Nikogo nie zaskoczy fakt, że nieostrożni pracownicy rządowi korzystają ze swoich firmowych adresów e-mail do zakładania wielu osobistych kont internetowych. Jednak gdy konta te zostają zhakowane, a pracownicy używają do nich firmowego hasła – nieostrożność może skutkować prostym dostępem do informacji rządowych dla każdego hakera.

„Rekordowy” raport

Firma zabezpieczająca dane Recorded Future opublikowała raport, według którego podczas czyszczenia sieciowych adresów e-mail i haseł, natrafiono na zhakowane dane użytkowników z innych stron internetowych. Przeglądając dane, zebrane od listopada 2013 do listopada 2014 na publicznych witrynach takich, jak Pastebin (bez uwzględniania nielegalnych serwerów i prywatnych forów) Recorded Future odnalazło 224 konta rządowe należące do 12 agencji, które nie korzystają z podwójnego uwierzytelniania do ochrony swoich użytkowników.

Skompromitowane adresy e-mail zostały odnalezione na serwerach różnych, niskobudżetowych i słabo chronionych stron (np. wypożyczalnia rowerów, opinie o hotelach, strona wspólnoty mieszkaniowej itp.), na których pracownicy rządowi logowali się za pomocą swoich firmowych kont. Każde naruszenie naraża urzędników państwowych na ukierunkowane ataki typu phishing, będące często pierwszym krokiem w atakach na agencje. Analityk firmy Recorded Future, Scott Donnelly zauważa, że jeżeli którykolwiek z ponad dwustu pracowników rządowych podczas tworzenia konta użył swojego rządowego hasła, hakerzy mogą bez problemu uzyskać dostęp do danych innych pracowników, jak i całej sieci agencji.

“Wystarczy jedno zhakowane konto, aby rozpocząć działanie,” mówi Donnelly, powołując się na hakerów, którzy kradnąc tożsamość pracowników i podszywając się pod nich, uzyskują dalszy dostęp do sieci agencji rządowej. „Dotyczy to całkiem dużej ilości danych logowania, które czekają bezradnie na zhakowanie.”

Podwójna ochrona haseł

Firma Recorded Future przyznaje, że nie ma pojęcia ile kont – zhakowanych przez grupy cyberprzestępcze, takie jak Anonymous, LulzSec i SwaggSec – rzeczywiście korzysta z działających haseł agencji rządowych. Trzeba jednak zauważyć, że połowa użytkowników Internetu powiela swoje hasła, natomiast wiele haseł odkrytych przez Recorded Future to trudne i skomplikowane wyrażenia, nie tylko te proste, utworzone dla mało istotnych kont. Wiele złamanych haseł mogło być także zaszyfrowane za pomocą funkcji, uniemożliwiając tym samym ich odczytanie. Donnelly twierdzi, że Recorded Future nie dowiedziało się, które hasła zostały zaszyfrowane, ani jakiego typu szyfrowania użyto. Niektóre z zaszyfrowanych z nich wciąż można odszyfrować za pomocą technik takich, jak tablice tęczowe.

Pomimo poważnych zastrzeżeń co do wyników swoich odkryć, Donnelly powiedział, że zamierza również ujawnić rezultaty niedawnego badania, które wykazało, że kilkanaście agencji rządowych pozwala wielu swoim użytkownikom na logowanie się do swoich sieci bez korzystania z podwójnego uwierzytelniania.

Porównując te wyniki ze swoimi własnymi badaniami, Recorded Future również zarejestrowała publicznie skompromitowane dane tych agencji, które nie wprowadziły jeszcze podwójnego uwierzytelniania. Wyniki dotyczą 35 kont używanych w Departamencie Spraw Weteranów oraz 47 kont w Departamentach Zdrowia i Opieki Społecznej, a także Bezpieczeństwa Wewnętrznego.

Brak odpowiedniego zabezpieczenia sieci należących do agencji rządowych wywołał wiele oburzenia wśród opinii publicznej. Dane 18 milionów pracowników rządowych uważa się obecnie za skompromitowane, co przypisuje się chińskim hakerom, którzy po cichu przeszukiwali rządową sieć.

Jednak, jak wykazały badania przeprowadzone przez Recorded Future, nawet najbardziej podstawowe środki bezpieczeństwa wymykają się agencjom rządowym spod kontroli. Jeśli miały by lepsze zasady dotyczące uwierzytelniania kont, utrata danych logowania użytkowników na innych stronach nie stanowiła by tak wielkiego zagrożenia. „Hakerzy wybierają drogę najmniejszego oporu. Podwójne uwierzytelnianie rozwiązuje wszystkie problemy”.

źródło: avg.com