管理員口令這麼簡單 何需頂級國家黑客出手?
【PConline 資訊】你相信嗎?只需9秒,就能猜出美國國防部(DoD)某些武器系統的管理員的口令。聽起來有些駭人,但卻是不爭的事實,因為這些系統仍保留著預設口令。這不禁讓人發問,如此簡單的口令,何需頂級黑客出手?
儘管結果令人難以置信,但美國政府問責局(GAO)在最新發布的一份報告中確實這樣寫道:從2012年到2017年,美國國防部(DoD)測試人員經常找出任務關鍵性網路漏洞,所涉系統幾乎涵蓋所有在研武器。
美國國防部(DoD)熱衷在軍事設施中引入自動化和聯網功能,但智慧的同時也使這些武器系統更易遭受網路攻擊。正如GAO報告所言,DoD計劃投入1.66萬億美元開發其當前各型主要武器系統。
據瞭解,網路安全測試慣常檢查的四個方面:保護、檢測、響應與恢復,均存在可供利用的諸多漏洞。這裡,我們為各位摘抄出GAO審計報告中的幾個重點。
GAO發現,美武器系統竟然也用預設口令,並指出口令管理不良是個普遍的問題:多個武器系統使用了商業軟體或開源軟體,但並未修改其預設口令,且測試團隊多次使用公開資訊或網上下載的軟體破解了武器系統安全控制。
而在另一測試中,測試人員在9秒鐘內就猜出了管理員的口令。兩人組成的測試紅隊僅需1個小時就能初步登入武器系統,1天之後就能獲取系統的完整控制權。甚至說,測試團隊悄無聲息地在系統內活動了數週都沒被發現。測試紅隊甚至毫不隱藏自己的行動,故意暴露自身,都未觸發檢測。儘管攻擊行為在系統日誌中都有記錄,但武器系統的操作人員顯然沒工夫去檢視系統日誌。
在另外一案例中,紅隊接管了操作人員的終端,實時監視武器操作。此外,也有測試團隊在使用者終端上彈出訊息,讓操作人員“塞進2個硬幣以繼續操作。”
多個測試團隊都能夠複製、修改或刪除系統資料,其中一支團隊甚至下載了100GB的資料,相當於142張光碟的容量。GAO並未點名具體的武器系統或漏洞,但聲稱DoD才剛剛開始認識到漏洞的嚴重性。