Az alapértelmezett jelszavak láthatatlan kockázatai – egyetlen „1111” is elég

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

2025-ben iráni hackereknek sikerült kompromittálniuk egy víznyomás-állomást az Egyesült Államokban, amely mintegy 7000 embert látott el vízzel. Első ránézésre csekély volumenű incidensről van szó, ám a támadás valódi jelentősége nem a kiterjedésében, hanem a hackerek hozzáférésének egyszerűségében rejlett: az eszköz az eredeti, gyári jelszót használta: „1111”.

Ez az eset olyan aggasztó volt, hogy az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) felszólította a gyártókat az alapértelmezett jelszavak eltörlésére, hivatkozva az elmúlt évek során felgyülemlett bizonyítékokra, amelyek szerint ezek a beállítások a leggyakrabban kihasznált biztonsági rések közé tartoznak.

Az alapértelmezett jelszavak – Miért veszélyesek?

Az „admin/admin” vagy „1234” típusú gyári jelszavak még mindig széles körben jelen vannak különféle eszközökben – routerektől kezdve ipari vezérlőegységekig. Az okok többnyire gyakorlatiak:

  • Egyszerűsítik az üzembe helyezést
  • Megkönnyítik a tömeges konfigurációt
  • Támogatják az örökölt rendszerek használatát
  • A gyártók gyakran nem alkalmazzák a biztonság-központú tervezést

Mi történhet, ha nem változtatjuk meg őket?

  1. Botnet-hálózatok: Támadók automatizált szkennerekkel keresik a nyitott portokat és próbálnak bejelentkezni gyári jelszavakkal – siker esetén zombihálózat részévé teszik az eszközt.
  2. Zsarolóvírus-fertőzések: Alapértelmezett jelszavakon keresztül bejutva ransomware-t telepítenek.
  3. Ellátási lánc támadások: Egyetlen eszközön keresztül az egész hálózatra – vagy akár partnerekre – is kiterjedhet a kompromittálódás.
  4. Biztonsági intézkedések megkerülése: Egy nem módosított jelszó érvényteleníti a legfejlettebb behatolásérzékelő rendszereket is.

Történelmi példa: Mirai és az 1 Tbps-os támadás

A legismertebb ilyen típusú támadás a Mirai botnet-hez köthető, amelyet 61 alapértelmezett felhasználónév/jelszó kombinációval „tanítottak”. Az eredmény:

  • 600.000+ IoT eszköz fertőződött meg
  • A hálózat 1 Tbps sebességű DDoS-támadásokat hajtott végre
  • Olyan szolgáltatásokat bénított meg, mint a Twitter, a Netflix és a Dyn DNS
  • Több millió dolláros kár keletkezett

Ez jól mutatja, hogy egy egyszerű jelszóhiba milyen széleskörű gazdasági és technológiai károkat okozhat.

Gyártói felelősség: a “secure by design” szemlélet hiánya

Sok gyártó továbbra is a felhasználókra hárítja a biztonság felelősségét, pedig az már a tervezésnél kezdődik. Az Egyesült Királyság például már betiltotta az alapértelmezett jelszavakat tartalmazó IoT-eszközök árusítását.

Tanács a gyártóknak

Az alábbi öt secure-by-design gyakorlat jelentősen csökkentheti a biztonsági kockázatokat:

  1. Egyedi jelszó minden eszközre: Gyárilag generált, címkén feltüntetett, véletlenszerű jelszó minden eszközön.
  2. Első bejelentkezéskor kötelező jelszócsere: API-n keresztül automatizálható jelszavak rotálása.
  3. Out-of-band hitelesítés: Például QR-kód szkennelése, amely felhasználóhoz köti az eszközt.
  4. Firmware-hitelesítés: Aláírt firmware-modulok, amelyek megakadályozzák az illetéktelen jelszó-visszaállítást.
  5. Fejlesztői auditok: Alapértelmezett jelszavak kiszűrése a szállítás előtti biztonsági ellenőrzések során.

Mit tehetnek az IT-csapatok?

Amíg a gyártók nem váltanak biztonságtudatos működésre, az IT-vezetőknek és rendszergazdáknak kell megelőzniük a bajt:

  • Eszköznyilvántartás: Térképezzük fel a hálózaton lévő összes eszközt.
  • Jelszókezelés: Minden telepítéskor azonnal cserélni kell a gyári jelszót.
  • Automatizált házirendek: Olyan eszközöket használjunk, mint a Specops Password Policy, amely automatikusan betartatja a jelszószabályokat és blokkolja a kompromittált jelszavakat.
  • Zero-trust modell: Ne feltételezzük semelyik eszközről, hogy megbízható, amíg nem igazoltuk annak hitelességét.

Egyetlen jelszó is elég a katasztrófához

Az alapértelmezett jelszavak problémája nem új keletű, mégis újra és újra lehetőséget ad a támadóknak. Az amerikai vízszolgáltató esete csak a jéghegy csúcsa. Egy gyenge jelszó nemcsak egyetlen eszközt veszélyeztet – egész ellátási láncokat, gyárakat, kórházakat vagy kormányzati rendszereket sodorhat veszélybe. A megoldás kulcsa a tudatosságban, a megelőzésben és a biztonság alapú tervezésben rejlik. Ne hagyjuk, hogy egy „1111” vagy „admin”-hoz hasonló jelszó legyen a vállalatunk leggyengébb láncszeme.

(forrás, forrás)