Illustration: Gizmodo / 2600
I løbet af de sidste 10 måneder, software firmaet Rapid7 har gennemført hundredvis af penetration test: simuleret cyberangreb at teste, hvordan et netværk kan indeholde op mod den faktiske trusler. Resultaterne blev samlet i en undersøgelse kaldet “Under Hoodie 2018,” som ikke blot fastholder den stereotype opfattelse af en gåde cowled hackere, men giver nogle ret interessant læsning.
Af de 268 udført tests på tværs af en række industrier, 251, der er involveret live, produktion, netværk, hvilket betyder at Rapid7 er hackere forsøger at infiltrere systemer sandsynligvis holder fast proprietære og fortrolige data. I 59 procent af de prøver de begyndte hackere uden netværk, der forsøger at bryde ind. For et flertal af virksomheder, dette gør de fleste da. Men, andre har realistiske bekymringer om trusler indefra.
Resultaterne var ikke så store, for Rapid7 ‘ s kunder, men deres netværk er bedre stillet nu, at disse tests er blevet udført. Mindst en live-sårbarhed blev udnyttet i 84 procent af de forpligtelser, selv når de ikke er tvunget til at få adgang til netværket eksternt, en vis grad af kompromis var sikker på, at næsten 100 procent af tiden. På samme måde, netværk forkerte konfigurationer, der er tilladt for infiltration i 80 procent af eksterne prøver versus 96% i løbet af en simuleret insider-truslen.
Hackere var i stand til at fange mindst én credential 53 procent af den tid, en figur, der skød op til 86 procent med adgang til target ‘ s lokale netværk. Og med adgang til nettet, via trådløse eller LAN-forbindelse, hackere var i stand til at få fuld administrativ kontrol over organisationens netværk 67 procent af tiden.
Mere end blot statistik, Rapid7 undersøgelse omfatter en række historier, som forskere på jorden, sådan som den tid undersøgerne havde formået at skrabe corporate kreditkort, pas-data, cpr-numre, og mere ved at drage fordel af 2014 “Heartbleed” fejl:
“Vi begyndte at opgaven med at teste sikkerheden af hver og web-server. Ikke længe i den proces, vi har identificeret tre servere, der ikke havde haft deres OpenSSL-installationer opdateret i et stykke tid; de var derfor sårbare over for “Heartbleed” bug af 2014. Vi delt op i de tre servere, der blandt holdet og begyndte høst hukommelse indholdet fra de tre servere i 65 KB bidder. Vi har oprettet en løkke proces til løbende anmodning bidder af hukommelse og tilføje dem til den stadigt voksende fil af hemmeligheder lækket. Vi lader vores automatiske hukommelse grabbers køre natten over, og næste morgen, for vi vågnede for at finde et væld af oplysninger.
“Den hukommelse, filer, vi havde genereret indeholdt klartekst brugernavne og adgangskoder for brugere, der er logget ind på servere i spørgsmålet. Hertil kommer, at vi var i stand til at bekræfte, at en af de servere, der også fungerede som en sikker messaging-server, der behandles følsomme e-mails. Resultatet er, at vores hukommelse dump fil, der er indeholdt fuld besked organer af hundredvis af (ellers) sikker e-mails!”
Den forskning, der også giver et væld af oplysninger om numeriske mønstre i passwords og de mest almindelige typer af adgangskoder, som desværre, har ikke ændret sig meget over årene, “Password1″fortsætter til toppen af listen. Efterforskerne fandt også, at et overvældende flertal af brugerne holder sig til den nøjagtige mindste password længde, der er typisk otte tegn.
“Vi er i stand til at generere mønstre og finde ud af, hvilke tegn der er brugt i hver enkelt position. Dette kan vise, hvor nogen foretrækker at placere den store bogstaver, cifre, specialtegn, og de små bogstaver,” Rapid7 siger. Så til det formål at gætte adgangskoden, hvor folk har en tendens til at smide nummeret i deres adgangskode? Ved slutningen af kurset. “Otte ud af de ti adgangskoder ende med et ciffer,” undersøgelsen siger.
Undersøgelsen viser også, at kærnede betydelige data, der cifre er mest sandsynligt at blive brugt. Nummer “1” er den mest almindelige. De mest almindelige efterfølgende to cifre er “23.” Når fire cifre er brugt, det er mest almindeligt for et år: Så, “20”, er, hvordan de fleste efterfølgende 4-cifret kombinationer begynde. (Men, “1234” stadig er temmelig populære.)
Selvfølgelig, komplekse passwords er ikke værd at spytte, hvis de ansatte undlader at ændre deres adgangskoder efter et brud.
“En af de mest vigtige aspekter af penetration test er den indledende fase med indsamling af oplysninger,” skriver Rapid7 efterforskere Steven Laura, der beskriver en test, der er indsamlet et væld af personlige kundedata og finansielle oplysninger. “I en nylig web-applikation penetration test, at jeg optrådte, et antal e-mail adresser og passwords blev fundet i en offentlig password dump.”
“Med den liste over brugernavne og passwords,” sagde han, “jeg sparkede mine login-forsøg, og fandt hurtigt ud af, at et af de legitimationsoplysninger, der fastsætter, der er anført i den adgangskode, dump arbejdet på virksomhedens netværk.”
Du kan finde et link til den fulde Rapid7 rapporten her.