Где слабые места?
артикул
23
АКЦИИ
Кен Манро, партнер Pen Test Partners, подробно описывает многочисленные аспекты программных систем операторов поездов, которые необходимо проверять и защищать для предотвращения хакерских и злонамеренных атак, а также для защиты данных пассажиров…
Wi-Fi быстро становится обычной и ожидаемой услугой поездов, позволяя пассажирам просматривать веб-страницы и продуктивно работать во время поездки, а персоналу использовать беспроводные системы продажи билетов. В мае 2018 года министр транспорта Крис Грейлинг выступил в защиту своей «Стратегии цифровых железных дорог» 9.0011 1 в Infrarail, которая во время цифровой трансформации будет реализовывать подключение Wi-Fi со скоростью 1 Гбит/с на железнодорожных маршрутах в Великобритании. Это означает, например, что водители будут получать информацию в режиме реального времени с использованием беспроводных сетей, а не полагаться на сигналы на трассе.
Тем не менее, эта коммуникационная сеть может представлять угрозу честности оператора поезда.
В ходе двух недавних расследований от имени железнодорожных операторов мы обнаружили ряд проблем с сетями Wi-Fi в поездах. Во-первых, не было разделения между пассажирами, персоналом и самой сетью управления поездом. Неспособность изолировать системы потенциально может позволить пассажиру или злоумышленнику легко перейти из одной системы в другую. Разделение является обязательным, и все же эта основная мера безопасности была проигнорирована.
Проблема сегрегации еще больше усугубилась из-за использования слабой системы безопасности администратора. Использовались пароли по умолчанию, которые можно легко найти в Интернете, а другие пароли были чрезвычайно слабыми, что позволяло легко подобрать их и взломать.
В ходе отдельного второго расследования нам удалось получить доступ к личным данным пассажиров, включая данные их кредитных карт. Опять же, разделения не было, что позволило нам соединить беспроводную сеть с проводной сетью и найти сервер базы данных с учетными данными по умолчанию на соединителе. После непродолжительного осмотра мы наткнулись на записи личных кредитных карт пассажиров эконом-класса, оплативших доступ к Wi-Fi. Это дало нам информацию от имен пассажиров до адресов электронной почты и данных кредитной карты.
Ступенчатые атаки
Сети Train Wi-Fi обеспечивают удобную отправную точку для проведения атаки. Они предоставляют любопытному пассажиру или злонамеренному злоумышленнику средства потенциального сбора данных о пассажирах, получения доступа к билетам на поезд и даже захвата систем управления поездом, что делает Wi-Fi реальной угрозой для честности оператора.
Пассажиры должны иметь возможность направлять трафик только со своих устройств в Интернет. Интерфейс администратора беспроводного маршрутизатора также не должен быть доступен для пассажиров, поэтому для предотвращения этого должен существовать список контроля доступа. Операторы поездов должны проверить, могут ли пассажиры получить доступ к интерфейсу администратора, поскольку он часто доступен по IP-адресу шлюза.
В идеале пассажирский Wi-Fi должен быть полностью изолирован и физически использовать отдельное оборудование. Это дороже, но это предпочтительный вариант, и сколько предприятий устанавливают Wi-Fi в офисной среде — с отдельными маршрутизаторами и интернет-потоками.
Создание моста можно предотвратить, усложнив учетные данные для входа в систему. Во многих случаях они не были изменены по умолчанию или слишком просты. Они часто остаются на месте из-за сложного процесса перенастройки маршрутизаторов, поэтому стоит выяснить, насколько легко изменить данные для входа в систему и исправить эти системы, прежде чем приступать к установке.
Риски маршрутизатора
Хотя эти шаги, возможно, предотвратили появление слабых мест, мы обнаружили, что другие проблемы безопасности, связанные с инфраструктурой Wi-Fi, остались.
Недостатки безопасности являются показательным примером. Они часто встречаются в сетевом оборудовании и позволяют хакеру обходить аутентификацию и маршрутизацию на беспроводных маршрутизаторах. Поэтому операторам следует проверять наличие обновлений программного и микропрограммного обеспечения и проверять, как часто применяются исправления для устранения недостатков безопасности в их беспроводной инфраструктуре.
Физическая безопасность является еще одной проблемой, поскольку маршрутизаторы часто доступны в самом поезде. Мотивированный хакер будет готов открывать шкафы в поезде, а стандартные квадратные ключи легко клонировать или взломать; предлагая небольшой сдерживающий фактор. Посмотрите, размещены ли беспроводные маршрутизаторы за легкодоступными шкафами в вестибюлях, а не в более безопасных хранилищах.
Требуется всего несколько минут, чтобы открыть дверь и подключиться к одному из портов Ethernet на беспроводном маршрутизаторе, после чего может быть возможен доступ к более конфиденциальным сетям.
Черные пятна
Когда дело доходит до «черных зон» покрытия, операторы поездов обычно прибегают либо к спутниковой связи, либо к путевому оборудованию для обеспечения связи.
Поставщики спутниковых терминалов и интеграторы часто предпринимают минимальные шаги для обеспечения безопасности терминала, поэтому стоит отметить, что если терминалы находятся в общедоступном Интернете — они должны находиться в пространстве частных IP-адресов — поддерживают ли они программное обеспечение терминала в актуальном состоянии и если учетные данные администратора сильные. К сожалению, эти терминалы невероятно легко найти в Интернете. Быстрое прочтение Shodan 2 поисковая система, использующая торговую марку поставщика услуг спутниковой связи/Wi-Fi, и ее можно найти и определить учетные данные по умолчанию.
Железнодорожное оборудование часто считается более недоступным, но на самом деле расположение на трассе не представляет особых трудностей для решительного хакера. Сетевые порты внутри них могут быть оставлены открытыми и к ним легко подключиться, что позволяет злоумышленнику проникнуть в сеть и перейти к более крупным целям.
Наконец, проблема с медиасерверами. Операторы предлагают потоковую передачу мультимедиа с локальных серверов в поезде, чтобы минимизировать пропускную способность и улучшить качество обслуживания. В прошлом было множество проблем с безопасностью, связанных с серверами потоковой передачи, поэтому операторы должны проверять, что они заблокированы и обновляются.
Установка не является гарантией
Операторы поездов, с которыми я разговаривал, использовали третьи стороны для предоставления и интеграции своего пассажирского Wi-Fi, что похвально, однако те же специалисты по Wi-Fi не всегда разбираются в безопасности. Все, что требуется, — это несколько простых упущений, и сети управления поездами и продажи билетов становятся уязвимыми.
Каталожные номера
- https://www.gov.uk/government/news/better-mobile-and-wi-fi-connectivity-for-rail-passengers
- https://www.shodan.io/
Биография
Кен Манро — успешный предприниматель, основатель и партнер Pen Test Partners. Он входит в исполнительный руководящий совет Фонда безопасности IoT, целью которого является продвижение безопасности и улучшение стандартов на рынке. Кен работает в сфере информационной безопасности почти 20 лет.
Бесплатный безопасный онлайн-генератор паролей для создания случайных паролей
В настоящее время защита вашей цифровой конфиденциальности стала проблемой.
Существует множество вредоносных программ, а также шпионских агентств, которые хотят постоянно следить за вами. Более того, злоумышленники пытаются напрямую скомпрометировать веб-сайты. Поэтому становится обязательным, чтобы вы создали надежный пароль, а также не использовали один и тот же пароль для более чем одной онлайн-службы, поскольку, если какая-либо из них будет скомпрометирована, злоумышленник получит ваш пароль только для этой службы. Использовать везде один и тот же пароль — очень плохая практика по понятным причинам — все ваши онлайн-аккаунты могут быть взломаны в случае утечки пароля.
Кроме того, также не рекомендуется использовать случайные общие пароли, такие как «пароль», «qwerty», «spiderman123» и т. д. Злоумышленники могут легко взломать ваш аккаунт с помощью грубой силы, если вы используете такие простые и легко угадываемые пароли . От покупок до банковских операций и ваших учетных записей в социальных сетях — использование отдельных надежных паролей является вашей основной защитой.
И в любом случае, будь то пароль Wi-Fi, пароль сетевого банка или пароль вашего компьютера, вы должны создавать и использовать надежные пароли, и в этом может помочь генератор паролей. В этом посте мы рассмотрим некоторые из бесплатных безопасных онлайн-генераторов паролей, доступных в Интернете.
1] LastPass
LastPass — это отличный кроссплатформенный сервис и приложение для управления паролями, которое помогает пользователям создавать надежные пароли и управлять ими. Их веб-сайт также предлагает веб-инструмент, где вы можете выбирать различные параметры или устанавливать условия для создания случайных паролей. LastPass может генерировать пароль длиной до 99 символов. Очевидно, вы можете выбрать длину пароля, алфавиты, цифры и специальные символы. Также можно создавать произносимые пароли, но это не рекомендуется.
Чтение : проверьте надежность своего пароля с помощью инструментов проверки надежности пароля.
2] Службы MSD
Службы MSD — идеальная альтернатива генератору паролей LastPass.
Этот сервис поставляется с множеством настроек и опций, которые можно использовать для создания надежного пароля. Вы можете включать строчные буквы, заглавные буквы, цифры и специальные символы. Как и генератор паролей LastPass, службы MSD также могут создавать произносимые пароли, что упрощает их запоминание. Можно создать пароль любой длины. Он даже может создать 255 паролей одновременно, что является уникальной особенностью этого онлайн-генератора паролей.
3] Генератор паролей
Это самый популярный онлайн-генератор паролей для создания случайных паролей. Как и другие генераторы надежных паролей, вы можете использовать специальные символы, заглавные буквы, строчные буквы, цифры, неоднозначные символы и многое другое. С другой стороны, вы можете создать очень надежный пароль, изменив его длину. Хотя это позволяет вам сгенерировать пароль из 2048 символов, это может быть нежелательно, поскольку большинство служб имеют ограничение на использование длинных паролей.
В противном случае это, вероятно, самый простой в использовании генератор паролей.
4] Dashlane
Dashlane — это кроссплатформенное приложение и сервис для управления паролями. Однако вы можете использовать генератор паролей Dashlane, не загружая приложение Dashlane на свой мобильный телефон или ПК. Вы можете легко создать надежный пароль, включив в него цифры, символы, буквы и т. д. Вы также можете создавать легко произносимые пароли. Хотя он не содержит таких параметров, как службы MSD, вы наверняка можете установить длину пароля. Используя эту услугу, можно создать пароль с минимальной длиной 4 символа и максимальной длиной 28 символов.
5] Maord
Это может быть не так популярно, как другие, но у него есть потрясающая функция. Он позволяет преобразовать пароль из обычного текста в хэш MD5. Это позволит вам выполнить преобразование автоматически. Вам не нужно будет использовать какой-либо другой конвертер текста в MD5, чтобы добиться цели.
Поэтому зайдите на сайт Maord, выберите длину пароля (4-64 символа), количество (1-2500), включите или исключите строчные буквы, заглавные буквы, цифры, символы и т. д. Есть два варианта включения или исключить несколько символов, таких как -l, i, I, 0, O, o, 1 и преобразовать в значение Hash. Вы также можете получить пароли в файле CSV, и это, безусловно, плюс этого онлайн-генератора паролей.
Есть несколько других бесплатных онлайн-генераторов паролей, которые позволяют создавать надежные случайные пароли. Дайте нам знать, если вы хотите порекомендовать что-либо.
Дата: Теги: пароли, веб-сайты
сообщите об этом объявлении[email protected]
MVP программы предварительной оценки Windows (2016–2022). Пожалуйста, сначала прочитайте весь пост и комментарии, создайте точку восстановления системы, прежде чем вносить какие-либо изменения в свою систему, и будьте осторожны с любыми сторонними предложениями при установке бесплатного программного обеспечения.
