Поделиться
Пароли сотрудников МВД США подобрали за 90 минут и $15 тысяч
Как показал аудит безопасности, более чем 20% всех паролей сотрудников Министерства внутренних дел США оказались крайне уязвимы к взлому банальным перебором по словарю. Большая часть из них была восстановлена из хешей в течение 1,5 часа с использованием далеко не самого передового «железа» стоимостью около $15 тыс. Виноват не персонал, а странные политики безопасности, принятые в ведомстве.Беда с паролями в МВД
Пароль от каждой пятой учетной записи сотрудников Министерства внутренних дел США в Active Directory легко поддается взлому путем перебора, следует из отчета Управления Генерального инспектора МВД США, составленного по результатам аудита безопасности инфраструктуры ведомства.
Результаты не порадовали проверяющих. В общей сложности с помощью брутфорсинга им удалось восстановить 18174 пароля от аккаунтов, соответствующих проверяемым на надежность хешам из 85944. Причем 288 из этих аккаунтов обладали повышенным уровнем привилегий, а 362 принадлежали высокопоставленным сотрудникам сотрудников Министерства внутренних дел США.
Таким образом, около 21% от общего числа аккаунтов Active Directory ведомства оказались уязвимы к тривиальным методам взлома пароля. Более того, 16% – опять же от общего числа учетных записей – были подобраны в первые 90 минут работы специалистов.
В числе наиболее популярных паролей, которые удалось восстановить: Password-1234 (478 аккаунтов); Br0nc0$2012 (389 аккаунтов); Password123$ (318 аккаунтов); Password1234 (274 аккаунта); Summ3rSun2020! (191 аккаунт); 0rlando_0000 (160 аккаунтов); Password1234! (150 аккаунтов); ChangeIt123 (140 аккаунтов); 1234password$ (138 аккаунтов); ChangeItN0w! (130 аккаунтов).
Как проходила проверка
Проверяющим был предоставлен перечень хешей паролей (результат преобразования при помощи криптографической функции) в Active Directory 85944 сотрудников министерства. Active Directory представляет собой службу каталогов Microsoft Windows, распределенную базу данных со сведениями об объектах в сети, выступает системой аутентификации и авторизации пользователей и приложений.
Взлом учетных записей осуществлялся методом перебора пароля по словарю размером более чем 1,5 млрд строк. Словарь построен на основе следующих видов данных: фразы, представляющий собой отсылки к массовой культуре (крылатые выражение из сериалов, кино, литературы); оказавшиеся в открытом доступе подборки паролей, утекших из организаций государственного и частного секторов; распространенные «удобные» последовательности символов (к, примеру, “qwerty”); перечень понятий, широко используемых сотрудниками государственных структур США.
Примечательно, что для перебора паролей специалисты использовали далеко не самое современное оборудование совокупной стоимостью менее $15 тыс. Точная конфигурация вычислительной установки неизвестна, однако утверждается, что она включала два блока, содержащих по восемь графических ускорителей, отстающих на два-три поколения от текущего. Другими словами, задачу можно было бы решить и быстрее, вложив больше средств.
Требования не нарушены
Любопытен также и тот факт, что практически все (99,99%) из взломанных паролей соответствовали требованиям к сложности, предъявляемым министерством. В соответствии с ними кодовая фраза должна содержать символы, соответствующие как минимум трем из четырех типов: литера в нижнем регистре, литера в верхнем регистре, цифра и специальный символ. Общая длинна – не менее 12 знаков. То есть любой из перечисленных выше образцов типичного пароля в американском ведомстве соответствует этим критериям.
Как отмечает Ars Technica, подход к созданию паролей, выработанный специалистами по безопасности министерства, опирается на предположение о том, что злоумышленники, взявшиеся за взлом учетных записей методом брутфорсинга, прибегнут к последовательному перебору всех возможных комбинаций символов.
На практике же взломщики чаще используют словари с оказавшимися в Сети в результате прошлых кибератак паролями, отсортированными по убыванию популярности. Это позволяет добиться результата в значительно более короткие сроки и с меньшими затратами ресурсов.
В отчете, подготовленном аудиторами, отмечается, что Национальный институт стандартов и технологий США (NIST) рекомендует использование паролей, состоящих из нескольких слов, никак не связанных по смыслу, поскольку они куда более устойчивы к технике перебора (SP 800–63 Digital Identity Guidelines).
Кроме того, аудиторы поставили в укор министерству несоблюдение правила, которое обязывает сотрудников менять пароли каждые 60 дней. Однако ряд исследований, в частности, проведенных специалистами Университета Карнеги – Меллона и Карлтонского университета, показал, что подобные меры на практике не приводят к повышению уровня безопасности в организации и лишь создают дополнительные неудобства для персонала. Сотрудники, вынужденные периодически менять свои пароли, как правило, придерживаются определенного паттерна, который злоумышленнику легко распознать.
Системная проблема
В августе 2021 г. CNews писал о том, что, по данным отчета “America’s Data still at Risk”, в половине из восьми федеральных агентств США кибербезопасность «находится на катастрофическом уровне». Отчет подготовил и опубликовал Комитет Сената по внутренней безопасности и правительственным делам.
Худшие результаты по итогам аудита инфраструктуры продемонстрировали Государственный департамент, Министерство образования, Министерство транспорта и Управление соцобеспечения – они получили самую низкую оценку. Чуть лучше себе показали Министерства сельского хозяйства, жилстроительства и здравоохранения.
Только Министерство внутренней безопасности, по мнению инспекторов, сумело продемонстрировать существенный прогресс по сравнению с прошлогодней проверкой.
Короткая ссылка
