Ряд паролей, используемых четырьмя федеральными правительственными
учреждениями, включая департамент премьер-министра, с лёгкостью могут быть
взломаны хакерами путем перебора, сообщается в официальном аудиторском
заключении.
Отчет, приведённый Австралийской Национальной Аудиторской Компанией (Australian
National Audit Office), показал, что около 20% паролей каждого учреждения могут
быть взломаны путем перебора всех возможных вариантов. "Наиболее значимым
является то, что в трёх из четырёх учреждений, прошедших аудиторскую проверку,
тест взломал некоторые административные и/или сервисные пароли", – сообщается в
заключении.
"Эти виды учетных записей предоставляют высокий уровень доступа к ИТ-системам.
Если хакер смог получить доступ к системе, взломав административный или
сервисный пароль, могут быть серьёзные последствия для безопасности всего
учреждения".
Брутфорс перебор в тестах дополнили двумя другими методами - перебором по
словарю и гибридным. В словарь включили 3000 общеупотребительных слов, а
гибридная проверка протестировала эти же слова плюс цифры.
Гибридные и проверки по словарю были "не очень удачными", подчеркивается в
отчете, с показателем эффективности менее чем 5% взломов в каждом из 4-ех
правительственных агентств.
Крис Гатфорд, эксперт по безопасности Hacklabs, сообщил о желании получить
больше информации о методах взлома паролей, которые использует аудиторская
проверка, т.к. это определило бы причину уязвимости паролей. Кроме этого он
сообщил, что простые пароли, используемые для защиты уязвимых учётных записей и
систем, никогда не перестают его удивлять. Индустрия безопасности в течение
нескольких лет предупреждает организации использовать комплексные, сложные
пароли, однако эти просьбы ни на кого не действуют.
Некоторые "стандартные настройки безопасности" – такие как блокировка
аккаунта после определённого количества неудачных попыток входа – "способны
уменьшить риск, связанный с атаками путём перебора", говорится в заключении.
Проверяемыми учреждениями являлись Отдел Управления Финансами Австралии,
Система Государственного Медицинского Страхования Австралии, Департамент
Премьер-министра и Кабинета Министров и пр.
Доклад также обнаружил, что процедуры и методы защиты в правительстве
устарели и что каждое из четырёх учреждений нуждается в обновлении и составлении
стандартных методов работы экспертов по безопасности
информационно-коммуникационных технологий.
