Разделы

Безопасность ИТ в госсекторе Техника

Пароли сотрудников МВД США подобрали за 90 минут и $15 тысяч

Как показал аудит безопасности, более чем 20% всех паролей сотрудников Министерства внутренних дел США оказались крайне уязвимы к взлому банальным перебором по словарю. Большая часть из них была восстановлена из хешей в течение 1,5 часа с использованием далеко не самого передового «железа» стоимостью около $15 тыс. Виноват не персонал, а странные политики безопасности, принятые в ведомстве.

Беда с паролями в МВД

Пароль от каждой пятой учетной записи сотрудников Министерства внутренних дел США в Active Directory легко поддается взлому путем перебора, следует из отчета Управления Генерального инспектора МВД США, составленного по результатам аудита безопасности инфраструктуры ведомства.

Результаты не порадовали проверяющих. В общей сложности с помощью брутфорсинга им удалось восстановить 18174 пароля от аккаунтов, соответствующих проверяемым на надежность хешам из 85944. Причем 288 из этих аккаунтов обладали повышенным уровнем привилегий, а 362 принадлежали высокопоставленным сотрудникам сотрудников Министерства внутренних дел США.

Таким образом, около 21% от общего числа аккаунтов Active Directory ведомства оказались уязвимы к тривиальным методам взлома пароля. Более того, 16% – опять же от общего числа учетных записей – были подобраны в первые 90 минут работы специалистов.

840px-54edd0ff1ca962414ea4b_600.jpg
Специалистам не составило труда восстановить 21% паролей Active Directory в Министерстве внутренних дел США

В числе наиболее популярных паролей, которые удалось восстановить: Password-1234 (478 аккаунтов); Br0nc0$2012 (389 аккаунтов); Password123$ (318 аккаунтов); Password1234 (274 аккаунта); Summ3rSun2020! (191 аккаунт); 0rlando_0000 (160 аккаунтов); Password1234! (150 аккаунтов); ChangeIt123 (140 аккаунтов); 1234password$ (138 аккаунтов); ChangeItN0w! (130 аккаунтов).

Как проходила проверка

Проверяющим был предоставлен перечень хешей паролей (результат преобразования при помощи криптографической функции) в Active Directory 85944 сотрудников министерства. Active Directory представляет собой службу каталогов Microsoft Windows, распределенную базу данных со сведениями об объектах в сети, выступает системой аутентификации и авторизации пользователей и приложений.

Взлом учетных записей осуществлялся методом перебора пароля по словарю размером более чем 1,5 млрд строк. Словарь построен на основе следующих видов данных: фразы, представляющий собой отсылки к массовой культуре (крылатые выражение из сериалов, кино, литературы); оказавшиеся в открытом доступе подборки паролей, утекших из организаций государственного и частного секторов; распространенные «удобные» последовательности символов (к, примеру, “qwerty”); перечень понятий, широко используемых сотрудниками государственных структур США.

Примечательно, что для перебора паролей специалисты использовали далеко не самое современное оборудование совокупной стоимостью менее $15 тыс. Точная конфигурация вычислительной установки неизвестна, однако утверждается, что она включала два блока, содержащих по восемь графических ускорителей, отстающих на два-три поколения от текущего. Другими словами, задачу можно было бы решить и быстрее, вложив больше средств.

Требования не нарушены

Любопытен также и тот факт, что практически все (99,99%) из взломанных паролей соответствовали требованиям к сложности, предъявляемым министерством. В соответствии с ними кодовая фраза должна содержать символы, соответствующие как минимум трем из четырех типов: литера в нижнем регистре, литера в верхнем регистре, цифра и специальный символ. Общая длинна – не менее 12 знаков. То есть любой из перечисленных выше образцов типичного пароля в американском ведомстве соответствует этим критериям.

Как отмечает Ars Technica, подход к созданию паролей, выработанный специалистами по безопасности министерства, опирается на предположение о том, что злоумышленники, взявшиеся за взлом учетных записей методом брутфорсинга, прибегнут к последовательному перебору всех возможных комбинаций символов.

Цифровизация выездного урегулирования задолженности: как технологии помогают банкам больше зарабатывать
ИТ в банках

На практике же взломщики чаще используют словари с оказавшимися в Сети в результате прошлых кибератак паролями, отсортированными по убыванию популярности. Это позволяет добиться результата в значительно более короткие сроки и с меньшими затратами ресурсов.

В отчете, подготовленном аудиторами, отмечается, что Национальный институт стандартов и технологий США (NIST) рекомендует использование паролей, состоящих из нескольких слов, никак не связанных по смыслу, поскольку они куда более устойчивы к технике перебора (SP 800–63 Digital Identity Guidelines).

Кроме того, аудиторы поставили в укор министерству несоблюдение правила, которое обязывает сотрудников менять пароли каждые 60 дней. Однако ряд исследований, в частности, проведенных специалистами Университета Карнеги – Меллона и Карлтонского университета, показал, что подобные меры на практике не приводят к повышению уровня безопасности в организации и лишь создают дополнительные неудобства для персонала. Сотрудники, вынужденные периодически менять свои пароли, как правило, придерживаются определенного паттерна, который злоумышленнику легко распознать.

Системная проблема

В августе 2021 г. CNews писал о том, что, по данным отчета “America’s Data still at Risk”, в половине из восьми федеральных агентств США кибербезопасность «находится на катастрофическом уровне». Отчет подготовил и опубликовал Комитет Сената по внутренней безопасности и правительственным делам.

Андрей Голов, «Код безопасности»: В многополярном мире мы могли бы создать киберальянсы
Безопасность

Худшие результаты по итогам аудита инфраструктуры продемонстрировали Государственный департамент, Министерство образования, Министерство транспорта и Управление соцобеспечения – они получили самую низкую оценку. Чуть лучше себе показали Министерства сельского хозяйства, жилстроительства и здравоохранения.

Только Министерство внутренней безопасности, по мнению инспекторов, сумело продемонстрировать существенный прогресс по сравнению с прошлогодней проверкой.

Дмитрий Степанов