ptsecurity 5 окт 2016 в 11:27

Проблема “admin:password”: стандартные пароли помогли создать ботнет из почти 400 000 IoT-устройств

3 мин

26K

Блог компании Positive TechnologiesИнформационная безопасность*

+16

Комментарии 21

SkyHunter 5 окт 2016 в 12:54

А что это за пароль такой «стандартный» — «xc3511»?

spopovru 5 окт 2016 в 13:03

Пароль производителя на некоторые IP-камеры.

erlyvideo 5 окт 2016 в 13:04

блин, такую тему спалили

s_berez 5 окт 2016 в 13:16

Тема отнюдь не нова. На самом хабре уже не раз всплывали подобные темы. Тем не менее актуальности ей это не убавит ни на грамм, даже через 10 лет. Подобный ботнет наверняка верхушка айсберга, в реальности их должно быть больше.

erlyvideo 5 окт 2016 в 13:32

для начала нет связи с хозяевами устройств, а значит ничего не поменяется. Не видно причин, почему ботнет должен выключиться.

s_berez 5 окт 2016 в 13:32

О, вот о том и речь :)

s_berez 5 окт 2016 в 13:12

Интересно увидеть бы результаты на круговой диаграмме, чтобы понять какие самые популярные и сколько это в реальных штуках

OtshelnikFm 5 окт 2016 в 14:01

В одной организации, которой наша компания производила установку системы видеонаблюдения в лице меня, я почти получил по «шапке» за то, что вписал нестандартный пароль (типа z$fG54#g7MqpT). Основная проблема как выяснилось — неудобно запоминать и вводить его. Я конечно объяснил все популярно — они были подключены к интернету. Потом общался с шефом по этому поводу и своей позиции я не поменял.

Из личных наблюдений — юзеру это удобно. Неудобно это моему напарнику — когда меня нет и он на объекте, а базу не синхронизировал. Сейчас я ушел от них и почти уверен что они поменяют на простые пароли

Сам использую keePass, но локально. Не доверяю его облаку. Только на флешке, на пк и внешнем резервном винте.

safari2012 5 окт 2016 в 14:24

А случайные парольные фразы не пробовали? Очень удобно и запоминается легко.

OtshelnikFm 5 окт 2016 в 14:30

нет

roboter 5 окт 2016 в 14:28

тут всё не так однозначно,

нестандартный пароль (типа z$fG54#g7MqpT)

будет распечатан и приклеен на монитор,
лучше длинный но легко запоминающийся
Password Strength

OtshelnikFm 5 окт 2016 в 14:36

Будет приклеен на монитор. Возможно под клаву положат. Но точно его нигде больше не будут использовать.
Идею с фразой могут начать использовать как пароль для почты, банка и т.п. Причем с именно этой фразой

Semenar 5 окт 2016 в 23:57

Нет, всё верно. 11 бит на слово (распространённых слов у нас не так уж и много), 4 слова — получаем 2^44.

Semenar 6 окт 2016 в 00:02

Извиняюсь, промазал веткой — почему-то из приложения Хабра для мобильных устройств предлагается отвечать на предыдущий комментарий.

rumkin 5 окт 2016 в 16:09

2^44 это если символы произвольные, а когда словарные слова, то сложность снижается. Так что все равно нужны случайные элементы, например: 2 correct horses 1 battery staple #.

Но рано или поздно все равно начинаешь путаться.

erlyvideo 5 окт 2016 в 15:17

выход очень простой: двигаться в сторону отсутствия таких девайсов в интернете.

Облака типа нашего или только внутренний доступ к камерам.

НЛО прилетело и опубликовало эту надпись здесь

safari2012 5 окт 2016 в 14:22

А как же root/alpine?

severyan 23 авг 2021 в 11:50

> И никаких хранилищ паролей в облаках
А как же синхронизировать базы KeePass?

barbadian 23 авг 2021 в 11:51

1) % джейлбрейкнутых iOs девайсов сейчас невелик;
2) Напрямую к ним не добраться — ОПСОСы не дают белых IP по 3G\4G, а по wifi тоже прямого доступа к ним нет — вряд ли кто-то позаботился о переброске портов.

navion 5 окт 2016 в 22:42

Благодаря стандартным паролям можно устроить «дискотеку в датацентре» — как-то полез искать обновление прошивки, а Гугол вместо неё выдал веб-интерфейсы бесперебойников.

На письма для security и postmaster по домену из WHOIS ответили все, кроме корейского провайдера с ящиком на 50 кВт:

Eaton 9395

Зарегистрируйтесь на Хабре, чтобы оставить комментарий