什么是硬编码密码?
尽管有关网络安全威胁上升以及如何避免这些威胁的讨论永无止境,但一些开发人员仍在使用硬编码密码 。虽然使用它们可能很方便,但必须记住硬编码密码被认为是易受攻击的。如果您是普通用户,您可能对此类密码一无所知。它们可以在各种设备上找到,例如打印机或路由器,软件应用程序,固件等。因此,您可能正在使用具有硬编码密码的软件或设备。这可能听起来很混乱,但如果你继续阅读这篇博文,你可以找到更详细的答案来解答什么是硬编码密码 。此外,在文章中我们讨论了为什么硬编码密码会使系统和设备面临风险,以及如果他们落入坏人手中会发生什么。
Table of Contents
什么是硬编码密码?
硬编码密码在源代码中也称为嵌入式凭据或纯文本密码。这些密码可以硬编码到硬件,固件,脚本,应用程序,软件和系统中。通常情况下,它们在各种应用和设备,如医疗或发现物联网 ( 物联网 )的设备。它们也有多种用途,例如,应用程序到应用程序/应用程序到数据库的通信,设置新系统,API或其他系统集成等。它们通常可以帮助开发人员更快地访问他们的产品并完成工作更轻松。此外,硬编码密码可能会阻止普通用户篡改产品代码。
使用硬编码密码有什么风险?
让我们从许多应用程序或设备可以共享相同的硬编码密码开始。因此,猜测密码可以使黑客能够连接和控制使用相同密码的所有其他设备或应用程序。不幸的是,猜测或学习嵌入式组合可能比您想象的要容易。许多开发人员在GitHub和网站上分享他们的代码,却没有意识到这样做可能会泄露明文密码。当然,黑客也意识到这一点,所以在他们找到意外共享密码之前可能只是时间问题。更不用说,各种恶意应用程序和工具可以强制执行应用程序或设备的密码,因此将其嵌入源代码始终是一种风险。
当黑客学习硬编码密码时会发生什么?
这完全取决于网络犯罪分子的想法以及他们设法获得的密码类型。例如,各种物联网,医疗,移动和其他设备的硬编码密码可能允许黑客创建一个所谓的僵尸网络 ,这是一组受攻击者控制的受感染机器。此类网络可用于DDoS ( 分布式拒绝服务 )攻击,提供垃圾邮件等. 如果获得的嵌入式凭证属于某些应用程序,则网络犯罪分子可以使用它来获取敏感用户信息,开发人员的秘密等。
为了帮助您想象为什么使用硬编码密码的应用程序和设备容易受到攻击,我们希望介绍近几年发生的一些事件,并通过嵌入式凭据提供便利。第一个是Mirai恶意软件的创建,可能发生在2016年左右。它背后的黑客编程威胁来寻找易受攻击的设备。每次检测到这样的机器时,恶意应用程序都会在使用已知嵌入式凭据的数据库时试图强制使用其硬编码密码。这使恶意软件能够创建一个庞大的物联网设备僵尸网络,如安全摄像头和路由器。其中一个受害者是Krebs on Security网站,因此离线了好几天。此外,Mirai还设法迫使许多其他热门网站如Netflix以及俄罗斯五大银行的网站下线。
2016年发生的另一起重大事件是Uber Breach 。再次,硬编码的密码和忘记他们的人应该受到指责。更准确地说,其中一位优步员工在GitHub上分享了包含明文密码的应用程序源代码,却没有意识到他让优步客户和其他员工都处于危险之中。其中一个黑客注意到了发布的源代码,并认识到它可能呈现的机会。硬编码的密码允许他获得优步访问优步的亚马逊网络服务帐户,该帐户包含大约5700万用户的敏感信息和60万优步驱动程序的驾驶执照号码。该公司决定同意向黑客支付十万美元,并决定不报告任何人发生的事情。尽管如此,后来才揭露真相,结果,公司不仅失去了很多钱,还失去了声誉。
最近发生的与硬编码密码漏洞有关的事件发生在一家名为Cisco Systems的美国跨国科技集团。据报道,检测到的弱点可能让黑客能够控制公司创建的服务和产品 。可悲的是,在修补漏洞后,该公司发现了更多可能被利用的漏洞 。因此,许多网络安全专家认为硬编码密码的问题不会很快消失,这并不奇怪。
总而言之,即使我们知道使用具有嵌入式凭据的设备或应用程序可能存在风险,但我们并不总能避免它. 尽管如此,有一些方法可以降低使用含有硬编码密码的产品的风险。专家建议经常检查补丁和更新,因为它们被释放以处理各种缺陷或弱点,如硬编码密码。
