Bir hükümet gözlemcisi İçişleri Bakanlığı’nın siber güvenlik duruşuna sert bir sitem yayınladı ve bakanlığın güvenlik politikaları kolayca tahmin edilebilir parolalara izin verdiği için binlerce çalışan kullanıcı hesabını kırabildiğini tespit etti. 'Password1234'.
bu raporlamak Ülkenin federal arazisini, milli parklarını ve milyarlarca dolarlık bir bütçeyi yöneten ABD yürütme dairesinin gözetimi ile görevli İçişleri Bakanlığı Genel Müfettişliği Ofisi tarafından, bakanlığın tek yol olarak şifrelere güvendiğini söyledi. En önemli sistemlerinden bazılarını ve çalışanlarının kullanıcı hesaplarını koruma çabası, hükümetin daha güçlü iki faktörlü kimlik doğrulamayı zorunlu kılmaya yönelik kendi siber güvenlik rehberliğine yaklaşık yirmi yıldır karşı çıkıyor.
Zayıf parola politikalarının departmanı, operasyonlarında “yüksek olasılıkla” büyük kesintilere yol açabilecek bir ihlal riskiyle karşı karşıya bıraktığı sonucuna varıyor.
Başmüfettişlik ofisi, soruşturmanın ardından soruşturma başlattığını söyledi. önceki test Teşkilatın siber güvenlik savunmalarının büyük bir kısmı, İçişleri Bakanlığı’nın bir düzineden fazla teşkilat ve bürolarında gevşek parola politikaları ve gereklilikleri buldu. Bu kez amaç, departmanın güvenlik savunmalarının çalınan ve kurtarılan parolaların kullanımını engellemeye yeterli olup olmadığını belirlemekti.
Parolaların kendileri her zaman okunabilir biçimlerinde çalınmaz. Web sitelerinde ve çevrimiçi hizmetlerde oluşturduğunuz parolalar genellikle karıştırılır ve insanlar tarafından okunamayacak şekilde saklanır – genellikle bir dizi görünüşte rastgele harf ve sayı olarak – böylece kötü amaçlı yazılım veya bir veri ihlali tarafından çalınan parolalar kolayca kullanılamaz. daha fazla hack. Buna parola karma denir ve bir parolanın karmaşıklığı (ve onu şifrelemek için kullanılan karma algoritmanın gücü), bir bilgisayarın parolayı çözmesinin ne kadar süreceğini belirler. Genel olarak, parola ne kadar uzun veya karmaşıksa, kurtarılması da o kadar uzun sürer.
Ancak bekçi çalışanları, departmanın minimum güvenlik gereksinimlerini karşılayan parolaların, kullanıma hazır parola kırma yazılımı kullanılarak kurtarılmasının yüz yıldan fazla süreceği iddialarına güvenmenin, parolaların güvenli olduğuna dair “yanlış bir güvenlik duygusu” yarattığını söyledi. büyük kısmı, günümüzde mevcut olan bilgi işlem gücünün ticari olarak bulunabilirliğinden kaynaklanmaktadır.
Gözlemci, amacını ortaya koymak için, hashlenmiş parolaları kurtarmak gibi karmaşık matematiksel görevleri üstlenmek için tasarlanmış bilgi işlem gücüne sahip bir parola kırma teçhizatı (yüksek performanslı bir bilgisayardan veya birkaçının birbirine zincirlenmesinden oluşan bir kurulum) oluşturmak için 15.000 dolardan daha az para harcadı. Watchdog, ilk 90 dakika içinde yaklaşık 14.000 çalışan parolasını veya aşağıdaki parolalar dahil olmak üzere tüm departman hesaplarının yaklaşık %16’sını kurtarmayı başardı. 'Polar_bear65' ve 'Nationalparks2014!'.
Gözlemci ayrıca, üst düzey devlet çalışanlarına ait yüzlerce hesabı ve hassas veri ve sistemlere erişim için yükseltilmiş güvenlik ayrıcalıklarına sahip diğer hesapları kurtardı. 4.200 hashlenmiş parola, ek sekiz haftalık test süresi boyunca kırıldı.
Şifre kırma donanımları yeni bir kavram değil, ancak çalışmak için önemli miktarda bilgi işlem gücü ve enerji sarf malzemesi gerektirirler ve yalnızca nispeten basit bir donanım yapılandırması oluşturmak kolayca birkaç binlerce dolara mal olabilir. (Karşılaştırma için, Beyaz Meşe Güvenlik 2019’da oldukça güçlü bir teçhizat için donanıma yaklaşık 7.000 dolar harcadı.)
Parola kırma donanımları, karıştırılmış parolalarla karşılaştırma yapmak için büyük miktarlarda insan tarafından okunabilen verilere de güvenir. Hashcat gibi açık kaynaklı ve ücretsiz olarak kullanılabilen yazılımları kullanmak, okunabilir kelime ve kelime öbekleri listelerini hashlenmiş şifrelerle karşılaştırabilir. Örneğin, 'password' dönüştürür '5f4dcc3b5aa765d61d8327deb882cf99'. Bu parola karması zaten bilindiğinden, bilgisayarın bunu doğrulaması bir mikrosaniyeden daha kısa sürer.
Rapora göre, İçişleri Bakanlığı her kullanıcı hesabının şifre karmalarını bekçi köpeğine sağladı ve ardından, bakanlığın kendi şifre politikasına göre şifreleri kırmaya çalışmak güvenli hale gelmeden önce şifrelerin süresinin dolması için 90 gün bekledi.
Gözlemci, departmanın birden fazla dildeki sözlüklerdeki şifrelerini, ayrıca ABD hükümeti terminolojisini, popüler kültür referanslarını ve geçmiş veri ihlallerinden toplanan diğer halka açık hashlenmiş şifre listelerini kırmak için kendi özel kelime listesini hazırladığını söyledi. (Teknoloji şirketlerinin, müşterilerin aynı parolayı diğer web sitelerinden tekrar kullanmasını önlemenin bir yolu olarak, kendi müşterilerinin hashlenmiş parolalarıyla karşılaştırmak için diğer veri ihlallerinde çalınan parola listelerini toplaması alışılmadık bir durum değildir.) Rapora göre, gözlemci, iyi kaynaklara sahip bir siber suçlunun departmanın şifrelerini benzer bir oranda kırmış olabileceğini gösterdi.
Gözlemci, tüm aktif kullanıcı hesabı şifrelerinin yaklaşık %5’inin “şifre” kelimesinin bazı varyasyonlarına dayandığını ve departmanın etkin olmayan veya kullanılmayan kullanıcı hesaplarını “zamanında” kapatmadığını ve en az 6.000 kullanıcı hesabını savunmasız bıraktığını tespit etti. uzlaşmak
Rapor ayrıca İçişleri Bakanlığı’nı, saldırganların yalnızca çalıntı bir parola kullanarak oturum açmasını önlemek için kullanıcıların fiziksel olarak sahip oldukları bir cihazdan bir kod girmelerinin istendiği iki faktörlü kimlik doğrulamayı “sürekli olarak” uygulamakla veya zorlamakla eleştirdi. Raporda, departmanın faaliyetlerini veya hassas verilerin kaybını ciddi şekilde etkileyecek sistemler gibi yüksek değerli varlıklarından yaklaşık 10 tanesinden dokuzunun bir tür ikinci faktör güvenlik tarafından korunmadığı ve departmanın sahip olduğu belirtildi. sonuç, “kendi iç politikaları” da dahil olmak üzere 18 yıllık federal yetkileri göz ardı etti. Gözlemci, departmanın iki faktörlü kimlik doğrulamayı kullanması hakkında ayrıntılı bir rapor istediğinde, departman bilginin mevcut olmadığını söyledi.
Gözlemci, “Temel bir güvenlik kontrolüne öncelik vermedeki bu başarısızlık, tek faktörlü kimlik doğrulamanın sürekli olarak kullanılmasına yol açtı” dedi.
İçişleri Bakanlığı yanıtında, baş müfettişin bulgularının çoğuyla aynı fikirde olduğunu ve Biden yönetiminin federal kurumları siber güvenlik savunmalarını iyileştirmeye yönlendiren yürütme emrinin uygulanmasına “kararlı” olduğunu söyledi.
Daha fazla oku: