Η CISA προέτρεψε τους κατασκευαστές προϊόντων τεχνολογίας να σταματήσουν να παρέχουν λογισμικό και συσκευές στους πελάτες, με προεπιλεγμένους κωδικούς πρόσβασης (default passwords).
Ο λόγος είναι ότι οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν τέτοια προεπιλεγμένα credentials για να παραβιάσουν ευάλωτες συσκευές που εκτίθενται στο διαδίκτυο. Τα default passwords χρησιμοποιούνται συνήθως για τον εξορθολογισμό της διαδικασίας κατασκευής. Επίσης, βοηθούν τους διαχειριστές συστημάτων να αναπτύξουν ευκολότερα μεγάλο αριθμό συσκευών σε ένα εταιρικό περιβάλλον.
Ωστόσο, η μη αλλαγή αυτών των κωδικών θεωρείται επικίνδυνη γιατί οι hackers μπορούν να παρακάμψουν τα μέτρα ελέγχου ταυτότητας. Μέσω μιας τέτοιας επίθεσης, θα μπορούσε να τεθεί σε κίνδυνο η ασφάλεια ολόκληρου του δικτύου ενός οργανισμού.
Δείτε επίσης: Τα πιο χρησιμοποιημένα password του 2023, είναι οι δικοί σας στη λίστα;
“Αυτό το SbD Alert προτρέπει τους κατασκευαστές τεχνολογίας να εξαλείψουν προληπτικά τον κίνδυνο εκμετάλλευσης default password“, δήλωσε η CISA.
Οι κατασκευαστές λογισμικού θα πρέπει να φροντίζουν για την ασφάλεια των διαδικασιών σχεδιασμού, ανάπτυξης και παράδοσης, ώστε να αποτρέψουν την εκμετάλλευση των static default passwords στα συστήματα των πελατών τους.
Σύμφωνα με τα στοιχεία που έχει μαζέψει η CISA τα τελευταία χρόνια, δεν μπορούμε να βασιζόμαστε στο ότι οι πελάτες θα αλλάξουν τους προεπιλεγμένους κωδικούς πρόσβασης. “Μόνο η συντονισμένη δράση από τους κατασκευαστές τεχνολογίας θα αντιμετωπίσει κατάλληλα τους σοβαρούς κινδύνους που αντιμετωπίζουν οι οργανισμοί που σχετίζονται με κρίσιμες υποδομές“.
Τι αλλαγές πρέπει να γίνουν;
Η CISA συμβούλεψε τους κατασκευαστές να παρέχουν στους πελάτες τους μοναδικά setup passwords, προσαρμοσμένα σε κάθε product instance, αντί για χρήση ενός default password για όλες τις σειρές προϊόντων και τις εκδόσεις.
Δείτε επίσης: Ποια λάθη κάνετε με τους κωδικούς πρόσβασης;
Επιπλέον, μπορούν να εφαρμόσουν κωδικούς πρόσβασης περιορισμένου χρόνου, που έχουν σχεδιαστεί για να απενεργοποιούνται μόλις ολοκληρωθεί η φάση εγκατάστασης και να ζητούν από τους διαχειριστές να ενεργοποιήσουν πιο ασφαλείς μεθόδους ελέγχου ταυτότητας (π.χ. έλεγχος ταυτότητας πολλαπλών παραγόντων).
Μια άλλη δυνατότητα περιλαμβάνει την υποχρεωτική φυσική πρόσβαση για την αρχική ρύθμιση και τον καθορισμό διακριτών credentials για κάθε περίπτωση.
Η CISA προειδοποιεί για τους κινδύνους των default passwords εδώ και πολλά χρόνια:
“Οι εισβολείς μπορούν εύκολα να εντοπίσουν και να αποκτήσουν πρόσβαση σε συστήματα συνδεδεμένα στο Διαδίκτυο που χρησιμοποιούν κοινόχρηστους προεπιλεγμένους κωδικούς πρόσβασης. Είναι επιτακτική ανάγκη να αλλάξουν οι προεπιλεγμένοι κωδικοί πρόσβασης κατασκευαστή και να περιοριστεί η πρόσβαση στο δίκτυο σε κρίσιμα και σημαντικά συστήματα“.
Δείτε επίσης: AutoSpill: Κλέβει διαπιστευτήρια από τους διαχειριστές κωδικών πρόσβασης Android
Επιπτώσεις χρήσης προεπιλεγμένων κωδικών πρόσβασης
Μια από τις επιπτώσεις της χρήσης προεπιλεγμένων κωδικών πρόσβασης είναι η απειλή της ιδιωτικότητας των χρηστών. Όταν οι κατασκευαστές χρησιμοποιούν γενικούς κωδικούς πρόσβασης, και οι χρήστες δεν τους αλλάζουν, υπάρχει κίνδυνος παραβίασης της ιδιωτικής ζωής τους, καθώς κακόβουλοι χρήστες μπορούν να αποκτήσουν πρόσβαση στις προσωπικές τους πληροφορίες.
Επιπλέον, η χρήση προεπιλεγμένων κωδικών πρόσβασης μπορεί να οδηγήσει σε ευκολότερες επιθέσεις και παραβιάσεις των συσκευών. Οι κακόβουλοι χρήστες μπορούν να χρησιμοποιήσουν γνωστούς προεπιλεγμένους κωδικούς για να προσπελάσουν τις συσκευές και να εκτελέσουν επιθέσεις, όπως την εγκατάσταση κακόβουλου λογισμικού ή την κλοπή ευαίσθητων πληροφοριών.
Τέλος, η χρήση προεπιλεγμένων κωδικών πρόσβασης μπορεί να έχει επιπτώσεις σε ευρύτερο επίπεδο, όχι μόνο για τους χρήστες αλλά και για το διαδίκτυο συνολικά. Η χρήση προεπιλεγμένων κωδικών πρόσβασης σε μεγάλη κλίμακα μπορεί να οδηγήσει σε μαζικές επιθέσεις και παραβιάσεις ασφάλειας, επηρεάζοντας εκατομμύρια χρήστες και συσκευές.
Πηγή: www.bleepingcomputer.com
.){kind=link}