許多對資安有意識的人都應該認知到,所有的帳號在設定密碼時,絕對不使用任何預設密碼,也同時要使用強密碼並且定期更換,才能確保這個帳戶的安全。
許多IT人員因為資安需求,會意識到使用者帳號的密碼應該要定期更新,但在IT部門中,卻經常會出現一個視若無睹的盲點,那就是,許多企業在導入各式各樣包含網路與資安設備時,經常會忽略要修改系統或設備的預設密碼,系統上線後,經常使用廠商提供的預設密碼,不然就是乾脆沒有設密碼。這樣的結果就是便利IT人員操作方便,或者是一旦設備或系統出現問題,需要廠商提供協助時,就不需要另外問密碼是什麼,更方便廠商提供協助。
不過,這其實都是IT人員因為貪圖方便、心存僥倖的行為,只要駭客有機會掌握到企業使用的設備而且可以得知該設備的預設密碼,若企業IT人員並沒有更改預設密碼時,形同開門迎接駭客入內參觀作客。若因此導致任何的資料外洩甚至營業損失,實在是不值得同情。
製造商使用萬年預設密碼,企業偷懶也跟著使用預設密碼
不只是使用者有忽略修改預設密碼的問題,許多設備的製造商,更經常是使用萬年密碼,數十年如一日。像是之前資安業者Trustwave就曾經揭露,市場上有一間POS製造業者使用166816和Z66816兩組萬年密碼長達25年沒有更正,加上使用者也都沒有修改預設密碼的習慣,兩名資安專家於去年RSA資安大會上揭露時,還有9成以上該品牌的POS使用者,仍在使用兩組的預設密碼。
POS機因為經手許多金流交易,一旦設備有漏洞遭駭客鎖定、面臨風險,可能會導致使用者信用卡卡號和個資外洩,只是因為一時的偷懶,想要便宜行事而造成無數人不必要的損失,實在是因小失大。
那,如果因為使用預設密碼,可能導致電廠失火、沒水可用、交通受阻、無法從ATM領到錢等等,你可以想像這樣的事情發生嗎?聽起來有點像是世界末日的情況,但是,卻可能因為一些單位在導入、安裝各種關鍵基礎設施時,因為仍然使用廠商的預設密碼,使得駭客只要可以入侵到關鍵基礎設施的內網後,就可以輕而易舉的透過使用設備的預設密碼,取得最高權限而橫行無阻。
而各種關鍵基礎設施包括施耐德、愛默生、西門子等公司,總計106個產品的預設密碼,日前已經由一個針對各種國家關鍵基礎設施(SCADA)研究的單位:SCADA Strangelove,將相關的資料直接公布在GitHub網站上,並提供各界新增、修改及下載使用。
SCADA Strangelove公開相關資訊的目的是,希望透過讓更多人意識到,包括資安專家以及資安稽核人員等,只要是使用預設密碼,就一定會是企業或該產品設備可以預期的高度風險,絕對不可以抱持僥倖的心態,因為認為自己不會這麼倒楣,而仍然大搖大擺的使用預設密碼。
透過公開關鍵基礎設施產品的預設密碼,未來資安專家和稽核人員在做各種檢查稽核時,就可以直接使用查詢到的這些預設密碼,確認企業或業者是否已經將預設的密碼,修改成符合公司資安政策的新密碼,才是真正杜絕預設密碼對企業甚至國家帶來危害。
當然,也有很多IT人員會大聲喊冤,因為他們可能根本不知道該如何修改預設密碼,尤其是關鍵基礎設施往往都是一般資訊人員比較少接觸的工控系統,有些甚至需要外接一些特殊裝置或設備,才可以做相關的系統設定,將使用預設密碼的罪怪在他們頭上,其實他們也會覺得太委屈。
但是,對IT人員而言,掌握設備系統的安裝與操作,包括帳號及密碼的設定等,原本就是份內的工作,不能夠因為廠商的偷懶造成IT人員也跟著便宜行事。因為,一旦爆發任何資安事件,第一線要出面解決問題的一定是企業內的IT人員;而扮演提供協助者的廠商角色,當然也絕對不可能承認,是因為他們使用預設密碼,導致駭客可以因此登堂入室,甚至對企業造成不可預期的損失。
既然都已經可以預期到可能會面臨這種令人難以接受的後果與風險,如果IT人員依舊忽略使用預設密碼可能帶來的「潛在危險性」,除了祈禱自家公司系統永遠沒有漏洞、永遠不會被駭客鎖定,也永遠不會爆發任何資安事件外,就只能自求多福。畢竟,「天作孽、猶可違;自作孽,不可活。」
本周重要資安事件回顧:
※首款以JavaScript撰寫的跨平台勒索軟體Ransom32現身!
※反IS駭客灌爆BBC當練兵,元旦前夕發動600Gb爆量DDoS攻擊
※國內4G防災示警廣播系統完成,幾秒內可向上百萬手機發出災防警訊