Отчет, приведённый Австралийской Национальной Аудиторской Компанией (Australian National Audit Office), показал, что около 20% паролей каждого учреждения могут быть взломаны путем перебора всех возможных вариантов. "Наиболее значимым является то, что в трёх из четырёх учреждений, прошедших аудиторскую проверку, тест взломал некоторые административные и/или сервисные пароли", – сообщается в заключении.
"Эти виды учетных записей предоставляют высокий уровень доступа к ИТ-системам. Если хакер смог получить доступ к системе, взломав административный или сервисный пароль, могут быть серьёзные последствия для безопасности всего учреждения".
Брутфорс перебор в тестах дополнили двумя другими методами - перебором по словарю и гибридным. В словарь включили 3000 общеупотребительных слов, а гибридная проверка протестировала эти же слова плюс цифры.
Гибридные и проверки по словарю были "не очень удачными", подчеркивается в отчете, с показателем эффективности менее чем 5% взломов в каждом из 4-ех правительственных агентств.
Крис Гатфорд, эксперт по безопасности Hacklabs, сообщил о желании получить больше информации о методах взлома паролей, которые использует аудиторская проверка, т.к. это определило бы причину уязвимости паролей. Кроме этого он сообщил, что простые пароли, используемые для защиты уязвимых учётных записей и систем, никогда не перестают его удивлять. Индустрия безопасности в течение нескольких лет предупреждает организации использовать комплексные, сложные пароли, однако эти просьбы ни на кого не действуют.
Некоторые "стандартные настройки безопасности" – такие как блокировка аккаунта после определённого количества неудачных попыток входа – "способны уменьшить риск, связанный с атаками путём перебора", говорится в заключении.
Проверяемыми учреждениями являлись Отдел Управления Финансами Австралии, Система Государственного Медицинского Страхования Австралии, Департамент Премьер-министра и Кабинета Министров и пр.
Доклад также обнаружил, что процедуры и методы защиты в правительстве устарели и что каждое из четырёх учреждений нуждается в обновлении и составлении стандартных методов работы экспертов по безопасности информационно-коммуникационных технологий.
Xakep.ru