В октябре 2025 случилось ограбление — самое масштабное ограбление Лувра за всё время его существования. Опустим подробности и обратим внимание на следующую деталь: расследование показало, что некоторые сегменты сети видеонаблюдения были защищены паролем «Лувр» (точнее, разумеется, «Louvre»), а часть системы безопасности была построена на ОС Windows Server 2003 и столь же устаревшем ПО для управления видеокамерами. Это — далеко не первый случай, когда простые пароли и устаревший софт помогают преступникам.

Устаревшее ПО, или зачем на самом деле нужны патчи безопасности

Начало 2024 года. Немецкий оператор железных дорог Deutsche Bahn ищет администратора для поддержки систем на Windows 3.11. «Работает — не трогай», говорят разработчики; однако многочисленные инциденты, приводящие к многомиллионным убыткам, говорят об обратном. И речь не только об устаревшем ПО. Для успешного взлома вполне достаточно, чтобы в современной программе или операционной системе оказалась какая-нибудь библиотека с неисправленной уязвимостью.

Именно так была взломана компания Equifax в 2017 году: хакеры использовали уязвимость CVE-2017-5638 в одном компонентов фреймворка Apache Struts, которая на момент атаки была давно исправлена производителем, но исправление не было установлено на компьютеры корпорации. В результате взлома утекли данные порядка 143 миллионов американских пользователей (больше половины всего совершеннолетнего населения страны). (nvd.nist.gov)

Всё ещё сомневаетесь в необходимости своевременной установки патчей безопасности, отключив обновления по принципу «работает — не трогай»? Тогда другой пример. Сетевой червь-вымогатель WannaCry (май 2017) — ещё один пример того, как операционные системы без актуальных патчей безопасности могут стать причиной масштабных проблем. WannaCry использовал эксплойт SMB EternalBlue, обнаруженный в Windows и давно исправленный Microsoft. Несмотря на доступность патчей безопасности, от атаки пострадали многочисленные госпитали, производители и сервисные компании по всему миру. Атака была глобальной, и привела к многомиллионным убыткам. А всего-то достаточно было вовремя установить обновление Windows. (cloudflare.com)

Что же до Лувра, то некоторые сегменты системы видеонаблюдения работали под управлением Windows Server 2003, которая уже больше десяти лет не получает никаких обновлений, в том числе и патчей безопасности.

Что делать: забыть мантру «работает — не трогай», своевременно обновлять ПО и устанавливать патчи безопасности. Заменять устаревшее и не поддерживаемое ПО, особенно в случаях, когда оно работает на компьютерах, контактирующих с внешним миром или работающих с важными данными.

И снова о многофакторной аутентификации

О двухфакторной аутентификации мы пишем много и постоянно. Сегодня многофакторная аутентификация используется всеми основными сервисами; мало кто подвергает сомнению её полезность. Но так было не всегда.

В мае 2021 произошёл инцидент Colonial Pipeline с сетевым вымогателем. Хакеры смогли воспользоваться скомпрометированной учётной записью от VPN, у которой не была настроена двухфакторная аутентификация. Проникнув в сеть, хакеры смогли развернуть вирус-вымогатель, что привело к многодневной остановке работы компании. (CISA)

В 2020 году произошёл инцидент с Twitter: злоумышленники использовали методы социальной инженерии и получили доступ к внутренним инструментам компании, после чего начали массово размещать постинги с криптовалютными мошенничествами от имени известных аккаунтов. Некоторые критические шаги стали возможны из-за отсутствия двухфакторной аутентификации и административных ограничений. Как отмечает отчёт Департамента финансовых услуг штата Нью-Йорк, «в течение нескольких часов весь мир наблюдал, как хакеры проводили публичную кибератаку, захватывая один за другим известные аккаунты и размещая сообщения с предложением “удвоить биткоины”». Последующий анализ инцидента показал, что использование двухфакторной аутентификации и более жёсткого контроля административных учётных записей позволило бы существенно ограничить масштаб атаки — а возможно, и полностью её предотвратить.

Сегодня мало кто будет спорить с необходимостью многофакторной аутентификации — но до сих пор время от времени появляется информация о взломах, которые стали возможными из-за утечки паролей.

Что делать: проконтролировать обязательное использование многофакторной аутентификации на всех учётных записях с административным и удалённым доступом; в обязательном порядке использовать многофакторную аутентификацию для всех сервисов, связанных с финансами, безопасностью или доступом к внутренним данным.

Пароли по умолчанию и нестойкие пароли

Слабые и заводские пароли — одна из самых живучих и при этом легко устранимых проблем в сфере кибербезопасности. Да, они иногда упрощают жизнь специалистам по восстановлению паролей, но в глобальном масштабе именно такие учетные данные ежегодно становятся причиной катастрофических утечек, о большинстве из которых общественность никогда не узнает.

Так, ботнет Mirai (2016) использовал стандартные и слабые пароли на устройствах IoT — маршрутизаторах, видеорегистраторах, камерах. Автоматические сканеры входили в систему под логинами вроде admin/admin или root/123456, после чего устройство становилось частью ботнета и участником мощных DDoS-атака. Причина та же — заводские настройки. (research.google.com)

Пять лет назад мы писали об уязвимости в сетевых накопителях Synology: функция шифрования папок использовала фиксированный, прошитый в систему пароль (wrapping passphrase) для всех устройств, в то время как производитель утверждал, что ключ уникален для каждого устройства. На практике это означало, что злоумышленнику, получившему доступ к системе или даже просто к диску или тому, не требовалось подбирать пароль, чтобы расшифровать данные. (Elcomsoft)

В 2021 году хакеры получили доступ к десяткам тысяч камер наблюдения через облачного провайдера и открыли трансляции из больниц, тюрем, офисов и школ. Атака оказалась примитивной: использовалась учётная запись «super admin» для входа в систему компании Verkada. Пример, можно сказать, хрестоматийный. (Bloomberg)

О проблеме все знают, но решать её не торопятся. Системы видеонаблюдения в Индии и других странах взламывались с помощью паролей admin123, а единственный стандартный пароль давал доступ к лифтам и системам контроля зданий. Исследование IBM показало, что большинство администраторов маршрутизаторов никогда не меняли заводские учетные данные, что наглядно демонстрирует масштаб этой элементарной ошибки. (ndtv.com)

Что делать: проверьте все устройства, у которых есть сетевой доступ (особенно — с выходом в интернет). Измените заводские пароли и откажитесь от техники, в которой это невозможно: такие устройства — прямое приглашение для хакеров. Слабые и стандартные пароли — лёгкая добыча для автоматических атак, с которых чаще всего начинается взлом.

Законодательные инициативы

Проблема заводских паролей хорошо известна по всему миру, и решать её приходится на уровне законов и регуляций. Новые законы перекладывают ответственность на производителей, обязывая их обеспечивать надёжную аутентификацию и исключать возможность доступа через общие заводские пароли.

Калифорния, США
Закон о безопасности интернета вещей (SB-327), вступивший в силу в 2020 году, стал первым подобным законом в мире. Он требует от производителей устройств либо задавать уникальные пароли для каждого экземпляра, либо заставлять пользователя сменить пароль при первичной настройке. Закон был принят именно из-за угроз вроде ботнета Mirai, который использовал стандартные логины и пароли для массовых атак.

Европейский Союз
Принятый в 2024 году Закон о кибербезопасности (Cyber Resilience Act, CRA) устанавливает базовые требования для всех устройств, подключённых к сети. Он запрещает использование универсальных заводских паролей и требует, чтобы пользователи были вынуждены задавать надёжный пароль при первичной настройке. Эти правила согласуются с ранее принятым стандартом ETSI EN 303 645, который прямо запрещает общие и «прошитые» пароли. Закон начал применяться с середины 2024 года.

Великобритания
Закон о безопасности продукции и телекоммуникационной инфраструктуре (PSTI Act), действующий с апреля 2024 года, обязывает производителей отказаться от «легко угадываемых» паролей вроде admin или 12345. Устройства должны либо иметь уникальные пароли, либо требовать их смены перед первым использованием. Также закон вводит обязательное раскрытие информации о сроках обновлений и уязвимостях. Нарушителям грозят штрафы до 10 миллионов фунтов или 4% мирового оборота.

Другие регионы
Штат Орегон в США принял аналогичный закон вскоре после Калифорнии. В Азии Япония и Сингапур выпустили рекомендации по IoT-безопасности, призывающие производителей использовать уникальные пароли и принципы «безопасности по умолчанию», хотя их соблюдение пока не является обязательным. В Китае и Индии внимание регуляторов пока сосредоточено на защите данных, но интерес к вопросам аутентификации растёт.

Общий вектор очевиден: уникальные или пользовательские пароли становятся обязательным требованием, а общие заводские — полностью запрещаются. Ответственность за базовую безопасность теперь лежит не на пользователях, а на производителях. Крупные юрисдикции постепенно переходят от добровольных рекомендаций к обязательным нормам, ликвидируя один из самых старых и предсказуемых источников цифровых угроз.

Заключение

Устаревшее программное обеспечение, слабые и заводские пароли, а также отсутствие многофакторной аутентификации остаются главными причинами инцидентов. Системы, которые больше не получают обновлений, становятся беззащитными, а учетные записи без второго фактора защиты легко взламываются при утечке пароля. Решение очевидно: обновляйте ПО, проведите аудит используемых паролей и включайте двухфакторную аутентификацию для всех важных учётных записей.

Слабые и заводские пароли по-прежнему подрывают даже хорошо защищённые системы. Проверяйте все устройства, подключённые к сети, меняйте заводские пароли на надёжные. Это займёт не так много времени, но защитит от автоматизированных атак.

Дополнения

Мы сделали небольшую подборку инцидентов, связанных со слабыми паролями и устаревшим ПО.