В США проверяющие за 15 тыс. долларов взломали федеральное агентство

Управление генерального инспектора Министерства внутренних дел осуществляет надзор за исполнительным агентством США, которое заведует федеральными землями, национальными парками и бюджетом в миллиарды долларов. В управлении заявили, что начали расследование после того, как предыдущая проверка выявила уязвимости в дюжине агентств и бюро МВД. На этот раз цель состояла в том, чтобы выявить защищённость земельного департамента.


Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.

Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.

Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.

Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.


В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.