Abbildung: Gizmodo / 2600
Im Laufe der letzten 10 Monate, die software-Firma Rapid7 durchgeführt hat Hunderte von penetration-tests: simulierte Cyberattacken, die testen, wie ein Netz hält gegen tatsächliche Bedrohungen. Die Ergebnisse wurden zusammengestellt in einer Studie mit dem Titel “Unter dem Hoodie 2018”, die nicht nur verewigt das Stereotyp dunkel cowled Hacker aber macht für einige ziemlich interessante Lektüre.
Der 268-tests, durchgeführt in einer Reihe von Branchen, 251 beteiligt live -, Produktions-Netzwerke, was bedeutet, Rapid7 Hacker versuchten, Sie zu infiltrieren Systeme wahrscheinlich halten echter proprietäre und vertrauliche Daten. In 59 Prozent der tests der Hacker begann, die außerhalb der Netzwerk-Umgebung, versucht zu brechen in. Für eine Mehrheit der Unternehmen, das macht am meisten, da. Jedoch, andere haben realistische Besorgnis über Bedrohungen von innen.
Die Ergebnisse waren nicht so toll für die Rapid7-Kunden, obwohl Ihre Netzwerke besser jetzt, dass diese tests durchgeführt wurden. Mindestens eine live-Verwundbarkeit wurde ausgenutzt, in 84 Prozent der engagements, wenn nicht gezwungen werden, den Zugriff auf das Netzwerk, ein gewisses Maß an Kompromiss wurde versichert, dass nahezu 100 Prozent der Zeit. Ähnlich, Netzwerk-Fehlkonfigurationen erlaubt für die infiltration in 80 Prozent der externe tests versus 96 Prozent bei einem simulierten insider-Bedrohung.
Die Hacker waren in der Lage zu erfassen, die mindestens eine Berechtigung 53 Prozent, eine Zahl, die Aufnahme von bis zu 86 Prozent mit Zugriff auf das Ziel über das lokale Netzwerk. Und mit Netzwerk-Zugang über WLAN-oder LAN-Verbindung, die Hacker waren in der Lage zu gewinnen, die vollständige administrative Kontrolle über das Netzwerk der Organisation 67 Prozent der Zeit.
Mehr als nur Statistiken, die Rapid7-Studie enthält eine Reihe von Geschichten, die von Forschern auf dem Boden, wie die Zeit, die seine Ermittler zu kratzen verwaltet corporate-Kreditkarten, Pass-Daten, Sozialversicherungsnummern und mehr, indem unter Ausnutzung der 2014 “Heartbleed” – bug:
“Wir begannen, die Aufgabe der Prüfung der Sicherheit von jedem web-server. Nicht lange in dem Prozess identifizierten wir drei Server, die hatte nicht Ihre OpenSSL-Installationen aktualisiert, die in eine Weile; Sie waren somit anfällig für den “Heartbleed” bug 2014. Wir teilten die drei Servern unter das team und begann die Ernte der Inhalt des Speichers von den drei Servern in 65 KB-Blöcken. Wir richten ein-looping-Verfahrens kontinuierlich Anfrage Speicher und hängt Sie an die stetig wachsende Datei von durchgesickerten Geheimnisse. Wir lassen Sie unsere automatisierten Speicher-Grabber über Nacht laufen und am nächsten morgen, erwachten wir finden eine fülle von Informationen.
“Die Speicher-Dateien, die wir erzeugt hatte, enthielt Klartext Benutzernamen und Passwörter für die Benutzer, die angemeldet sind, in der Server in Frage. Darüber hinaus konnten wir bestätigen, dass einer der Server fungierte auch als eine sichere messaging-server, die behandelt vertrauliche E-Mails. Als Ergebnis, werden unsere Speicher-dump-Datei enthaltenen vollständigen Nachrichtentexte von Hunderten von (ansonsten) sichere E-Mails!”
Die Forschung liefert eine fülle von Informationen über numerische Muster, die Passwörter und die häufigsten Arten von Passwörtern, die leider nicht viel über die Jahre verändert— “Password1″weiterhin ganz oben auf der Liste. Die Forscher fanden auch, dass eine überwältigende Mehrheit der Benutzer-stick, der genau die minimale Passwort-Länge, die in der Regel acht Zeichen.
“Wir sind in der Lage erzeugen Muster und herauszufinden, welche Zeichen verwendet werden, die in jeder position. Diese können zeigen, wo jemand lieber zu platzieren, die Großbuchstaben, die Ziffern, die Sonderzeichen und Kleinbuchstaben,” Rapid7 sagt. Also für den Zweck der Passwort-erraten, wo die Menschen neigen dazu zu werfen, die Zahl im Passwort? Am Ende, natürlich. “Acht der top-ten-Passwörter mit einer Ziffer enden,” die Studie sagt.
Die Studie hat auch aufgewühlt erheblichen Daten, auf denen die Ziffern sind am ehesten verwendet werden. Die Zahl “1” ist die häufigste. Die häufigsten trailing zwei Ziffern “23.” Wenn vier Ziffern verwendet werden, ist es üblicherweise ein Jahr: So, “20” ist, wie die meisten nachfolgende 4-stellige Kombinationen beginnen. (Allerdings, “1234” ist immer noch ziemlich beliebt.)
Natürlich, komplexe Passwörter sind nicht Wert, ein Spieß, wenn Mitarbeiter ausfallen, Ihre Kennwörter zu ändern nach einer Verletzung.
“Einer der wichtigsten Aspekte von Penetrationstests ist die erste Phase des Sammelns von Informationen”, schreibt der Rapid7-Ermittler Steven Laura, beschreiben einen test, die sammelte eine fülle von persönlichen Kunden-Daten und finanziellen Informationen. “In einer aktuellen web-application penetration test, den ich durchgeführt, eine Reihe von E-Mail-Adressen und Passwörter gefunden wurden, in einem öffentlichen Passwort-dump”.
“Mit der Liste der Benutzernamen und Passwörter”, sagte er, “ich startete meine login-versuche, und fand bald, dass einer der credential-sets aufgelistet, die in das Passwort-dump gearbeitet, die auf das Firmennetzwerk.”
Finden Sie einen link, um den vollständigen Rapid7 Bericht hier.