Jak ustawić silne hasło dla pulpitu zdalnego

Rapid7, firma zajmująca się bezpieczeństwem IT, przeprowadziła ciekawy, całoroczny eksperyment, który nakłonił złych aktorów do próby włamania się do systemów. Wyniki były co najmniej ciekawe, jedna litera X była jedną z najczęściej używanych prób wprowadzenia hasła.

Rapid7 skonfigurował honeypoty w celu naśladowania systemów z protokołem RDP. Możesz użyć protokołu do zdalnego logowania do systemu i. Zwykle działa na urządzeniach POS, punktach sprzedaży i komputerach z systemem Windows.

Hakerzy zazwyczaj skanują Internet w celu zlokalizowania systemów RDP i próbują się zalogować, odgadując hasło ofiary. Test Rapid7 wykrył ponad 220 000 prób zalogowania się do honeypots. Umożliwiło im to sprawdzenie poświadczeń używanych przez osoby atakujące podczas próby zalogowania się.

Najczęstsze hasła RDP

„Widzimy tam pewną korelację, ale wszystko jest w porządku” - powiedział w wywiadzie telefonicznym. „Nasze hasło nr 1, które widzimy, to„ x ”, powiedział Tod Beardsley, ekspert ds. Bezpieczeństwa w Rapid7.

X nie jest jedynym hasłem jednoznakowym, które Rapid7 znalazł. W sumie były trzy. Oczywiście używanie pojedynczej litery do ochrony systemu to okropny pomysł. Eksperci ds. Bezpieczeństwa zalecają długie i złożone hasła, zawierające cyfry i znaki specjalne, aby zmniejszyć ryzyko brutalnego wymuszenia go przez hakerów.

Większość systemów RDP ogranicza próby hasła, aby zmniejszyć szanse uzyskania dostępu przez nikogo oprócz użytkownika. Z tego powodu atakujący mają tylko tyle zgadnięć, zanim zostaną całkowicie zablokowani. Tod Beardsley uważa, że słabe hasła używane przez napastników nie są przypadkowe.

„Są to wyraźnie ataki słownikowe” - powiedział Beardsley. „Skorelowali się i opracowują małe listy haseł” - dodał ekspert ds. Bezpieczeństwa.

W ciągu roku honeypoty gromadziły dane, Rapid7 pozyskał ponad 4000 haseł, z których tylko 20% pojawiło się raz i nigdy nie zostało ponownie wykorzystane.
Tod Beardsley skomentował, że spodziewał się, że hakerzy będą wielokrotnie używać tych samych danych uwierzytelniających. Wydaje się jednak, że kiedy odkryją nowe potencjalne dane uwierzytelniające dla systemu POS z uruchomionym RDP, podejmują próbę znalezienia wszystkich zagrożonych systemów, a następnie przechodzą do następnego.

„Nigdy więcej nie wyglądają. To nie jest cotygodniowy skan” - powiedział Beardsley.

Korzystanie z domyślnych danych logowania lub słabych haseł jest szczególnie niebezpieczne dla firm obsługujących dużą liczbę urządzeń POS. Ogromna liczba numerów kart kredytowych mogłaby zostać skradziona, gdyby ich sieć została naruszona lub urządzenie zostało zhakowane.

Mimo że eksperci ds. Bezpieczeństwa radzą, aby RDP nie pozostawiał otwartego dla Internetu urządzenia POS, zdarza się to zbyt często. Podczas swoich badań Rapid7 skanował Internet i odkrył 11 milionów systemów z RDP. Nie można oszacować, ile z nich to systemy POS bez zalogowania się (co jest nielegalne), ale istnieje duże prawdopodobieństwo, że wiele z nich jest.

„Jestem gotów się założyć, gdy przejdziesz przez około 11 milionów punktów końcowych, będziesz mieć setki trafień w te rzeczy. Więc masz wiele celów do pracy w tym momencie, szczególnie jeśli są one systemy sprzedaży ”- powiedział Beardsley.

12 najważniejszych wskazówek dotyczących ochrony pulpitu zdalnego

1. 1. Blokuj połączenia RDP przez otwarty internet.
   2. Używaj złożonych haseł i uwierzytelniania dwuskładnikowego.
   3. Blokuj adresy IP, które mają zbyt wiele nieudanych prób logowania.
   4. Użyj bramy RDP.
   5. Ogranicz dostęp do konta administratora domeny.
   6. Zmniejsz liczbę lokalnych administratorów do najniższej możliwej liczby.
   7. Włącz zaporę ogniową.
   8. Włącz ograniczony tryb administratora.
   9. Włącz uwierzytelnianie na poziomie sieci.
   10. Upewnij się, że konta lokalnego administratora są unikalne i ogranicz użytkowników, którzy mogą logować się przy użyciu RDP.
   11. Rozważ umieszczenie w sieci.
   12. Użyj konwencji nazewnictwa kont, która nie ujawnia informacji organizacyjnych.