Vítejte u dalšího nudného článku na téma, kterak jsou uživatelé buď hloupí, nebo líní, nebo neznalí a používají stále tatáž známá a snadno odhalitelná hesla. Bylo tomu tak před 30 – 20 – 10 – 5 lety, je tomu tak dnes a nejspíš tomu tak bude až do skonání civilizace. Tentokrát ale změna, nebudeme poukazovat na to, že uživatelé používají stále stejná známá hesla, ale naopak na to, že si to o nich myslí útočníci.
Co si myslí útočníci o uživatelích
Tolik lze usuzovat na základě experimentu a analýzy, které vypracovala společnost Rapid7 zabývající se správou zranitelností. Na své síti honeypotů zaznamenávala všechny pokusy o kompromitování serverů v období 12 měsíců, kdy myriáda útočících subjektů zkoušela celkem 512 tisíc permutací hesel, z nichž 99,997 % společných se nachází na veřejném seznamu RockYou2021, obsahujícím 8,4 miliard záznamů.
Data Rapid7 nasbírala pomocí dvou honeypotů, kdy jeden sloužil jako přihlašování skrze Remote Desktop Protocol (RDP) a druhý skrze Secure Shell (SSH). Oba byly v běhu od 10. září 2021 do 9. září 2022. Během roku detekovaly desítky miliónů pokusů o přihlášení, drtivá většina (celých 97 %) mířila na SSH.
Útoky přicházely ze zhruba 216 tisíc unikátních IP adres. Z omezeného výběru útočníky zkoušených hesel ze seznamu RockYou2021 plyne logické: omezené množství hesel je používáno tak často, že se vyplatí zkoušet primárně je.
Předpoklad hloupého uživatele
Nejpoužívanější RPD loginy jsou například „ administrator
“, „ user
“ a „ admin
“, u SSH zase vévodí „ root
“, „ admin
“ a „ nproc
“. Nejpopulárnější volbou zkoušeného hesla mezi útočníky je „ admin
“, „ password
“ či „ 123456
,“ a také prázdné heslo.
Útočníci zkrátka předpokládají, že uživatelé či správci stále používají k přístupu do systémů hloupoučká až přímo pitomá hesla a loginy. To automaticky neznamená, že je tomu skutečně tak, ale lze předpokládat, že kdyby nebyly průlomy do systémů úspěšné touto primitivní cestou, útočníci by ji ve zmíněných 99,9997 % případů prostě nepoužívali.
Zvolejme nbusr123
, přátelé!
Vyvozovat z toho lze tolik, že útok jdoucí cestou známých provařených hesel má téměř 100% šanci na úspěch. Řečeno jinak: pro získání přístupu není potřeba se trápit nějakou složitou matematikou, psychologií či různými technikami sociálního inženýrství (ostatně přehrabování se v kontejnerech u zadního vchodu do firmy nefrčí už asi tak čtvrt století). Stačí prostě sáhnout po osvědčených heslech a ono to téměř jistě po nějaké době klapne.
Řečeno naopak: budou-li majitelé přístupových údajů donuceni nastavit si taková hesla, která nejsou ze slovníku RockYou2021, vyřeší se drtivá většina těchto průlomů do cizích systémů, tedy alespoň po dobu, než se útočníci adaptují a začnou se přeci jen nějak snažit, ne jen ládovat do lámaných systémů známá hesla.
Rapid7 se tentokrát záměrně soustředili nikoli na hesla používaná uživateli, ale na předkládaná hesla útočníky při snaze dostat se do systémů hrubou silou. Tato cesta se totiž, dle ESETu, stala během pandemie COVID-19 tou hlavní, což plyne ze skutečnosti, že najednou se během lockdownů chtělo po řádově více lidech přihlašování do daleko více IT systémů – od firemně-specifických věcí, až po oblíbené nástroje ve školství (Učebny Google, MS Teams, Zoom, …).
Co s tím
Doporučení jsou jednoduchá: nepoužívat takové provařené a ne-bezpečné kombinace login/heslo, jaké předpokládají útočníci a jaké visí ve veřejně známých seznamech používaných hesel už celá léta.
Organizace by měly průběžně sledovat své systémy a hlídat si, aby nebyla použita a používána výchozí či snadno odhadnutelná hesla, ideálně kontrolovat právě proti seznamům typu RockYou2021. Dále je vhodné věnovat co největší péči firemním systémům otevřeným směrem do internetu, tedy právě SSH, RDP atd. Stejné platí i pro rozličná zařízení typu IoT (Internet of Things) – zde lze zvýšenou pozornost v zabezpečení doporučit i při domácím používání.
S tímto vším souvisí průběžné vzdělávání zaměstnanců, protože potenciální dírou tohoto typu do firemních systémů není ani tak „banda mladých ajťáků“, kteří se často spíš předhánějí v obskurnosti svých hesel, jako „sekretářka Boženka“ používající posledních 30 let stejné heslo, přinejlepším doplněné o krutě-kryptografický numerický kód 123 či 111.
Popřemýšlet se dá i o správcích hesel, nicméně ani to není vždy sázka na 100% jistotu (což ostatně není nic), spíše jde o delegování bezpečnosti mých hesel na aplikaci třetí strany, jakkoli zrovna letos důvěryhodnou.
V neposlední řadě lze věc útočníkovi zkomplikovat třeba vícefaktorovým ověřováním, aby z náhodného úspěchu v předhazování slovníkových loginů a hesel vznikla úloha vyžadující cílený útok na konkrétní osobu a třeba i její mobilní telefon (což už 99 % útočníků odradí).