Казалось бы, сколько всего неочевидного для массового пользователя мы уже упомянули в нашей рубрике «Киберпаранойя»: были и QR-коды, и NFC, и целые подборки из того, чем пользуются практически все, и даже способы офлайн-взлома на конфах. И все равно каждый раз остается еще более банальная, но при этом неочевидная опасность, и каждый раз для автора становится открытием новый уровень человеческой беспечности.
Сегодня мы спустимся на уровень, где живет admin admin. И нет, admin admin — это не опечатка, admin admin — это фатальная халатность. Причем халатность не пропустившего дублирование слова копирайтера, редактора или корректора, как кто-то мог бы подумать. Халатность пользователя, не удосужившегося сменить стандартный пароль, тем самым создав огромную дыру в безопасности. Почему вместо «тут нужно сменить пароль» вам приходится читать разглагольствование?
А потому что этих самых «тут» — много. Собственно, эти «тут» — это и есть места, где живет admin admin. О них мы сегодня и расскажем. И да, «тут» — это вам не «здесь»!
Роутер
А начнем мы с базовой базы, которая, собственно, и стала идейной вдохновительницей названия нашей статьи, — роутеров. Именно роутер — первое, что защищает большинство рядовых пользователей от взлома. Можно сколько угодно пытаться бустануть защищенность Wi-Fi, включая регулярную смену пароля, скрытие SSID, усиление шифрования и т. д. Но если в админке вашего роутера admin/admin — смысла от такой защиты будет немного.
Справедливости ради заметим, что в современных роутерах может быть не admin/admin, но используемые в них авторизационные реквизиты все равно стандартные. А если учесть, что определить модель роутера по излучению не то чтобы шибко сложно, а нагуглить по модели подходящие реквизиты и того проще, то станет понятно, что это просто маркетинговый ход, а не безопасность.
В общем, можно долго размусоливать за «то да сё», но смысл в другом: всегда меняйте стандартный пароль от админки роутера на свой собственный! А лучше, конечно, вообще не пользуйтесь Wi-Fi. Но даже в этом случае пароль от админки роутера стоит сменить (подключение напрямую в комп не рассматриваем, так как сегодня еще нужно поискать провайдера с такой услугой).
phpMyAdmin
Можно было бы сказать, что эта тема чисто арбитражная, но нет. Более того, это даже в большей степени тема потенциальных реклов, нежели тех, кто льет им траф. Однако и веб-мастера из мира арбитража могут столкнуться с подобным — на прелендах или же если SEOшат. А может, и еще где-то, сути это особо не меняет. Ведь суть в том, что почти у всего «веб-софта» есть стандартные пары авторизации.
Это и упомянутый в названии подраздела phpMyAdmin, и другие СУБД, и вообще не СУБД, а разного рода серверные утилиты. Сюда же можно отнеси CMS вроде WordPress/Joomla/Drupal и им подобных. Сюда же — панели хостинга, FTP- и SSH-демоны, всевозможные серверные сервисы — те же cPanel или ISPmanager. И даже облачные интерфейсы, которые часто поставляются с дефолтными логинами (admin/admin, root/root, guest/guest) или вовсе без пароля.
Проще говоря, при развертывании каждого нового инструмента. А еще при каждом апдейте и при каждой новой установке. Ах да, в случае с веб-софтом admin admin — это не только про пароль, но и про различные стандартные файлы или даже пути к файлам. Вроде того же admin-wp, server-info, admin.cgi, .git и еще целого набора «звоночков», которые выдают инфраструктуру. А иногда даже robots.txt с sitemap.xml. Последние сами по себе никакого доступа, разумеется, не дают, но могут дать много инфы о вашем проекте.
Сигнализации, IP-камеры и видеоняни
Можно было бы отнести все это к «умному дому», но нет! «Умные дома» — тема отдельная. Сигнализации, IP-камеры и видеоняни же имеют кое-что общее: помимо непосредственно данных для авторизации, они также имеют и IP-адрес для доступа к панели управления. А в случае с IP-камерами и видеонянями — еще и IP-адрес для просмотра потокового видео.
Так вот эти адреса обычно тоже стандартные. Для тех, кто не понимает, как вообще IP-адрес может быть стандартным, поясняем: к нему обращаются, находясь внутри сети. По аналогии с тем, как по адресу 192.168.0.1 можно вызвать ПУ 99,9% роутеров, так и у описанных выше гаджетов можно вызвать их админку. И разумеется, реквизиты доступа к ней нужно заменить. Но не помешает заменить еще и сам IP.
Возможно, кто-то резонно заметит, что подобное есть не только у сигнализаций, IP-камер и видеонянь, почему же «умные дома» — отдельная тема? И да, так оно и есть. Подобное есть не только у помянутых выше гаджетов. И в каждом конкретном случае стандартные IP для доступа к ПУ лучше заменить. Но у большинства приблуд для «умного дома» такого нет — зато есть свои особенности.
Умные дома
Например, похабная интеграция. А точнее, интеграция разного ПО в единый хаб. Это делается для удобства, чтобы умный дом оставался умным домом, а не отдельно взятыми «умной лампочкой», «умной розеткой» и «умными еще чем-то там». Интеграция ПО в единый хаб позволяет управлять всем этим из одного приложения, даже если производители самих гаджетов враждуют между собой.
Однако мы не просто так назвали интеграцию ПО в хаб похабной. И дело не только в том, чтобы насмешнить читателя — дело в безопасности такой системы. Ведь взлом одного устройства существенно упрощает взлом всех остальных. А ведь во многих также есть свой admin admin, который никто никогда не меняет. В итоге хацкерам даже ничего ломать не приходится.
Впрочем, даже если у вас «не очень умный» дом и единого хаба нет, каждый гаджет все равно подключен к вашей сети, а потому обязательно замените стандартные авторизационные данные. И про ранее упомянутые IP-адреса для доступа к ПУ не забудьте. У вас каждый гаджет на GSM? Супер, но даже в этом случае убедитесь, что там не admin admin. Иначе GSM сыграет на руку преступникам, а не вам.
Приставки Smart TV, игровые консоли и web-удлинители
Стоит ли говорить о том, что большинство существующих Smart TV сделаны на базе Android и в каждом конкретном случае могут иметь собственные вариации на тему admin admin. Здесь важно уточнить, что речь может как идти про авторизацию, так и не идти. Аналогично с IP-адресом для доступа к ПУ. Однако универсальность платформы Android сама по себе создает что-то вроде admin admin.
Так, например, в случае со Smart TV это может быть открытый по умолчанию порт для отладки (ADB) или же другие сервисные фишки вроде активных Telnet, FTP, веб-серверов на 8080-порте и т. д. Причем у обычных пользователей, не у тех, кто что-то химичил. А ведь современные Smart TV любят еще и пытаться интегрироваться в «умный дом»…
Что касается игровых консолей, там, разумеется, привычного admin admin или его аналога нет. Но есть учетки, пароли которых мало того что изначально ставят простыми, так не обновляют годами. А ведь игровая консоль сегодня — это не только про «поиграть», но и про привязку к кошельку, установленным на ваш смартфон приложениям-компаньонам, — в общем, точек входа хватает.
Как здесь оказались web-удлинители? Ну… мы не знали, куда их запихать :D Штука слишком специфическая. С другой стороны, как показывает практика, чем более экзотическим является гаджет — тем чаще его покупают те, кому он априори не нужен. И если такое покупается админами, они хотя бы догадываются про возможное существование панели управления, а вот обычные юзеры — нет.
Бонус
А еще обычные юзеры могут не знать, что за безопасностью соседских гаджетов тоже нужно следить. Ну а что? Вы ведь рядом, и, взломав соседа, смогут взломать и вас! Шутка :D Хотя технически это так, но юридически права влазить в сеть соседа, даже чтоб пофиксить в ней дыры, у вас нет. Почему же тогда мы вообще упомянули соседские гаджеты? Потому что далеко не факт, что они соседские.
Соседский гаджет, висевший в списке Wi-Fi годами, может оказаться вашим. Внезапно, да? И тут кто-то скажет: «Ну оказался и оказался, что с того — он же не подключен?» На что мы ответим: «А с чего вы это взяли?» Если гаджет ваш, но вы не знали, что у него есть Wi-Fi — то не стоит думать, что вы его не подключали к общей сети. Вполне возможно, он подключен по проводу.
Да-да, он может быть подключен по проводу к роутеру, ПК или другому гаджету и при этом излучать Wi-Fi. Подобное часто бывает с такими устройствами, как, например, принтеры и МФУ, NAS (домашнее облако), умные колонки… Короче говоря, сегодня такое может быть у абсолютно любого гаджета. Дошло до того, что даже USB-освежители воздуха делают со встроенным Wi-Fi-модулем.
Еще два бонуса
А еще подобные приколы бывают у детских игрушек. Да-да, музыкальный плюшевый мишка или повторяющий за вами прикольным голосом хомяк может быть точкой входа в вашу домашнюю сеть. Да чего уж там, даже автоматическая перечница может быть сложнее, чем кажется. Вообще говоря, все, что периодически нужно заряжать, требует особого внимания. И далеко не всегда в этом есть злой умысел производителя.
А вот где злой умысел точно есть — это в скрытом Wi-Fi в гаджетах. Да-да, такое тоже бывает. Спешим «обрадовать» — вы никогда не узнаете, вещает ли такой в эфире вашей квартиры, если только не решите упороться в тему по полной. И если кто-то скажет, что статья была про admin admin, то мы ответим: «Вот именно!» И риск подключения такой невидимки к вашей сети — лишний повод заменить admin admin.
И говоря admin admin, мы имеем в виду не только стандартные логин и пароль, но и IP-адреса для доступа к ПУ, неиспользуемые порты, «сервисные» файлы и стандартизированные пути к ним… Короче говоря, все то, что позволяет взломать вас, ничего при этом не взламывая с технической точки зрения.
Подводя итоги
Надеемся, эта статья побудит вас задуматься о том, сколько таких admin admin остаются не пофикшены в вашей домашней сети, и в скором времени вы их пофиксите. А на этом у нас все. Следите за нашим Telegram-каналом, чтобы не пропустить другие статьи, как про кибербез, так и про залив трафла.