Illustrasjon: Gizmodo
I løpet av de siste 10 måneder, programvare firmaet Rapid7 har gjennomført hundrevis av penetrasjon tester: simulert nettangrep som tester hvordan et nettverk holder opp mot reelle trusler. Resultatene ble samlet i en studie kalt “Under Hettegenser 2018,”, som ikke bare opprettholder stereotypen av en gåte cowled hackere, men gjør for noen ganske interessante å lese.
Av 268 tester utført på tvers av en rekke bransjer, 251 involvert live, produksjon nettverk, noe som betyr Rapid7 er hackere forsøkte å infiltrere systemer sannsynlig holder virkelige proprietær og konfidensiell informasjon. I 59 prosent av testene begynte hackere utenfor nettverket, forsøker å bryte inn. For et flertall av virksomheter, gjør dette til den mest siden. Imidlertid, andre har realistiske bekymringer om trusler innenfra.
Resultatene var ikke så stor for Rapid7 kunder, selv om deres nettverk er bedre nå at disse testene har blitt utført. Minst en live-sårbarheten som ble utnyttet i 84 prosent av engasjementer, selv når de ikke er tvunget til å få tilgang til nettverket eksternt, vil noen grad av kompromiss var trygg på nesten 100 prosent av tiden. På samme måte, nettverk feilkonfigurering tillatt for infiltrasjon i 80 prosent av eksterne tester mot 96 prosent i løpet av en simulert insider trussel.
Hackere var i stand til å ta minst ett credential 53 prosent av tiden, en figur som skutt opp til 86 prosent med tilgang til target er lokale nettverket. Og med tilgang til nettverk, trådløst eller via LAN-tilkobling, hackere var i stand til å få full administrativ kontroll over organisasjonens nettverk 67 prosent av tiden.
Mer enn bare statistikk, Rapid7 studien omfatter en rekke historier fra forskere på bakken, slik som tiden sin etterforskerne klart å skrape selskapets kredittkort, pass data, personnummer, og mer ved å dra nytte av 2014 “Heartbleed” bug:
“Vi begynte oppgaven med å teste sikkerheten til hver og en web-server. Ikke lenge i prosessen, har vi identifisert tre servere som ikke hadde hatt sin OpenSSL installasjoner oppdatert på en stund, og de ble følgelig sårbare for “Heartbleed” bug av 2014. Vi delt opp i tre servere blant lag og begynte fangst minnet fra de tre servere i 65 KB biter. Vi setter opp en løpende prosess for å stadig be om deler av minnet, og legg dem til i den stadig voksende fil lekket hemmeligheter. Vi lar vår automatiserte minne grabbers kjøre over natten, og neste morgen vi våknet for å finne et vell av opplysninger.
“Minnet filer vi hadde generert inneholdt cleartext brukernavn og passord for brukere som er logget inn på serverne i spørsmålet. I tillegg var vi i stand til å bekrefte at en av serverne fungerte også som en sikker messaging server som behandles sensitive e-postmeldinger. Som et resultat, kan vår minne dump filen inneholdt full meldingsteksten av hundrevis av (ellers) sikker e-poster!”
Forskning som også gir et vell av informasjon om numeriske mønstre i passord og de mest vanlige typer passord, som dessverre har ikke forandret seg mye gjennom årene— “Password1″fortsetter til toppen av listen. Etterforskerne fant også at et overveldende flertall av brukere holde seg til det nøyaktig minimum passordlengde, noe som er typisk åtte tegn.
“Vi er i stand til å generere mønstre og finne ut hvilke tegn som er brukt i hver posisjon. Dette kan vise hvor noen foretrekker å plassere stor bokstav, tall, den spesielle karakter, og små bokstaver,” Rapid7 sier. Så i den hensikt passord gjette, hvor folk har en tendens til å kaste nummer i deres passord? På slutten av kurset. “Åtte av de ti passord slutte med et tall,” studien sier.
Studien også kvernet ut betydelige data på hvilke tall er mest sannsynlig å bli brukt. Tallet “1” er den mest vanlige. Den vanligste etterfølgende to sifrene er “23.” Når fire siffer er brukt, er det som oftest et år: Så, “20” er hvordan de fleste etterfølgende 4-sifret kombinasjoner begynne. (Men, “1234” er fortsatt ganske populær.)
Selvfølgelig, komplekse passord er ikke verdt en spytte dersom de ansatte ikke klarer å endre passordene sine etter et brudd.
“En av de viktigste aspektene av penetration testing er den innledende fasen av informasjonsinnhenting,” skriver Rapid7 etterforskere Steven Laura, som beskriver en test som samlet et vell av personlig identifiserbare kundeopplysninger og finansiell informasjon. “I en fersk web-applikasjon penetrasjon tester at jeg utførte en rekke e-postadresser og passord ble funnet i en offentlig passord dump.”
“Med liste over brukernavn og passord,” sa han, “jeg sparket av meg innlogging, og fant snart ut at en av de credential sett oppført i passord dump jobbet på bedriftens nettverk.”
Du kan finne en link til full Rapid7 rapporten her.