В начале октября в сети был опубликован код составляющих крупного IoT-ботнета Mirai. Сообщалось, что в ботнет главным образом входят IoT-устройства, в том числе видеокамеры и DVR, а общий его размер на пике достигал почти 400 000 девайсов, c помощью которых злоумышленники могут осуществлять крайне мощные DDoS-атаки.
Скриншот форума Hackforums, на котором было опубликовано сообщение со ссылками на исходный код ботнета
Известно как минимум о двух крупных атаках с применением Mirai — сначала жертвой атакующих стал журналист Брайан Кребс, сайт которого подвергся DDoS мощностью около 620 Гбит/с, а затем французский OVH испытал еще более мощный DDoS мощностью 1 Тб/с.
При этом логика распространения ботнета и заражения устройств, проанализированная экспертами Positive Technologies, говорит о том, что целью его создателей были не цифровые камеры или IoT. Вместо этого, они фокусировались на поиске подключенных к интернету устройств с установленными стандартными паролями — в итоге в ботнет легко могли попасть и обычные домашние компьютеры, серверы и роутеры.
Этот факт подтверждается наличием в коде ботнета 61 стандартных паролей, с помощью которых создателям и удалось собрать настолько внушительную сеть зараженных устройств. Логика работы Mirai проста — система сканирует доступные в интернете устройства по telnet, а затем использует пароли из списка для получения доступа к девайсу с помощью брутфорса.
В списке использующихся Mirai стандартных паролей были многие популярные комбинации вроде “admin:admin” или “admin: password”. Как правило подобные пароли используются в устройствах и предполагается их смена пользователем, однако очень часто люди забывают или ленятся сделать это.
Кроме того, в некоторых случаях устройства поставляются с «зашитыми» в коде сервисными учетными записями, к которым у пользователей нет доступа, и которые нигде не документируются. Довольно часто подобные случаи встречаются при релизах продуктов крупных вендоров — по ошибке специалисты компаний могут забыть убрать из выпускаемой версии софта вшитые учетные записи, использовавшиеся для откладки или нужд разработки. Пример подобной ошибки — уязвимость операционной системы NX-OS, использующейся в коммутаторах Cisco Nexus 3000 Series и 3500 Platform. Исследователи обнаружили в ней зашитый пароль для доступа по Telnet с правами root-пользователя, который нельзя отключить.
При этом, сфера интернета вещей (IoT) в настоящий момент активно развивается, и далеко не все компании, занимающиеся созданием подобных продуктов внедрили подходы к безопасности разработки (SSDLC), как это сделали, к примеру, вендоры телеоммуникационного оборудования.
Таким образом специфичность ботнета Mirai заключается лишь в том, что его создатели смогли создать зловредный софт для различных архитектур.
В нашем блоге мы уже рассматривали проблему использования недостаточно сильных или стандартных паролей и публиковали советы по защите учетных записей от ИТ-специалистов и экспертов по безопасности. Ниже — рекомендации по организации работы с паролями от старшего аналитика Positive Technologies Дмитрия Склярова.
Дмитрий Скляров, старший аналитик Positive Technologies
Чтобы пароль остался только Вашим секретом, обычно достаточно следовать трем простым правилам:
- не пытаться придумать короткие легко запоминающиеся пароли;
- не использовать одинаковые пароли на разных ресурсах;
- не вводить пароли на компьютерах, которым нельзя доверять.
Чтобы не запоминать много длинных сложных паролей, можно использовать любой приличный Password Keeper. В нем же можно генерировать случайные пароли заданной стойкости.
Для защиты базы с паролями придется запомнить один надежный пароль. Как вариант – использовать парольную фразу длиной 20-30 символов.
Если Password Keeper поддерживает двухфакторную аутентификацию с помощью смарт-карты или USB Security Token – это повышает уровень безопасности и сужает «окно возможностей» для атакующего.
Разумеется, использование Password Keeper-программ может привести к потере секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать.
Сейчас многие программы для хранения паролей имеют версии под мобильные операционные системы и предлагают синхронизацию через облако. Это, безусловно, удобно, но удобство почти противоречит безопасности…
Мой выбор – KeePass на доверенных компьютерах, база защищена длинной парольной фразой. И никаких хранилищ паролей в облаках или на мобильных устройствах.
Автор: Positive Technologies
