یک ناظر دولتی ۱۵۰۰۰ دلار برای شکستن رمزهای عبور یک آژانس فدرال در چند دقیقه هزینه کرد
به گزارش اپ خونه، یک سازمان دیده بان دولتی انتقاد شدیدی را در مورد وضعیت امنیت سایبری وزارت کشور منتشر کرده است و دریافته است که می تواند هزاران حساب کاربری کارمند را بشکند زیرا سیاست های امنیتی این وزارتخانه اجازه می دهد تا رمزهای عبور به راحتی قابل حدس زدن مانند ‘Password1234’ باشد.
در گزارش دفتر بازرس کل وزارت کشور که وظیفه نظارت بر سازمان اجرایی ایالات متحده را بر عهده دارد که زمین فدرال، پارک های ملی و بودجه میلیارد دلاری این کشور را مدیریت می کند، آمده است که اتکای این وزارتخانه به رمزهای عبور به عنوان تنها راه محافظت از برخی از مهمترین سیستمها و حسابهای کاربری کارمندان، نزدیک به دو دهه از دستورالعملهای امنیت سایبری خود دولت مبنی بر الزام احراز هویت دوعاملی قویتر را خنثی کرده است .
نتیجه این که سیاستهای ضعیف رمز عبور، بخش را در معرض خطر نقض قرار میدهد که احتمال زیاد میتواند منجر به اختلال گسترده در عملیات آن شود.
دفتر بازرس کل گفت که تحقیقات خود را پس از آزمایش قبلی دفاع از امنیت سایبری آژانس که سیاستها و الزامات رمز عبور سهلانگیز را در بیش از دهها آژانس و دفاتر وزارت کشور پیدا کرده بود، آغاز کرده است.
این بار هدف این بود که مشخص شود آیا دفاع امنیتی این وزارتخانه برای جلوگیری از استفاده از رمزهای عبور سرقت شده و بازیابی شده کافی است یا خیر.
خود رمزهای عبور همیشه به شکل قابل خواندن دزدیده نمی شوند. گذرواژههایی که در وبسایتها و سرویسهای آنلاین ایجاد میکنید معمولاً به گونهای درهم و ذخیره میشوند که آنها را برای انسان غیرقابل خواندن میکند – معمولاً به صورت رشتهای از حروف و اعداد به ظاهر تصادفی – به طوری که رمزهای عبور دزدیده شده توسط بدافزار یا نقض دادهها به راحتی قابل استفاده نیستند.
هک های بیشتر این هش رمز عبور نامیده می شود و پیچیدگی یک رمز عبور (و قدرت الگوریتم هش مورد استفاده برای رمزگذاری آن) تعیین می کند که چقدر طول می کشد تا کامپیوتر آن را از حالت رمز خارج کند. به طور کلی، هر چه رمز عبور طولانی تر یا پیچیده تر باشد، بازیابی آن بیشتر طول می کشد.
اما کارکنان سازمان دیده بان گفتند که تکیه بر ادعاهایی مبنی بر اینکه گذرواژههایی که حداقل الزامات امنیتی این وزارتخانه را برآورده میکنند بیش از صد سال طول میکشد تا با استفاده از نرمافزار شکستن رمز عبور خارج از قفسه بازیابی شود، «احساس امنیت کاذبی» ایجاد کرده است که رمزهای عبور آن امن هستند. تا حد زیادی به دلیل در دسترس بودن تجاری قدرت محاسباتی موجود امروزی است.
برای بیان نظر خود، سازمان دیده بان کمتر از ۱۵۰۰۰ دلار برای ساختن یک دکل رمز عبور – مجموعه ای از یک کامپیوتر با کارایی بالا یا چندین زنجیره به هم متصل – با قدرت محاسباتی طراحی شده برای انجام وظایف پیچیده ریاضی، مانند بازیابی رمزهای عبور هش شده، هزینه کرد.
در ۹۰ دقیقه اول، سازمان دیده بان توانست نزدیک به ۱۴۰۰۰ رمز عبور کارمند یا حدود ۱۶ درصد از کل حساب های بخش، از جمله رمزهای عبور مانند ‘Polar_bear65’و ‘Nationalparks2014!’.
این سازمان همچنین صدها حساب متعلق به کارمندان ارشد دولتی و سایر حسابهای دارای امتیازات امنیتی بالا برای دسترسی به دادهها و سیستمهای حساس را بازیابی کرد. ۴۲۰۰ رمز عبور هش شده دیگر طی هشت هفته آزمایش دیگر شکسته شدند.
دکل های شکستن رمز عبور مفهوم جدیدی نیستند، اما برای کار کردن به قدرت محاسباتی و انرژی قابل مصرف قابل توجهی نیاز دارند و به راحتی می توان چندین هزار دلار صرف ساخت یک پیکربندی سخت افزاری نسبتاً ساده هزینه کرد.
برای مقایسه، White Oak Security در سال ۲۰۱۹ حدود ۷۰۰۰ دلار برای سخت افزار یک دکل نسبتاً قدرتمند هزینه کرد.
سخنگوی دفتر بازرس کل گفت:
راه اندازی که ما استفاده می کنیم شامل دو دستگاه با ۸ پردازنده گرافیکی (در مجموع ۱۶) و یک کنسول مدیریتی است. خود ریگها چندین کانتینر منبع باز را اجرا میکنند که میتوانیم ۲، ۴ یا ۸ GPU را بیاوریم و وظایفی را از کنسول توزیع کار منبع باز به آنها اختصاص دهیم.
با استفاده از GPU 2 و ۳ نسل پشت محصولات موجود فعلی، ما به معیارهای ترکیبی NTLM پیش از کار میدانی دست یافتیم که 240GH ها NTLM را از طریق ۱۲ ماسک کاراکتر آزمایش می کردند و ۲۵.6GHs از طریق فرهنگ لغت 10GB و یک فایل قوانین 3MB. سرعت های واقعی در چندین پیکربندی آزمایشی در طول تعامل متفاوت بود.
ابزارهای شکستن رمز عبور نیز برای مقایسه با گذرواژههای درهم به مقادیر زیادی از دادههای قابل خواندن توسط انسان متکی هستند. با استفاده از نرم افزار منبع باز و رایگان در دسترس مانند Hashcat می توانید لیستی از کلمات و عبارات قابل خواندن را با رمزهای عبور هش شده مقایسه کنید.
به عنوان مثال، ‘password’تبدیل به ‘5f4dcc3b5aa765d61d8327deb882cf99’. از آنجایی که این هش رمز عبور قبلاً شناخته شده است، یک کامپیوتر کمتر از یک میکروثانیه طول می کشد تا آن را تأیید کند.
بر اساس این گزارش، وزارت کشور هش رمز عبور هر حساب کاربری را در اختیار سازمان دیده بان قرار داد، و سپس ۹۰ روز منتظر ماند تا پسوردها منقضی شوند – طبق خط مشی رمز عبور خود وزارتخانه – قبل از اینکه تلاش برای شکستن آنها ایمن شود.
سازمان دیده بان گفت که فهرست کلمات سفارشی خود را برای شکستن گذرواژههای این وزارتخانه از فرهنگهای چند زبانی، و همچنین اصطلاحات دولت ایالات متحده، مراجع فرهنگ عامه، و سایر فهرستهای در دسترس عموم از گذرواژههای هش شده جمعآوریشده از نقض دادههای گذشته، تنظیم کرده است.
(برای شرکتهای فناوری غیرمعمول نیست که فهرستی از گذرواژههای دزدیده شده در سایر موارد نقض داده را برای مقایسه با مجموعه رمزهای عبور هششده مشتریان خود جمعآوری کنند تا از استفاده مجدد مشتریان از رمز عبور مشابه در سایر وبسایتها جلوگیری کنند.)
با انجام این کار، در این گزارش آمده است که سازمان دیده بان نشان داده است که یک مجرم سایبری با منابع کافی می تواند رمزهای عبور این وزارتخانه را با سرعت مشابهی شکسته باشد.
سازمان دیده بان دریافت که نزدیک به ۵ درصد از کل رمزهای عبور حساب های کاربری فعال بر اساس تغییراتی در کلمه “گذرواژه” است و این بخش “به موقع” حساب های کاربری غیرفعال یا استفاده نشده را حذف نکرده و حداقل ۶۰۰۰ حساب کاربری را در معرض آسیب قرار داده است.
این گزارش همچنین از وزارت کشور به دلیل «عدم اجرای مداوم» یا اجرای احراز هویت دو مرحلهای، که در آن کاربران باید کدی را از دستگاهی که به صورت فیزیکی مالک آن هستند وارد کنند تا از ورود مهاجمان فقط با استفاده از رمز عبور سرقت شده جلوگیری شود، انتقاد کرد.
در این گزارش آمده است که نزدیک به ۹ مورد از ۱۰ دارایی با ارزش این وزارتخانه، مانند سیستم هایی که به شدت بر عملیات آن یا از دست دادن داده های حساس تأثیر می گذارد، توسط نوعی از امنیت عامل دوم محافظت نمی شوند و این وزارتخانه به عنوان در نتیجه ۱۸ سال دستورات فدرال، از جمله «سیاستهای داخلی خود» نادیده گرفته شد.
هنگامی که سازمان دیده بان گزارش دقیقی در مورد استفاده از احراز هویت دو مرحله ای توسط بخش درخواست کرد، وزارت گفت که این اطلاعات وجود ندارد.
این ناظر نتیجه گیری کرد: “این شکست در اولویت بندی یک کنترل امنیتی اساسی منجر به استفاده مداوم از احراز هویت تک عاملی شد.”
وزارت کشور در پاسخ خود گفت که با اکثر یافتههای بازرس کل موافق است و گفت که به اجرای دستور اجرایی دولت بایدن که به آژانسهای فدرال دستور میدهد تا دفاعهای امنیتی سایبری خود را بهبود بخشند، «متعهد» است.
