
В США проверяющие за 15 тыс. долларов взломали федеральное агентство
Управление генерального инспектора Министерства внутренних дел осуществляет надзор за исполнительным агентством США, которое заведует федеральными землями, национальными парками и бюджетом в миллиарды долларов. В управлении заявили, что начали расследование после того, как предыдущая проверка выявила уязвимости в дюжине агентств и бюро МВД. На этот раз цель состояла в том, чтобы выявить защищённость земельного департамента.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
- Дмитрий Ладыгин
- pexels.com/photo/685674
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

Вот уже 17 лет власти Египта запрещают археологам исследовать легендарный Лабиринт
Что скрывает Египет: библиотеку Атлантиды или доказательства переписывания истории?...

Воскрешение монстра: Colossal возвращает к жизни 3,6-метровую птицу-убийцу моа!
Сможет ли 230-килограммовый гигант из Новой Зеландии выжить среди людей?...

Кости Христа находятся... в США: Тамплиеры бросают вызов Ватикану с помощью ДНК-тестов
Глава ордена: «Саркофаги с останками семьи Иисуса спрятаны от Папы. Мы везли не золото — везли Бога»....

«Богатые тоже плачут»: США открыли «новую эру энергетики» — 800 часов в год без света!
Штаты хвастались ИИ, а электросети «горят» даже от чат-ботов… Россия тем временем запускает термояд....

Антарктида включила режим самоуничтожения? Лед тает, соль растет
Данные со спутников вызвали настоящую панику среди ученых....

Пока все спорят, был ли «Титаник» непотопляемым, вот что обещали за билет в 8700 $ (≈ 220 000 сегодня)
Эксперты рассказали, почему никто не верил в катастрофу....

Такого экологи не ждали: Китай очистил у себя воздух и... подогрел всю планету
Хотели, как лучше, а получилась климатическая бомба....

Расшифрована тайна народа Ад: 2400-летние письмена в оманских пещерах оказались посланием исчезнувшей цивилизации
Лингвист взломал код, который ученые не могли прочитать в течение 100 лет. Вывод эксперта: «Это не Аравия. Это нечто грандиознее»....