Urzędnicy często działają na bardzo prywatnych danych obywateli, albo mają dostęp do rzeczy tajnych, których lepiej, aby nie dostali w swoje ręce wszelkiej maści przestępcy. A tymczasem, wychodzi na to, że Amerykanie - ponoć jedna z najbardziej rozwiniętych nacji na świecie - używają tragicznie prostych haseł do ochrony kont sieciowych urzędników.
Używanie takich haseł to wstyd. Robiło tak naprawdę wielu urzędników
Hasła były na tyle słabe, że można było złamać je za pomocą standardowych metod. Audyt bezpieczeństwa wykazał, że używano nawet tak trywialnie prostych kombinacji znaków jak Password1234, Password1234! i ChangeItN0w!. Nie trzeba być chyba geniuszem, aby zauważyć, iż używanie takich haseł to jak proszenie się o atak cybernetyczny. W Departamencie Spraw Wewnętrznych, audyt został przeprowadzony przez jednego z inspektorów - użył on hashy dla 85 944 kont pracowników Active Directory, a także listę 1,5 miliarda słów, która bazowała na takich rzeczach, jak słowniki językowe, terminologię rządu USA, odniesienia do popkultury, publicznie dostępne bazy haseł oraz popularne wzory na klawiaturach (jak np. QWERTY, czy zaq1@WSX).
Audytorom udało się złamać za pomocą listy wyrazów aż ponad 18 tysięcy kont: czyli ponad 1/5 wszystkich. I teraz najlepsze: 288 z nich miało podwyższone uprawnienia: miało więc dostęp do naprawdę newralgicznych danych i ich przejęcie mogłoby zakończyć się co najmniej bardzo źle. Warto wskazać, że 362 z nich należało do wysokich rangą pracowników rządowych. I co ciekawe, w ciągu 90 minut testów, audytorzy złamali hashe dla 16% kont użytkowników w departamencie. Przecież to wygląda jak kryptogragiczny dramat...
MFA w urzędzie? A gdzie tam
To, co jest standardem w zabezpieczeniach dla zwykłych użytkowników w Internecie, niekoniecznie musi być honorowane w urzędach. Bo i po co? Nie było obowiązku ustawiania wielkoskładnikowego uwierzytelniania, a zatem 25% kont nie miało ustawionej takiej funkcji. Niezależnie od tego, w jaki sposób miałoby ono działać: czy za pomocą "fizycznego klucza" (np. konkretnego urządzenia przechowującego dane, na USB), czy też wykorzystując jednorazowe kody - dodatkowa warstwa bezpieczeństwa byłaby znacznie lepsza niż brak takiej ochrony. Ale cóż, urzędnicy absolutnie o tym nie pomyśleli.
Warto przyjrzeć się używanym przez urzędników hasłom z uwzględnieniem ilości kont, na których je
- Password-1234 - 478
- Br0nc0$2012 - 389
- Password123$ - 318
- Password1234 - 274
- Summ3rSun2020! - 191
- 0rlando_0000 - 160
- Hasło1234! - 150 : jest więc i polski akcent
- ChangeIt123 - 140
- 1234password$ - 138
- ChangeItN0w! - 130
Jak podaje TechCrunch, zbudowanie platformy mającej za zadanie łamać te hasła, kosztowało mniej niż 15 000 dolarów. Maszyna używała dwóch platform wykorzystujących 8 procesorów graficznych (łącznie: 16). Platforma radziła sobie bardzo dobrze z łamaniem haseł za pomocą rozkodowywania hashy. Trzeba przyznać, że i w przypadku urzędników mających dostęp do naprawdę kluczowych informacji, znajduje się wiele osób, które nie potrafią strzec kont, których używają. A to naprawdę smutne, bo atak cybernetyczny na ich dane - mógłby skończyć się bardzo, bardzo źle. Zastanawiam się, jak wygląda to w przypadku kont używanych przez... polskich urzędników.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu