среда, 1 февраля 2017 г.

17. Практическая безопасность сетей


1.4.2 Самые популярные пароли 2015 года

Как было сказано ранее, в сети Интернет можно найти целые словари наиболее часто используемых паролей. Данная база обновляется каждый год и публикуется так называемый ТОП. Делается это с целью показать, насколько часто и насколько “плохие” пароли мы используем. Ниже представлены 25 самых популярных паролей 2015 года:
123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball
welcome
1234567890
abc123
111111
1qaz2wsx
dragon
master
monkey
letmein
login
princess
qwertyuiop
solo
passw0rd
starwars

Кроме пресловутых последовательностей цифр и популярных слов, можно заметить пароль 1qaz2wsx. На первый взгляд он не кажется простым. Но это только на первый взгляд. Очень большое количество пользователей любят придумывать пароли, которые удобно вводить с клавиатуры, ведь так легче запомнить:
Можно привести много подобных примеров: qaz123, qweasd, zaq1xsw2, qazxsw и т.д. При этом многие администраторы считают, что они придумали хороший пароль. Это в корне не верно. Современные алгоритмы подбора паролей учитывают данные “привычки” и позволяют угадывать такие комбинации за считанные секунды.
Не используйте клавиатурные комбинации при создании пароля.
1.4.3 Пароли по умолчанию

Очень многие администраторы забывают о такой важной вещи, как “Пароль по умолчанию”. IP - камера, ip - телефон, источник бесперебойного питания, сетевой принтер или даже холодильник (который подключается к сети Интернет) имеют дефолтные пароли. Большинство беспечно полагают, что эти устройства не представляют какой-либо опасности. Это серьезное заблуждение. Пароли для таких устройств можно с легкостью найти в сети Интернет, что позволяет злоумышленнику весьма просто подключиться к устройству, которое затем может использоваться как плацдарм для дальнейшей атаки. Ситуация ухудшается с увеличением сегмента Интернета вещей, так называемый IoT (Internet of Things). Яркий тому пример - ботнет Mirai.
Mirai - одна из самых больших ботнет сетей на сегодняшний день. Однако больше всего поражает не размер сети, а то, как эта сеть появилась. Метод гениально прост. Ботнет не использует какую-то сложную уязвимость софта. Все, что он делает - подбирает пароль. Тот самый “пароль по умолчанию”, который устанавливают производители различных устройств. Mirai использует всего 61 различную комбинацию логин/пароль методом перебора (возможно сейчас этих комбинаций уже больше). Столь малое количество комбинаций обеспечивает высокую скорость обнаружения уязвимых устройств, которые в дальнейшем используются в ботнет сети. На момент написания статьи ботнет насчитывал уже более 1 миллиона устройств IoT. На что способен Mirai? С помощью Mirai была организована самая мощная, в истории Интернет, DDoS атака - 665 Гбит/с. Эксперты утверждают, что мощность атак будет только расти. А виной всему дефолтный пароль, который забыли сменить при установке устройства.
Ни в коем случае не оставляйте пароли по умолчанию.
1.4.4 Фишинг

Последнее, о чем я бы хотел поговорить в этой главе - Фишинг (от английского fishing - рыбалка). Название говорит само за себя. Злоумышленник кидает крючок с приманкой и ждет пока клюнет жертва. В качестве приманки может выступать поддельный сайт социальной сети, куда хакер перенаправляет пользователя, где последний вводит логин/пароль, не подозревая о зловредности сайта. Злоумышленник получает нужные данные и использует их в своих целях. Как говорилось выше, некоторые пользователи зачастую используют корпоративные пароли для сторонних сервисов, что существенно повышает риск для сети компании.
Еще один популярный инструмент для фишинга - email рассылка. Пользователю отправляется поддельное письмо (например от банка или начальника) с просьбой передать пароль или любые другие ценные данные (номер кредитной карты). Данный тип атак зачастую совмещает элементы социальной инженерии, что существенно повышает их эффективность.
К сожалению, данный тип атак невозможно предотвратить средствами, которые мы рассматриваем в рамках этой книги (коммутаторы, маршрутизаторы). Единственный выход - информирование ваших пользователей/администраторов о возможных опасностях, либо использование специализированных средств защиты от фишинга (о которых мы обязательно поговорим, но уже в следующей книге).

2 комментария:

Новый сайт проекта

Новый сайт проекта
Прокачай себя, а не персонажа из игры

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.