Вот скажи честно: когда ты последний раз менял пароль на роутере или камере наблюдения? Если никогда — добро пожаловать в клуб тех, кого уже давно «просканили» боты с другого конца света. И не важно, ты айтишник или просто человек, который купил себе умную лампочку — пока у тебя стоит заводской пароль, ты в группе риска. Причём не "чуть-чуть", а по полной.
Сейчас в мире уже больше 15 миллиардов устройств, которые мы подключаем к интернету: камеры, колонки, чайники, замки, холодильники… всё, что только можно. По прогнозам, к 2030 году будет больше 41 миллиардатаких «умников». Проблема в том, что умнее они от количества не становятся — особенно, если на них пароль типа admin123.
Пароль по умолчанию = открытка хакеру
Ты покупаешь устройство, достаёшь из коробки, подключаешь — всё работает. Зачем менять пароль, если и так ок? Вот и думают так 70% пользователей, а некоторые даже гордятся: мол, «ничего не сломал — всё завёлось с первого раза».
А потом появляется такой красавец как ботнет Mirai, который не спит, не ест, а только сканирует интернет в поисках устройств с паролем admin/admin. Он не разговаривает, не ломает, он просто забирает себе твоё устройство и делает его частью своей армии. Камеру, роутер, да хоть дверной звонок — если можно подключиться, он это сделает. Всё просто: вшитый список из 62 самых популярных паролей, и пошёл по кругу.
Камера тебя снимает. А ещё — снимает кого-то в Китае
Ты можешь думать, что твоя камера смотрит на входную дверь и это никому не интересно. Но вон где-нибудь в Европе её уже смотрит бот, а потом использует в атаке на какой-нибудь онлайн-сервис. И это даже не шутка. Был случай, когда через такие камеры устроили DDoS-атаку на 1 Тбит/с — это как если бы одновременно все жители России попытались посмотреть «Ютуб» в 4K.
Что особенно бесит — производители до сих пор пихают на устройства одинаковые пароли. Да, в 2024-м году. Например, admin/admin для камер Dahua или 12345 для HikVision. Это даже не пароли, а издевательство.
А теперь прикинь, сколько всего у тебя дома
Роутер, камера, ТВ-приставка, умная колонка, может, робот-пылесос… На каждое из этих устройств можно зайти удалённо — если оно открыто и пароль не менялся. Статистика жуткая: в среднем каждое устройство получает 10 атак в день. То есть твой чайник пытаются взломать чаще, чем ты проверяешь почту. Представь.
«Ну и что?» — скажешь ты. А вот что:
- Камеру могут включить в любой момент и смотреть, как ты смотришь «Мажора» в трусах.
- Роутер могут превратить в точку для распространения вирусов.
- А могут просто вывести из строя — и останешься без интернета в самый нужный момент. Например, когда собрался заплатить за электричество.
Что делать?
Для производителей всё просто: перестаньте лепить одинаковые пароли! Генерируйте уникальные, заставляйте менять при первом запуске, как это делают нормальные приложения. Вон Apple и Google — с них пример.
Для нас, простых смертных, чеклист тоже короткий:
- Зашёл — поменяй пароль. Да, прямо сейчас.
- Используй двухфакторку, если поддерживается.
- Обновляй прошивку. Да, даже если лень. Один раз — и спишь спокойно.
- Раздели сеть: пускай у тебя телевизор не в одной сети с ноутбуком, где банк.
- И поставь мониторинг на роутер — хотя бы самый простой, чтобы видеть, кто у тебя дома тусуется в Wi-Fi.
А как там с законом?
Калифорния уже давно запретила заводские пароли. У нас в России тоже что-то двигается: новые ГОСТы, стандарты по NB-IoT, принципы доверия и прочее. Но, честно говоря, пока производитель не начнёт отвечать рублём, всё это будет «бумажная безопасность». Поэтому ориентируемся на себя. На свою паранойю. И, может быть, на хорошего провайдера.
Будущее будет подключено. Вопрос — к кому?
С каждым годом будет только хуже. Искусственный интеллект уже умеет угадывать пароли, взламывать логики аутентификации, отлавливать уязвимости быстрее, чем человек их исправляет. Камеры станут умнее, чайники — хитрее, а вот пользователь… ну, ты понял.
Пока не начнём относиться к домашней сети как к банковскому аккаунту, всё будет так же грустно.
А теперь скажи честно:
А ты хоть раз менял пароль на камере или роутере после покупки? Или, может, до сих пор живёшь с admin/admin? Напиши в комментах, посмотрим, насколько мы все в одной лодке.