Комментарии 23
Сколько уже можно называть брутфорс взломом или уязвимостью? Это обычное растяпство админов которым лень сменить пароль.
А продажа устройства с небезопасной конфигурацией?
Оно должно продаваться с дефолтным общим для всех логином\паролем иначе при потере документации нужно будет менять устройство. Этот попросту неудобно. Единственный вариант — вручную менять пароль после монтажа.
Почему единственный? Поставлять устройство в конфигурации, которая явно требует ввода логина/пароля самим пользователем. И без их ввода устройство должно быть безопасно. После ввода — тоже, если не считать слабости юзерского пароля.
То есть разрешать коннект только внутри локалки?
Причем тут это?
Как делают на норм устройствах.
Сначала оно не работает, доступно только в локалке и явно требует зайти по веб-интерфейсу и настроить его.
Заходишь, а там запрос такой: не будете ли любезны указать логин и пароль свой, под которым вы будете всегда заходить?
Уже после того как указали логин/пароль, система должна включить настройку предварительную через «мастер», который изначально настроит максимально безопасно устройство и наглядно объяснит, чем грозит кривая настройка. Потом уже когда все настроено и пользователь в курсе безопасности, устройство выходит в нормальный рабочий режим.
Как делают на норм устройствах.
Сначала оно не работает, доступно только в локалке и явно требует зайти по веб-интерфейсу и настроить его.
Заходишь, а там запрос такой: не будете ли любезны указать логин и пароль свой, под которым вы будете всегда заходить?
Уже после того как указали логин/пароль, система должна включить настройку предварительную через «мастер», который изначально настроит максимально безопасно устройство и наглядно объяснит, чем грозит кривая настройка. Потом уже когда все настроено и пользователь в курсе безопасности, устройство выходит в нормальный рабочий режим.
На некоторых роутерах на наклейке с серийником и тд есть логин/пароль по умолчанию. Они разные у каждого дейвайса. Наклейку на корпусе не потерять.
Использование наклеек снимает проблему потери документации. Рядом с уникальным серийным номером поместить уникальные данные начальной настройки. И это применяется уже давно. Причём такое могут делать не только производители, но и продавцы.
Да что там китайцы, WinXP у многих домашних пользователей, которые приглашали меня на «что-то комп тормозит», была с пустым админским паролем.
Неужели нельзя сделать входное устройство (роутер, или даже что-то до него) с идеальной безопасностью. Чтобы открытая архитектура, постоянно обновляемое ПО и т.д. Соответственно, все, что после него — автоматом защищено безо всяких паролей. Или это утопия?
НЛО прилетело и опубликовало эту надпись здесь
Чтобы открытая архитектура, постоянно обновляемое ПО и т.д.
Это вы сейчас о DD-WRT? Ну да, есть такое, и многие выбрают именно те роутеры, для которых есть готовый dd-wrt.
И да, за роутером до камеры добраться можно только если а) пробросить порты камеры наружу (NAT forward через, например uPnP) или б) взломать сам роутер. При наличии проброса порта безопасноть роутера уже не имеет значения. Пробрасывать по-хорошему надо через SSH. Он и opensource и фиксится довольно регулярно.
В вопросах сетевой безопасности я простой юзер. Ни одной этой аббревиатуры не знаю :)
И что, от проброса портов защиты нет?
Проброс портов делает не злоумышленник, а пользователь, например, чтобы был удаленный доступ к камере.
Вместо проброса портов можно сделать vpn туннель к роутеру. Некоторые (возможно многие) свежие роутеры умеют быть vpn сервером. В моем случае дырявость китайской камеры я компенсировал настройками роутера и vpn сервером. Запретил камере ходить куда либо кроме NTP и DNS серверов и диапазона VPN сети. Никаких китайских облаков и пробросов портов.
Но это решение не из разряда «включил-работает».
Но это решение не из разряда «включил-работает».
«Специалисты по домашней безопасности: десятки тысяч частных домов можно взломать ключом, который хозяева оставляют под ковриком у двери. Очевидно, что производители замков не беспокоятся о безопасности своих изделий должным образом.»
Не совсем корректное сравнение. Ключи (в нормальных замках) от одного замка к другому не подходят, и нет ключа по умолчанию (перекодируемые замки с установочным ключом в расчет не берем). Аналог ситуации с ключами для устройств, это если дефолтные пароли у всех устройств разные и написаны на корпусе (так и ест ьу нормальных производителей), но люди не меняют пароли, и эти бумажки хранят «под ковриком входной двери».
Ну да, Watch Dogs в реальной жизни (нет). Согласен с тем, что лень админов в подавляющем случае приводит к уязвимости.
Вот только хотел написать о дефолтных паролях и вот оно — в статье! Софт бессилен, если юзер — дурак и не заботится о собственной безопасности. :(
хакермены разбушевались
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Специалисты по кибербезопасности: десятки тысяч умных камер можно взломать без особых усилий