Illustratie: Gizmodo / 2600
In de afgelopen 10 maanden, software onderneming Rapid7 heeft uitgevoerd honderden penetratie testen: gesimuleerde cyberaanvallen die test hoe een netwerk kan tot tegen de daadwerkelijke bedreigingen. De resultaten zijn gebundeld in een studie genaamd “Onder de Hoodie 2018,” die niet alleen bevestigt het stereotype beeld van een donkere cowled hackers, maar maakt het voor sommige vrij interessante lezing.
Van de 268 tests zijn uitgevoerd in een breed scala van industrieën, 251 betrokken live -, productie-netwerken, waardoor Rapid7 de hackers probeerden te infiltreren systemen waarschijnlijk holding echte eigendoms-en vertrouwelijke gegevens. In 59 procent van de tests, het begon hackers buiten de netwerkomgeving, een poging om in te breken. Voor een meerderheid van de bedrijven, dit maakt het meest bijgebleven. Echter, anderen hebben realistische bezorgdheid over de bedreigingen van binnenuit.
De resultaten waren niet zo goed voor Rapid7 de cliënten, maar hun netwerken zijn beter af nu dat deze tests zijn uitgevoerd. Minstens één live kwetsbaarheid werd uitgebuit in 84 procent van de opdrachten, maar niet gedwongen worden om toegang te krijgen tot het netwerk op afstand, een zekere mate van compromis werd verzekerd bijna 100 procent van de tijd. Evenzo, netwerk onjuiste toegestaan voor infiltratie in 80 procent van de externe tests versus 96 procent tijdens een gesimuleerde insider threat.
De hackers waren in staat om het vastleggen van ten minste één referentie 53 procent van de tijd, een figuur die schoot 86 procent met toegang tot de doelgroep lokale netwerk. En met toegang tot het netwerk, draadloos of via een LAN-verbinding, de hackers waren in staat om te winnen volledige administratieve controle over de organisatie van het netwerk van 67 procent van de tijd.
Meer dan alleen statistieken, de Rapid7 studie bevat een aantal verhalen die door de onderzoekers op de grond, zoals de tijd die de onderzoekers weten te schrapen corporate creditcards, paspoort, nummer van de sociale zekerheid, en meer door gebruik te maken van de 2014 “Heartbleed” bug:
“We begonnen de taak van het testen van de veiligheid van elke web-server. Niet lang in het proces, we identificeerden drie servers die had niet hun OpenSSL installaties bijgewerkt in een tijdje, ze waren dus kwetsbaar voor de “Heartbleed” bug van 2014. We verdeelden de drie servers onder het team en begon het oogsten van de inhoud van het geheugen van de drie servers in 65 KB brokken. We stellen een doorlopend proces voortdurend aanvraag brokken van het geheugen en voeg ze aan de steeds groeiende bestand van een uitgelekte geheimen. We laten ons geautomatiseerd geheugen graaiers lopen ‘ s nachts, en de volgende ochtend werden we wakker met het vinden van een schat aan informatie.
“Het memory-bestanden we hadden gegenereerd opgenomen leesbare vorm gebruikersnamen en wachtwoorden voor gebruikers die ingelogd op de servers in kwestie. Daarnaast zijn we in staat waren om te bevestigen dat een van de servers is ook te zien als een secure messaging server die behandeld gevoelige e-mails. Als gevolg hiervan is ons geheugen dump bestand bevatte volledige bericht lichamen van honderden (anders) veilig e-mails!”
Het onderzoek levert ook een schat aan informatie over de numerieke patronen in wachtwoorden en de meest voorkomende typen van wachtwoorden, die helaas nog niet veel veranderd door de jaren heen “Password1″blijft aan de top van de lijst. De onderzoekers vonden ook dat een overgrote meerderheid van de gebruikers stick naar de exacte minimum wachtwoord lengte, die doorgaans acht tekens.
“We zijn in staat om het genereren van patronen en erachter te komen welke tekens worden gebruikt in elke positie. Dit kunnen tonen waar iemand verkiest om de hoofdletters, cijfers, speciale tekens, en de kleine letters,” Rapid7 zegt. Dus voor het doel van het raden van wachtwoorden, waar hebben mensen de neiging om te gooien het aantal in hun wachtwoord? Aan het einde van de cursus. “Acht van de top tien wachtwoorden eindigen met een cijfer,” de studie zegt.
In het onderzoek werd ook gekarnd belangrijke gegevens op die cijfers zijn het meest waarschijnlijk worden gebruikt. Het nummer “1” is de meest voorkomende. De meest voorkomende navolgende twee cijfers “23.” Als vier cijfers worden gebruikt, is het meestal een jaar: “20” is hoe de meeste trailing 4-cijferige combinaties beginnen. (Echter, “1234” nog steeds behoorlijk populair.)
Natuurlijk, complexe wachtwoorden zijn niet de moeite waard een spit als medewerkers zich niet om hun wachtwoorden te veranderen als gevolg van een inbreuk.
“Een van de belangrijkste aspecten van penetratie testen is de eerste fase van het verzamelen van informatie”, schrijft Rapid7 onderzoekers Steven Laura, een beschrijving van een test die de verzamelde een schat aan persoonlijke identificeerbare gegevens van de klant en de financiële informatie. “In een recente web applicatie penetratie test die ik heb uitgevoerd, een aantal e-mailadressen en wachtwoorden werden gevonden in een openbare wachtwoord te dumpen.”
“Met de lijst van gebruikersnamen en wachtwoorden,” zei hij, “ik trapte mijn login-pogingen, en al snel bleek dat één van de referenties in sets vermeld in het wachtwoord dump werkte op het bedrijfsnetwerk.”
U vindt een link naar de volledige Rapid7 rapport hier.