Raport nosi nazwę Password Research Report, a badane protokoły to Remote Desktop Protocol (RDP) i Secure Shell (SSH). To właśnie te dwa protokoły są używane najczęściej podczas procesu konfigurowania w chmurach maszyn wirtualnych. Rapid7 odkrył, że trzy najpopularniejsze nazwy użytkownika dla RDP to o zgrozo takie wyrażenia, jak „administrator”, „użytkownik” i „admin”. To zatrważające, gdyż to właśnie protokół RDP jest wykorzystywany najczęściej do przeprowadzania ataków ransomware, które są obecnie prawdziwym utrapieniem firm.

Z kolei trzy najpopularniejsze nazwy użytkownika dla protokołu SSH to „root”, „admin” i „nproc”. Aby przeprowadzić badanie, firma Rapid7 przyjrzała się poświadczeniom używanym przez hakerów, wtedy gdy przeprowadzali ataki typu brute force na skonfigurowaną przez nią sieć-pułapkę typu honeypot. Analiza używanych wtedy nazw użytkowników i haseł wskazuje na to, że większość takich ataków przeprowadzały boty.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Microsoft zaatakowany przez Rosjan - celem kluczowe systemy

W przypadku protokołu SSH dwie wyróżniające się nazwy użytkownika wybierane przez boty to „root” i „admin”. Dzieje się tak prawdopodobnie dlatego, że większość dystrybucji Linuksa jest dostarczana z użytkownikiem noszącym nazwę „root”, podczas gdy „admin” jest powszechną domyślną nazwą użytkownika w routerach i urządzeniach IoT. Jeśli chodzi o hasła, to Rapid7 przechwycił 497 848 wyrażeń, a zdecydowanie dwie najczęstsze próby to „123456” i „password”.

Aby chronić protokoły RDP i SSH, należy bezwzględnie używać firmowej sieci VPN i ograniczać połączenia zdalne. Jeśli jednak musimy już używać takich połączeń, powinny one działać tylko za pośrednictwem hostów uwierzytelnionych przez VPN. Ponadto, aby zapobiec większości ataków brute-force, warto zmienić porty, co znakomicie utrudnia życie hakerom. W przypadku protokołu RDP najlepszą ochroną jest ograniczenie dostępu przez zapory sieciowe i sieciowe grupy zabezpieczeń, tak aby dostęp do wystąpień z ujawnionym protokołem RDP można było uzyskać tylko z zaufanych adresów IP.

Podczas sesji SSH najważniejszym środkiem bezpieczeństwa, jaki można zastosować, jest wyłączenie uwierzytelnianie oparte nie na hasłach, a na certyfikatach. Zaleca się również ograniczenie liczby użytkowników, którzy mają włączoną obsługę SSH, co można zrobić modyfikując plik sshd_config, Dobrym pomysłem jest również całkowite wyłączenie protokołu SSH dla wszystkich kont root, a także zmiana maksymalnej dopuszczalnej dla danego systemu liczby prób logowania.