Новое обновление операционной системы Bullseye для Raspberry Pi исправила одну из основных уязвимостей: пароль и пользователя по умолчанию, под которым можно было получить доступ к устройству с расширенными правами и без особых усилий, так как эти пароли, которые идут по умолчанию, обычно никто не меняет.
Доступно более 200,000 компьютеров в Интернете под управлением ОС Raspberry Pi для разного рода проектов, по оценкам, у киберпреступников была огромная база, в которую можно было совать свой нос. Теперь от Raspberry это было обновлено, пытаясь улучшить безопасность.
Прощай, имя пользователя по умолчанию
До сих пор ОС Raspberry Pi поставлялась с учетными данными по умолчанию (пользователь: pi и пароль: raspberry) очень легко для хакеров. Это сделало их легкой мишенью для злоумышленников, поскольку устройства Raspberry Pi дешевы, просты в настройке, имеют преимущества «из коробки» и, скорее всего, будут подключаться через VPN or Wi-Fi. Настолько, что сочетание «пи» и «малина» оказалось на восьмом месте в недавний отчет о безопасности неудачные попытки входа в систему от фирмы Bulletproof.
Хотя знание имени пользователя само по себе обычно не очень помогает, оно может помочь в процессе кибератак:
«Если кто-то захочет взломать вашу систему, просто знание действительного имени пользователя не очень поможет; им также нужно будет знать ваш пароль, и вам нужно будет в первую очередь включить какую-либо форму удаленного доступа», — объясняет Саймон Лонг, старший инженер Raspberry Pi Trading. «Однако это могло бы немного упростить атаку грубой силы, и в ответ на это некоторые страны в настоящее время вводят законы, запрещающие любому устройству, подключенному к Интернету, иметь учетные данные для входа по умолчанию ".
Законы, о которых упоминает Саймон Лонг, являются, например, предложением Национальная кибербезопасность Великобритании Безопасность Центр (NCSC) которая хочет покончить с паролями устройств по умолчанию, поскольку их легко угадать, и они хотят, чтобы они были на шаг ближе к запрету.
Мастер создания нового пользователя и пароля
В последней версии ОС Raspberry Pi удалено имя пользователя «pi» по умолчанию, а новый мастер заставляет пользователя создать имя пользователя при первой загрузке только что прошитого образа ОС Raspberry Pi, хотя они знают о возможных несовместимостях, особенно в начале изменения.
«Это соответствует тому, как сегодня работает большинство операционных систем, и хотя это может вызвать некоторые проблемы, когда программное обеспечение (и документация) предполагает существование пользователя «пи», на данный момент это кажется разумным изменением».
Raspberry Pi по-прежнему позволит пользователям установить имя пользователя «pi» и пароль «raspberry», но выдаст предупреждение о том, что выбор значений по умолчанию не рекомендуется.
Хороший пароль для любого устройства, кроме того, что он должен быть персонализированным, а не использовать тот, который идет по умолчанию, важно, чтобы он был длинным и содержал буквы (как прописные, так и строчные), цифры и другие спецсимволы. Все это всегда случайно и пароль никогда не должен повторяться в другом месте , чтобы не вызвать эффект домино, если киберпреступники или хакеры обнаружат один из них.