В США проверяющие за 15 тыс. долларов взломали федеральное агентство
Управление генерального инспектора Министерства внутренних дел осуществляет надзор за исполнительным агентством США, которое заведует федеральными землями, национальными парками и бюджетом в миллиарды долларов. В управлении заявили, что начали расследование после того, как предыдущая проверка выявила уязвимости в дюжине агентств и бюро МВД. На этот раз цель состояла в том, чтобы выявить защищённость земельного департамента.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
- Дмитрий Ладыгин
- pexels.com/photo/685674
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
Конец 30-летней легенды: Эверест может лишиться одного из главных символов
Эксперты предупреждают индийское правительство: экспедиция будет крайне опасной и вряд ли закончится успехом. Почему?...
Феномен Великой Зеленой стены: за счет чего 66 миллиардов деревьев, высаженных Китаем, растут быстрее естественных лесов?
И почему ученые решили, что природные леса все-таки лучше рукотворных?...
Тайна золотого вулкана: почему гора в Антарктике извергает драгоценный металл?
Ученые уже 30 лет пытаются разгадать этот природный детектив. Что удалось узнать исследователям...
Проклятье 30 июня: почему в этот день произошло столько крупных катастроф?
Официально виновата погода, но изучение деталей до сих пор вызывает множество вопросов...
Тайну четырех черных яиц с 6000-метров глубины океана раскрыли японские ученые
Дно морей изучено гораздо хуже, чем поверхность Марса и Луны. Неудивительно, что исследователи постоянно делают открытия...
«День разоблачения»: какие реальные истории об НЛО легли в основу фильма Стивена Спилберга
Режиссер говорит, что шел к этой картине долгих 50 лет...
Аномальный дождь из рыбы: 150 лет ученые не могут объяснить эту тайну природы
Это явление официально считается неразгаданным феноменом и проходит в категории чудес и головной боли для науки...
Гигантские огненные вихри помогут ликвидировать разливы нефти
Новый метод поможет решить многие проблемы, но без ложки дегтя все-таки не обошлось...
Откуда на Луне вода? Тайну раскрыл новый эксперимент американских ученых
Почему новое открытие — это огромный шаг в сторону космической колонизации?...
Серная кислота в небе: чем грозит пассажирам новый экологический проект?
Эксперты говорят: от этих планов вряд ли откажутся. Но есть ли у нас время, чтобы подготовиться?...
Почему только люди ходят во сне? Ученый рассказал секреты лунатизма
Оказалось, этой привычке миллионы лет. Все дело в социальном коконе...
Космический детектив: почему уникальную планету GJ 3378b никак не признают «второй Землей»?
Сами ученые призывают не торопиться с выводами, ведь истории с инопланетным объектом существует множество интересных нюансов...
Ученые «разжаловали» индонезийских хоббитов из умников: огнем не владели, подъедались за варанами
Что же заставило археологов переписать целый пласт древней истории?...