На днях специалисты по информационной безопасности обнаружили очередную утечку тысяч пар логин-пароль от устройств «Интернета вещей», которые были прописаны вместе с IP гаджетов, доступ к которым можно получить при помощи этих данных. Сообщается, что данные, которые ушли в Сеть — валидные, их без проблем могут использовать взломщики для превращения IoT-гаджетов в «зомби» или других целей. База размещена в Pastebin, впервые ее опубликовали еще в июне. С тех пор авторы утечки обновляли содержимое базы несколько раз.

Стоит отметить, что пароли и логины, о которых идет речь, подходят к 8233 IoT устройствам, 2174 которых на момент утра пятницы находились в сети и были доступны по Telnet. Информация об утечке предоставлена GDI Foundation в лице ее руководителя Виктора Джерверса. Он же рассказал о том, что из 2174 систем, находившихся в пятницу в онлайне, 1774 были доступны по логинам и паролям из базы. Примечательно, что для всех 8223 устройств использовались лишь 144 пары логин/пароль. Другими словами, пользователи этих девайсов вряд ли меняли данные доступа по умолчанию.

Ну а поскольку сама база «висит» в Pastebin уже несколько месяцев, то наивным будет полагать, что ее увидели только сейчас специалисты по инфобезу. Скорее всего, ее в своих интересах уже использовали злоумышленники, используют они ее и сейчас. Правда, до публикации информации о паролях в Pastebin страница с базой посещалась не слишком много раз — на момент ее «открытия» она насчитывала всего 700 просмотров. Сейчас, после того, как СМИ разнесли новость по интернету, количество просмотров насчитывает уже десятки тысяч.

«Нет ничего нового в том, что доступ к устройствам остается дефолтным или же меняется на слабые связки пароль/логин», — говорит Трой Хант, представитель сервиса Have I Been Pwned. Именно этот сервис первым предупреждает о массовых утечках паролей и логинов пользователей известных посещаемых сайтов, позволяя проверить свои данные на предмет компрометации. Ничего нового в уязвимости IoT-устройств действительно нет. Но размещение базы данных доступа к тысячам устройств лишь усугубило и без того не слишком веселую ситуацию. Мало того, что кто-то разместил в общем доступе используемые и валидные пароли и логины, так еще этот кто-то и указал IP-адреса гаджетов, доступ к которым можно получить благодаря этим данным, о чем уже говорилось выше.


Зачем злоумышленникам IoT устройства? В малом масштабе они могут использовать, например, домашние камеры для наблюдения за жертвами. Более смелые и амбициозные злоумышленники создают из «зомбированных» IoT гаджетов ботнеты, мощность атаки которых весьма велика. Эти ботнеты, как уже сообщалось на Geektimes, использовались для осуществления DDoS атак на крупнейшие организации мира, ответственные за сетевую инфраструктуру. Также страдали и те, кто был в состоянии вести наблюдение за происходящим с целью ликвидации проблемы и выявления виновников. Речь, в первую очередь, идет о Браяне Кребсе, специалисте по сетевой безопасности, которого очень не любят киберпреступники.

Больше всего за последние пару лет отличился ботнет Mirai. В отличие от всех других ботнетов, он поражает не рабочие станции с Windows OS, а «облачные» устройства. Затем затем из зараженных девайсов формируется ботнет, настолько мощный, что сопротивляться ему не могут даже хорошо защищенные от DDoS ресурсы. В качестве примера можно привести французскую организацию OVH.

Что касается списка данных доступа к IoT гаджетам, то некоторые из них указывают на принадлежность ряда устройств к ботнету/ботнетам. Например, такая пара логин/пароль, как mother:fucker характерна как раз для пораженных зловредом гаджетов, которые стали «зомби».

image

В упомянутом списке содержатся и невалидные в настоящее время данные, которые, скорее всего, были изменены владельцами IoT устройств. Но большинство связок работают, так что, в принципе, любой желающий может захватить управление над уязвимыми устройствами. Подавляющее большинство логинов и паролей — те, что изначально были указаны производителем. Например, такие:

  • admin—4,621
  • 123456—698
  • 12345—575
  • xc3511—530
  • GMB182—495
  • Zte521—415
  • password—399
  • oelinux123—385</li
  • jauntech—344
  • 1234—341

Самые популярные из опубликованных вот такие связки:

  • root:[blank]—782
  • admin:admin—634
  • root:root—320
  • admin:default—21
  • default:[blank]—18

Как бы там ни было, всем пользователям IoT устройств, будь то холодильник или камера наблюдения, стоит помнить, что логин и пароль, заданный производителем по умолчанию, стоит менять сразу же после подключения нового устройства к сети. Иначе вместо улучшения безопасности такие гаджеты будут лишь шпионить за своими пользователями.

Ну а публикация данных об уязвимых устройствах, кто бы это ни сделал, лишь упрощает работу злоумышленников, которые без особых проблем могут формировать ботнеты, используемые в личных целях. Кстати, в конце июля оператор ботнета Mirai был приговорен к условному сроку. Тогда он заявил, что хотел всего лишь заработать денег на свадьбу со своей девушкой.

Комментарии (16)


  1. izzholtik
    27.08.2017 12:48

    Ну, тут всего два варианта. Либо кто-то пройдётся по всем ip со сменой пароля и сделает свой миниботнет, либо кто-то пройдётся по ним же с командой отключения.


  1. POS_troi
    27.08.2017 12:55
    +2

    Как бы там ни было, всем пользователям IoT устройств, будь то холодильник или камера наблюдения, стоит помнить, что логин и пароль, заданный производителем по умолчанию, стоит менять сразу же после подключения нового устройства к сети.

    Только проблема в том, что пасы на телнете, зачастую никак не изменить, особенно root-овский, который зашивается на стадии компиляции прошивки и через web интерфейс никак не меняется.


    1. Taciturn
      27.08.2017 13:19

      Пока устройства внутри закрытой сети это не так уж критично.


      1. POS_troi
        27.08.2017 13:27
        +1

        Это критично при любых условиях — вне зависимости где находиться устройство.
        Никто не отменял проникновение трояна в локальную сеть, а нынче только ленивый не сканит подсеть на девайсы и такой девайс становится отличным плацдармом для закрепления в сети.


        1. Alter116
          29.08.2017 15:43

          Можете не страдать паранойе, Ваша домашняя локальная сеть никому не интересна. А уже тем более закрепляться в ней, ради чего??? Единственно, что может вызвать, это попробовать выжать из Вас немного битков за расшифровку.


          1. ValdikSS
            29.08.2017 18:41
            +1

            Ха! Конечно же, она интересна, начиная от людей, которые хотят бесплатных денег (в маршрутизаторе меняются DNS-серверы, которые подсовывают свою рекламу на сайтах, вместо рекламы автора), заканчивая целенаправленными взломами, просто ради развлечения.


  1. nitro80
    27.08.2017 13:18

    Зачем вообще выпускать домашние железки с большой интернет??


    1. POS_troi
      27.08.2017 13:33

      Большая часть будет камерами и роутерами.
      В меньшинстве всякие приблуды — которые по ошибке показали задницу в глобале.
      Всё равно никак не оправдывает производителей за бэкдоры в их девайсах.


  1. a1exDi
    27.08.2017 13:57

    Перепробовал штук 30 и ни на один не смог подключится :) Все не доступны


    1. vassabi
      27.08.2017 15:23

      мне иногда кажется, что такие новости используются для промера аудитории — сколько пойдут и попробуют.
      Т.е. разумеется, реальные взломы были и будут, и есть валидные базы с паролями-логинами, но вот такие жареные новости — это жеж первый кандидат на ханипот %)


    1. DAiMor
      27.08.2017 15:32
      +2

      точно есть рабочие, я правда пробовал не на telnet заходить а сразу в веб морду на 80 порту, и из 20-30 мной опробованных адресов, отрылось несколько, и на одной смог зайти по логину/паролю из списка. Так я узнал о существовании российском производителе роутеров Eltex.


  1. Rulin
    27.08.2017 21:11

    > This page is no longer available. It has either expired, been removed by its creator, or removed by one of the Pastebin staff.

    перезалейте плиз


    1. rPman
      27.08.2017 22:24

      web archive


  1. Fragster
    28.08.2017 12:07

    image

    Скрытый текст
    Silicon valley s 4 e 10


  1. ozonar
    29.08.2017 11:21
    +1

    А не пора ли уже производителям IoT устройств задуматься о рандомизации логинов и паролей уже прямо на заводе?

    Устройство с единым для пользователей логином и паролем всегда будет небезопасно, убеждай ты менять пользователей пароли или нет.


  1. maxwolf
    30.08.2017 14:50
    +1

    Забавный список. Некоторые ip там встречаются не единожды (например, 111.30.30.30 — аж 41 раз), и с разными паролями. Что это? Дырявые железки, которые ломают каждый раз после смены пароля пользователем?