政府の監視機関 は、内務省のサイバーセキュリティ体制に対する痛烈な非難を発表しました。同省のセキュリティ ポリシーでは、 'Password1234'.
の 報告書 内務省の監察官室は、国の連邦政府の土地、国立公園、および数十億ドルの予算を管理する米国の執行機関の監督を任されており、同省が唯一の方法としてパスワードに依存していると述べています。最も重要なシステムと従業員のユーザー アカウントの一部を保護するという取り組みは、より強力な 2 要素認証を義務付けるという政府独自のサイバーセキュリティ ガイダンスの約 20 年間を覆してきました。
不十分なパスワード ポリシーは、その部門を侵害のリスクにさらし、業務の大規模な混乱の「高い可能性」につながる可能性があると結論付けています。
監察官室は、事件の後に調査を開始したと述べた。 前のテスト 内務省の数十を超える機関と局全体で、同機関のサイバーセキュリティ防御の緩いパスワード ポリシーと要件が見つかりました。 今回の目的は、部門のセキュリティ防御が、盗まれて復元されたパスワードの使用をブロックするのに十分かどうかを判断することでした。
パスワード自体は、常に読み取り可能な形式で盗まれるわけではありません。 Web サイトやオンライン サービスで作成するパスワードは通常、人間が判読できないようにスクランブルをかけられて保存されます。通常は一見ランダムな文字と数字の文字列として保存されるため、マルウェアやデータ侵害によって盗まれたパスワードは簡単に使用できません。さらなるハッキング。 これはパスワード ハッシュと呼ばれ、パスワードの複雑さ (およびパスワードの暗号化に使用されるハッシュ アルゴリズムの強度) によって、コンピュータがパスワードを解読するのにかかる時間が決まります。 一般に、パスワードが長く複雑であるほど、回復に時間がかかります。
しかし、ウォッチドッグのスタッフは、部門の最小セキュリティ要件を満たすパスワードは、既製のパスワード クラッキング ソフトウェアを使用して回復するのに 100 年以上かかるという主張に依存することで、そのパスワードが安全であるという「誤った安心感」を生み出していると述べています。その大部分は、現在利用可能なコンピューティング能力が商業的に利用可能になったためです。
彼らの主張を説明するために、ウォッチドッグは、ハッシュ化されたパスワードの回復などの複雑な数学的タスクを引き受けるように設計された計算能力を備えた、高性能コンピューターまたは複数のチェーン接続された高性能コンピューターのセットアップである、パスワード解読装置の構築に 15,000 ドル未満を費やしました。 ウォッチドッグは最初の 90 分以内に、約 14,000 の従業員パスワード、または全部門アカウントの約 16% を回復できました。 'Polar_bear65' と 'Nationalparks2014!'.
ウォッチドッグはまた、政府高官の何百ものアカウントや、機密データやシステムにアクセスするための高度なセキュリティ権限を持つその他のアカウントを復元しました。 さらに 8 週間のテストで、さらに 4,200 個のハッシュ化されたパスワードがクラックされました。
パスワード クラッキング リグ 新しい概念ではない、しかし、それらを動作させるにはかなりの計算能力とエネルギーを消費する必要があり、比較的単純なハードウェア構成を構築するだけでも数千ドルの費用がかかります. (比較のために、 ホワイト オーク セキュリティ 2019 年にはかなり強力なリグのハードウェアに約 7,000 ドルを費やしました。)
また、パスワード クラッキング リグは、スクランブルされたパスワードと比較するために、人間が読み取れる大量のデータに依存しています。 Hashcat のようなオープンソースで自由に利用できるソフトウェアを使用すると、読み取り可能な単語やフレーズのリストをハッシュ化されたパスワードと比較できます。 例えば、 'password' に変換します '5f4dcc3b5aa765d61d8327deb882cf99'. このパスワード ハッシュは既知であるため、コンピューターが確認するのに 1 マイクロ秒もかかりません。
レポートによると、内務省はすべてのユーザー アカウントのパスワード ハッシュをウォッチドッグに提供し、ウォッチドッグはパスワードの有効期限が切れるまで 90 日間待機した後 (同局独自のパスワード ポリシーに従って)、安全にクラックを試みることができるようになりました。
ウォッチドッグは、複数の言語の辞書から部門のパスワードをクラックするための独自のカスタム ワードリスト、および米国政府の用語、ポップ カルチャーの参照、および過去のデータ侵害から収集されたハッシュ化されたパスワードのその他の公開リストを精選したと述べました。 (テクノロジー企業が、顧客が他の Web サイトから同じパスワードを再利用するのを防ぐ方法として、他のデータ侵害で盗まれたパスワードのリストを収集して、自社の顧客のハッシュ化されたパスワードのセットと比較することも珍しくありません。)そのため、監視機関は、十分なリソースを備えたサイバー犯罪者が同部門のパスワードを同様の速度でクラックできた可能性があることを実証した、と報告書は述べています。
ウォッチドッグは、すべてのアクティブなユーザー アカウントのパスワードの 5% 近くが「password」という単語のバリエーションに基づいており、部門が非アクティブまたは未使用のユーザー アカウントを「タイムリーに」縮小せず、少なくとも 6,000 のユーザー アカウントが脆弱なままになっていることを発見しました。妥協します。
レポートはまた、攻撃者が盗まれたパスワードだけを使用してログインするのを防ぐために、ユーザーが物理的に所有するデバイスからコードを入力する必要がある 2 要素認証を「一貫して」実装または実施していないとして、内務省を批判しました。 レポートによると、部門の高価値資産の 10 分の 9 近くが、業務に深刻な影響を与えるシステムや機密データの損失など、何らかの形の第 2 要素セキュリティによって保護されておらず、部門はその結果、「独自の内部ポリシー」を含む 18 年間の連邦政府の権限が無視されました。 監視機関が同省の二要素認証の使用に関する詳細な報告を求めたとき、同省は情報が存在しないと述べた.
「基本的なセキュリティ制御を優先することに失敗したため、単一要素認証が引き続き使用されることになりました」とウォッチドッグは結論付けています。
これに対し、内務省は、監察官の調査結果のほとんどに同意し、連邦機関にサイバーセキュリティ防御を改善するよう指示するバイデン政権の大統領令の実施に「コミットしている」と述べた。
続きを読む: