ComputersNews Οι ΗΠΑ προτρέπουν τους κατασκευαστές να εγκαταλείψουν τα default passwords By Χρήστος Κοτσακάς 18 Δεκεμβρίου, 2023765 views ShareTweet 0 Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προέτρεψε τους κατασκευαστές να τερματίσουν τη χρήση προεπιλεγμένων κωδικών πρόσβασης σε συστήματα που «εκτίθενται» στο Διαδίκτυο. Μέσω πρόσφατης ειδοποίησης, η CISA αναφέρθηκε στην εκμετάλλευση συσκευών από παράγοντες που συνδέονται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν, οι οποίοι χρησιμοποιούν προεπιλεγμένους κωδικούς πρόσβασης για να αποκτήσουν πρόσβαση σε υποδομή ζωτικής σημασίας των ΗΠΑ. Οι παράγοντας που συνδέονται με το Ιράν και που χρησιμοποιούν την περσόνα «CyberAv3ngers» στοχεύουν ισραηλινά PLC που εκτίθενται στο διαδίκτυο, μέσω προεπιλεγμένων κωδικών πρόσβασης. «Τα PLC ενδέχεται να μετονομάζονται και να εμφανίζονται με διαφορετικούς κατασκευαστές και ονόματα», όπως έγραψε η CISA. Οι προεπιλεγμένοι κωδικοί πρόσβασης καταγράφονται δημόσια και είναι πανομοιότυποι σε όλη τη σειρά προϊόντων ενός προμηθευτή, γεγονός που τους καθιστά επιρρεπείς σε εκμετάλλευση. Οι επιτιθέμενοι -οπλισμένοι με εργαλεία όπως το Shodan– μπορούν να σαρώσουν για τελικά σημεία που εκτίθενται στο διαδίκτυο και να τα παραβιάσουν μέσω προεπιλεγμένων κωδικών πρόσβασης, αποκτώντας, συχνά, δικαιώματα διαχειριστή. Για την αντιμετώπιση αυτών των τρωτών σημείων, η CISA συνιστά στους κατασκευαστές να παρέχουν μοναδικούς κωδικούς πρόσβασης ή να απενεργοποιούν τους προεπιλεγμένους κωδικούς πρόσβασης μετά από μια καθορισμένη χρονική περίοδο. Επιπλέον, οι χρήστες θα πρέπει να ενεργοποιήσουν μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων που να είναι ανθεκτικές στο phishing. Συνιστάται, επίσης, στους κατασκευαστές να διεξάγουν δοκιμές πεδίου για να κατανοήσουν τον τρόπο με τον οποίο οι πελάτες αναπτύσσουν τα προϊόντα τους και να εντοπίσουν τυχόν μη ασφαλείς μηχανισμούς. Ο στόχος είναι να γεφυρωθεί το χάσμα μεταξύ των προσδοκιών των developers και της πραγματικής χρήσης που κάνουν οι πελάτες. Την περασμένη εβδομάδα, η CISA –μαζί με το FBI, την NSA, την Πολωνική Στρατιωτική Υπηρεσία Αντικατασκοπείας, το CERT Polska και το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) – εξέδωσε μια ξεχωριστή κοινή ειδοποίηση σε σχέση με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών, με παράγοντες που εκμεταλλεύονται το CVE-2023-42793 «σε μεγάλη κλίμακα», στοχεύοντας διακομιστές από τον Σεπτέμβριο του 2023. Αυτή η συμβουλή ακολουθεί μια προειδοποίηση από το Ηνωμένο Βασίλειο που στάλθηκε νωρίτερα αυτόν τον μήνα, που κατηγορεί ευθέως τη Ρωσική Υπηρεσία Ασφαλείας, την FSB, ότι ενορχήστρωσε μια συνεχή εκστρατεία διαδικτυακής «πειρατείας» με στόχο πολιτικούς και δημόσια πρόσωπα. Ενόψει των δυτικών εκλογών του επόμενου έτους, είναι πιθανό οι κυβερνοεπιθέσεις να συνεχίσουν να αυξάνονται. Η NSA, το Office of the Director of National Intelligence (ODNI) και η CISA έχουν δημοσιεύσει από κοινού συνιστώμενες πρακτικές για τη βελτίωση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού και των διαδικασιών διαχείρισης λογισμικού ανοιχτού κώδικα. «Οι οργανισμοί που δεν ακολουθούν μια συνεπή και secure-by-design για το λογισμικό ανοιχτού κώδικα που χρησιμοποιούν είναι πιο πιθανό να γίνουν ευάλωτοι σε γνωστά exploits σε πακέτα ανοιχτού κώδικα και να αντιμετωπίσουν μεγαλύτερη δυσκολία όταν αντιδρούν σε ένα περιστατικό», δήλωσε η Aeva Black, Υπεύθυνη Ασφάλειας λογισμικού ανοιχτού κώδικα CISA. Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε Συνδεθείτε για να σχολιάσετε Καλώς ήλθατε {{inv_username}} comments Συνδεθείτε για να απαντήσετε Aπαντήστε {{inv_error}} New Comment Post Comment Logout Σύνδεση Email Κωδικός Σύνδεση Κλείσιμο
News Με τη γιορτινή προσφορά της Vodafone θα έχετε απεριόριστα data για 7 ημέρες με μόλις 2,90€! By i.tsompas4 ώρες ago0
Mobiles Μία ενημέρωση στο UI 6.1.1, καθιστά άχρηστες ορισμένες μονάδες της σειράς Galaxy S22 By i.tsompas20 ώρες ago0
Mobiles Στην όλη πορεία της μέχρι σήμερα, η Sony έφτασε σε πωλήσεις τους 20 δις. αισθητήρες εικόνας By i.tsompas22 ώρες ago0
Mobiles Λάβαμε επιβεβαίωση από το Amazon για τον επεξεργαστή του OnePlus 13R By i.tsompas1 ημέρα ago0
Apps Η ΕΕ προτείνει τρόπους με τους οποίους η Apple μπορεί να διασφαλίσει τη διαλειτουργικότητα των iOS και iPadOS By i.tsompas1 ημέρα ago0
Gadgets HUAWEI WATCH D2 και WATCH ULTIMATE: Φέτος τα Χριστούγεννα, η φροντίδα συναντάει την πολυτέλεια! By p.kypraios1 ημέρα ago0