутерах импортируемых в РФ. Должен приходить сотрудник ФСБ и ставить хороший , годный пароль с высокой энтропией .
> Ужас. Надо законодательно запретить дефолтные пароли на всех роутерах импортируемых в РФ.
> Должен приходить сотрудник ФСБ и ставить хороший , годный пароль
> с высокой энтропией .Всего-то нужно каждому пользователю заиметь цифровой сертификат, подписанный удостоверяющим центром, ФСБ, например. При покупке роутера его нужно будет зарегистрировать в ФСБ: купивший роутер приходит в кабинет на поверку, там проверяют общегражданский паспорт и прошивают в роутер сертификат владельца, тем самым жёстко назначая владельца устройства и активируя роутер.
Пользователь вправе менять разрешённые (в сертификате прописан уровень доступа: товарищмайор, администратор, хакер, программист, пользователь, безграмотный, необучаемый) настройки роутера, авторизовавшись с помощью своего приватного ключа.
Всего 15%?! Чёт не вериться....
я тоже не менял. зачем? угрозы нет когда доступ есть только изнутри сети. могу написать свой ип, логин и пароль от маршрутизатора и ломайте сколько хотите его. один хрен ничего не получится.
> я тоже не менял. зачем? угрозы нет когда доступ есть только изнутри
> сети.Элементарно Ватсон! Заходишь на сайт, а там червь лезет на твой роутер - блага его адрес совсем не секрет. И ву а'ля!