ComputersNews Οι ΗΠΑ προτρέπουν τους κατασκευαστές να εγκαταλείψουν τα default passwords By Χρήστος Κοτσακάς 18 Δεκεμβρίου, 2023738 views ShareTweet 0 Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προέτρεψε τους κατασκευαστές να τερματίσουν τη χρήση προεπιλεγμένων κωδικών πρόσβασης σε συστήματα που «εκτίθενται» στο Διαδίκτυο. Μέσω πρόσφατης ειδοποίησης, η CISA αναφέρθηκε στην εκμετάλλευση συσκευών από παράγοντες που συνδέονται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν, οι οποίοι χρησιμοποιούν προεπιλεγμένους κωδικούς πρόσβασης για να αποκτήσουν πρόσβαση σε υποδομή ζωτικής σημασίας των ΗΠΑ. Οι παράγοντας που συνδέονται με το Ιράν και που χρησιμοποιούν την περσόνα «CyberAv3ngers» στοχεύουν ισραηλινά PLC που εκτίθενται στο διαδίκτυο, μέσω προεπιλεγμένων κωδικών πρόσβασης. «Τα PLC ενδέχεται να μετονομάζονται και να εμφανίζονται με διαφορετικούς κατασκευαστές και ονόματα», όπως έγραψε η CISA. Οι προεπιλεγμένοι κωδικοί πρόσβασης καταγράφονται δημόσια και είναι πανομοιότυποι σε όλη τη σειρά προϊόντων ενός προμηθευτή, γεγονός που τους καθιστά επιρρεπείς σε εκμετάλλευση. Οι επιτιθέμενοι -οπλισμένοι με εργαλεία όπως το Shodan– μπορούν να σαρώσουν για τελικά σημεία που εκτίθενται στο διαδίκτυο και να τα παραβιάσουν μέσω προεπιλεγμένων κωδικών πρόσβασης, αποκτώντας, συχνά, δικαιώματα διαχειριστή. Για την αντιμετώπιση αυτών των τρωτών σημείων, η CISA συνιστά στους κατασκευαστές να παρέχουν μοναδικούς κωδικούς πρόσβασης ή να απενεργοποιούν τους προεπιλεγμένους κωδικούς πρόσβασης μετά από μια καθορισμένη χρονική περίοδο. Επιπλέον, οι χρήστες θα πρέπει να ενεργοποιήσουν μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων που να είναι ανθεκτικές στο phishing. Συνιστάται, επίσης, στους κατασκευαστές να διεξάγουν δοκιμές πεδίου για να κατανοήσουν τον τρόπο με τον οποίο οι πελάτες αναπτύσσουν τα προϊόντα τους και να εντοπίσουν τυχόν μη ασφαλείς μηχανισμούς. Ο στόχος είναι να γεφυρωθεί το χάσμα μεταξύ των προσδοκιών των developers και της πραγματικής χρήσης που κάνουν οι πελάτες. Την περασμένη εβδομάδα, η CISA –μαζί με το FBI, την NSA, την Πολωνική Στρατιωτική Υπηρεσία Αντικατασκοπείας, το CERT Polska και το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) – εξέδωσε μια ξεχωριστή κοινή ειδοποίηση σε σχέση με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών, με παράγοντες που εκμεταλλεύονται το CVE-2023-42793 «σε μεγάλη κλίμακα», στοχεύοντας διακομιστές από τον Σεπτέμβριο του 2023. Αυτή η συμβουλή ακολουθεί μια προειδοποίηση από το Ηνωμένο Βασίλειο που στάλθηκε νωρίτερα αυτόν τον μήνα, που κατηγορεί ευθέως τη Ρωσική Υπηρεσία Ασφαλείας, την FSB, ότι ενορχήστρωσε μια συνεχή εκστρατεία διαδικτυακής «πειρατείας» με στόχο πολιτικούς και δημόσια πρόσωπα. Ενόψει των δυτικών εκλογών του επόμενου έτους, είναι πιθανό οι κυβερνοεπιθέσεις να συνεχίσουν να αυξάνονται. Η NSA, το Office of the Director of National Intelligence (ODNI) και η CISA έχουν δημοσιεύσει από κοινού συνιστώμενες πρακτικές για τη βελτίωση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού και των διαδικασιών διαχείρισης λογισμικού ανοιχτού κώδικα. «Οι οργανισμοί που δεν ακολουθούν μια συνεπή και secure-by-design για το λογισμικό ανοιχτού κώδικα που χρησιμοποιούν είναι πιο πιθανό να γίνουν ευάλωτοι σε γνωστά exploits σε πακέτα ανοιχτού κώδικα και να αντιμετωπίσουν μεγαλύτερη δυσκολία όταν αντιδρούν σε ένα περιστατικό», δήλωσε η Aeva Black, Υπεύθυνη Ασφάλειας λογισμικού ανοιχτού κώδικα CISA. Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε Συνδεθείτε για να σχολιάσετε Καλώς ήλθατε {{inv_username}} comments Συνδεθείτε για να απαντήσετε Aπαντήστε {{inv_error}} New Comment Post Comment Logout Σύνδεση Email Κωδικός Σύνδεση Κλείσιμο
Mobiles Δύο ακόμη ημέρες υπομονή, η Xiaomi θα κυκλοφορήσει το πρώτο τηλέφωνο με chip Qualcomm Snapdragon 4s Gen 2 By i.tsompas7 ώρες ago0
Mobiles Η Poco κλείνει τον ιστότοπό της στις 31 Δεκεμβρίου, αλλά τι ακολουθεί; By i.tsompas9 ώρες ago0
Computers Μικρές αλλά ουσιαστικές αναβαθμίσεις έκανε η Intel στους νέους επεξεργαστές Core Ultra 200S By i.tsompas12 ώρες ago0
Gadgets Ο ιδιοκτήτης του TikTok λανσάρει τα πρώτα τους ακουστικά με προσωπικό ψηφιακό βοηθό By i.tsompas15 ώρες ago0
Apps Τα παιχνίδια Xbox θα πωλούνται απευθείας μέσω της εφαρμογής Xbox στο Android By i.tsompas19 ώρες ago0
Mobiles Είναι επισήμως επιβεβαιωμένο, το Oppo Find X8 αποκτά ειδικό κουμπί γρήγορης λήψης By i.tsompas21 ώρες ago0
Mobiles Google: Διαψεύδει την αναφορά ότι το Pixel 9 Pro XL συλλέγει πάρα πολλά προσωπικά δεδομένα By i.tsompas21 ώρες ago0
Mobiles Ευκολότερη η αφαίρεση μπαταριών στα επόμενα iPhone 17 Pro και Pro Max By i.tsompas1 ημέρα ago0
Mobiles Όχι δεν έχουμε νέα διάταξη καμερών στο Galaxy S25 Ultra, αλλά έχουμε νέα εμφάνιση By i.tsompas1 ημέρα ago0