Пароль всему виной
25 июня 2019
Тема утечек по безалаберности уже стала настолько обыденной, что не привлекает даже СМИ.
Хакеры из группировки Unistellar «дотянулись» до нескольких тысяч открытых баз MongoDB, уничтожив в них данные и требуя выкуп.
Во всех базах-жертвах злоумышленники оставляют запись «hacked_by_unistellar» и сообщение «Restore ? Contact : unistellar@yandex.com».
В России находится более 230 серверов с MongoDB подвергшихся «нападению», а всего по миру более 12,5 тыс.
За исключением заметки в телеграм-канале, новость нигде не засветилась. Такие новости просто стали привычными, как и сама причина взлома – слабые пароли. В связи с этим нас заинтересовало обсуждение следующей новости.
Сообщается о волне атак, направленных на шифрование Git-репозиториев в сервисах GitHub, GitLab и Bitbucket. Атакующие очищают репозиторий и оставляют сообщение с просьбой отправить 0.1 BTC (примерно $700) для восстановления данных из резервной копии (на деле лишь портятся заголовки коммитов и информация может быть восстановлена). На GitHub подобным образом уже пострадал 371 репозиторий.
Некоторые жертвы атаки признаются, что использовали ненадёжные пароли или забыли удалить токены доступа из старых приложений.
Практика показывает, что огромное количество пользователей не может различить приемы фишеров и платит им, даже если угрозы на самом деле нет (как в вышеупомянутом примере с GitLab). Классический пример – фишинговые письма с требованием выкупа за записи посещений порнографических сайтов. Пользователей переделать нельзя, сколько новостей и статей ни пиши. И в комментариях столкнулись две точки зрения:
- «Многие вещи, которые мы знали одними, стали другими. Подошла очередь Интернета – только и всего». «Администрации сервисов должны принять меры для исключения атак. В том числе путем увеличения требований к пользователям». «Текущие методы давно себя изжили. Вот о чем эта ситуация. Сайтов и приложений все больше, а методы не меняются. Давно пора убрать ввод пароля вообще. Хотите залогиниться под своим аккаунтом, «да» или «нет». И еще выбрать разрешения, к какой информации есть доступ».
- «Ленивые, забывчивые и просто дураки должны страдать. Всё правильно». «Любые изменения «уничтожат псевдоанонимность общения и свободу выбора идентификатора, которые всегда были неотъемлемой характеристикой общения в Интернете и сделали его таким, какой он есть».
И самое удивительное, что тема слабых паролей не чужда и производителям цифрового контента. От их неграмотности страдают в итоге и те, кто используют их «творения».
… в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel и открытой платформы для генерации интерактивных web-форм Alpaca Forms. Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 – Picreel и 3435 – Alpaca Forms).
Внедрённый вредоносный код осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации.
Fxmsp заявили, что в их распоряжении оказались данные трех крупных производителей решений безопасности из США, в том числе исходные коды антивирусных продуктов.
Антивирусная правДА! рекомендует
Пользуйтесь сложными паролями и не забывайте регулярно их менять. И не стоит пренебрегать помощью антивируса, который ежесекундно следит за тем, чтобы серфинг в Интернете был безопасным.
«Антивирусная правДА!» интересуется:
Как вы считаете, что нужно сделать для того, чтобы прекратить атаки по причине слабых паролей?
- Ввести обязательные требования (например, стандарт), согласно которым сервисы и программы должны требовать использования сложных паролей и смены их.
- Создать общественную организацию, которая будет сканировать Интернет в поисках уязвимых сервисов и предупреждать их владельцев об уязвимостях.
- Организовать всеобщее компьютерное обучение.
- Ничего не делать. Кто хочет – сам научится, а остальных не исправить.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
tech
15:51:14 2019-12-05
tech
15:50:18 2019-12-05
https://www.fieldengineer.com/skills/telecom-network-technician
Неуёмный Обыватель
00:17:16 2019-07-10
И опыт- сын ошибок трудных...
Любитель пляжного футбола
11:20:45 2019-06-26
P.S. Хоть я в школе математику весьма неплохо знал (но это уже дела давно минувших дней), в синусах-косинусах я вообще не разбирался, тем более в тангенсах-котангенсах. :))) А если предлагалось решить уравнения с ними, так у меня в мозгу и вовсе срабатывал предохранительный тумблер: мои мозги просто отключались. :)))))
tigra
21:25:23 2019-06-25
tigra
21:16:12 2019-06-25
Dvakota
21:03:57 2019-06-25
Шалтай Александр Болтай
20:22:27 2019-06-25
anatol
20:13:17 2019-06-25
Andromeda
19:42:09 2019-06-25
Альфа
19:25:19 2019-06-25
Татьяна
18:49:58 2019-06-25
Natalya_2017
18:48:42 2019-06-25
Геральт
18:42:08 2019-06-25
sanek-xf
18:39:12 2019-06-25
Toma
17:59:45 2019-06-25
matt1954
17:24:52 2019-06-25
Masha
16:56:40 2019-06-25
kozinka.ru
16:55:19 2019-06-25
Alexander
16:19:18 2019-06-25
Shogun
14:00:46 2019-06-25
I23
13:31:20 2019-06-25
Dmur
13:21:43 2019-06-25
Oleg
13:21:20 2019-06-25
Zserg
13:18:05 2019-06-25
veles161
13:11:48 2019-06-25
I46
13:05:40 2019-06-25
vinnetou
12:55:09 2019-06-25
robot
12:54:09 2019-06-25
maestro431
12:52:44 2019-06-25
Lenba
12:51:37 2019-06-25
Serg07
12:17:40 2019-06-25
По паролям думаю стоит проводить обучение. И как вариант рекомендации от государства
Alexander
12:01:41 2019-06-25
Стало привычно слышать и читать, что "Пароль должен быть..." и далее перечисление рекомендаций или требований. Но вдумайтесь! "Пароль" никому и ничего не "должен", и даже "быть" Он не обязан... Это выбор пользователя... относительно свободный, конечно. А "относительно" потому, что некоторые "правильные" сайты установили для входа на свою тусовку некие здравые требования-условия. Например, чтобы пароль был не менее восьми знаков, да имел определённые символы, а ещё, чтоб подтвердил свою индивидуальность циферками из отправленного СМС...
Ну а раз основной выбор за пользователем, то он, иногда, и начинает чудить, назначая паролем набор типа "qwerty" или "123456". К сожалению, эта личная недальновидность затрагивает благополучие других пользователей этого сайта, да и собственно, сам этот интернет ресурс. Ведь взломам аккаунт пользователя злоумышленник сделал первый важный шаг для компрометации сайта и других его участников.
Dr.Web рекомендует правильно и, главное, выполнимо. О вопросе "...что нужно сделать для того, чтобы прекратить атаки по причине слабых паролей?". Вопрос не совсем корректен в части выражения "прекратить атаки", - "атакующие" будут всегда как составная часть "населения" Интернет. А вот как усложнить злоумышленникам и просто хулиганам проникновение туда, где они не желательны, - вопрос правомерен. Так как участников процесса как минимум двое, - пользователь и администратор сайта, то и требования для них обоих. Стандарт для входа и пользования сайтом; обучение пользователей.
Третьим, на мой взгляд, обязательно-желательным условием пользования Интернет, - это наличие Dr.Web Security Space. И оградит, и выдаст рекомендацию, и защитит, и отведёт опасность...
Vlad X
11:17:26 2019-06-25
зависит от сложности замка.Находятся люди,которые пароль в банке ставят свою
фамилию,а потом ищут виноватых.
EvgenyZ
10:51:03 2019-06-25
Ввести обязательные требования (например, стандарт), согласно которым сервисы и программы должны требовать использования сложных паролей и смены их.
Денисенко Павел Андреевич
10:51:02 2019-06-25
marisha-san
10:16:03 2019-06-25
Александр
10:06:38 2019-06-25
okyL$76DjcY~?#}{K не запомнишь. Может разработчики Доктора дойдут до этого когда нибудь.
orw_mikle
09:38:21 2019-06-25
dyadya_Sasha
09:30:47 2019-06-25
Прекратить атаки сможет только внедрение какой-то новой технологии эффективно заменяющей паролевый доступ.
Считаем, что вопрос был такой: Как вы считаете, что нужно сделать для того, чтобы уменьшить интенсивность атак по причине слабых паролей?
1.Ввести обязательные требования...
Да, для сервисов(программ) утечка данных из которых может нанести ущерб. Узаконить то, что в большинстве случаев уже делается.
2. Создать общественную организацию, которая будет сканировать Интернет в поисках уязвимых сервисов.
А почему бы и нет. Комплексный подход и помощь сканирующим в целях наказания (п.1), т.к. у них как всегда будет не хватать финансирования.
3.Организовать всеобщее компьютерное обучение.
Не помешает, но эффективность будет меньше чем в п.1. Опять же - всё взаимосвязано: если запахнет штрафами, то и желающих учиться станет в разы больше, и учиться они будут лучше.
4. Ничего не делать. Кто хочет – сам научится, а остальных не исправить.
Меня этот пункт устраивает, но это не государственный подход.;)
Ilya
09:02:21 2019-06-25
vkor
08:08:21 2019-06-25
fanaftik
07:49:07 2019-06-25
Пaвeл
07:46:59 2019-06-25
Он проще и надежней всех остальных вариантов.
razgen
07:35:58 2019-06-25
"Ввести обязательные требования (например, стандарт), согласно которым сервисы и программы должны требовать использования сложных паролей и смены их."
znamy
06:51:00 2019-06-25
Korney
06:26:25 2019-06-25
Morpheus
06:19:38 2019-06-25
Любитель пляжного футбола
06:07:02 2019-06-25
Lex
05:37:40 2019-06-25