Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Szpitale, markety z urządzeniami chłodniczymi dostępnymi na domyślnych hasłach z Internetu (Polska też na mapie!)

09 lutego 2019, 12:27 | W biegu | komentarzy 5

O Shodanie i podobnych narzędziach pisaliśmy nie raz. Tym razem ktoś namierzył urządzenia znanej firmy produkującej m.in, sprzęt kontrolujący temperaturę – dostępne w Internecie. Interfejs przeglądarkowy + brak haseł (dla takich przypadków widzicie zrzuty ekranowe poniżej) lub domyślne hasła admina: nie wygląda to dobrze.

W ramach demo, autorzy badania pokazali przykładowy dostęp do urządzenia w supermarketach:

supermarket

lodówa

czy w jednym ze szpitali:

 

szpital

Załączona w cytowanym tekście mapka wskazuje, że i w Polsce prawdopodobnie jest sporo tego typu źle skonfigurowanych sprzętów. Oczywiście pamiętajcie, że przełamywanie zabezpieczeń jest nielegalne i nie zachęcamy do tego!

Co robić? Najlepiej nie wystawiać jakichkolwiek paneli administracyjnych urządzeń do Internetu (minimalnie wystarczy dobrze zbudować reguły na firewallu…). Samodzielnie wykonać skan swojej infrastruktury, ewentualnie zlecić taki skan bezpieczeństwa, który powinien odpowiedzieć na pytanie – co może zrobić atakujący nie mający początkowo żadnych dostępów do naszych systemów? A często może wiele…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Czy komuś to się kojarzy z Mr. robot?

    Odpowiedz
    • V4der

      Yeep ;p

      Odpowiedz
  2. dzek

    > Oczywiście pamiętajcie, że przełamywanie zabezpieczeń jest nielegalne i nie zachęcamy do tego!

    Tylko czy brak zabezpieczeń to przełamywanie zabezpieczeń?

    Odpowiedz
    • tymik

      zdaje się, że była już taka sprawa i ktoś się chyba w ten sposób właśnie bronił, że brak to nie przełamywanie – ale szczegółów nie pamiętam, także nie chcę dodawać więcej wydajemisiów.

      Odpowiedz
  3. nn

    > Tylko czy brak zabezpieczeń to przełamywanie zabezpieczeń?
    Domyślne hasło to jednak hasło.

    Odpowiedz

Odpowiedz