Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

da Maurizio / venerdì, 13 Gennaio 2023 / Pubblicato il Analisi Tecnica, Cyber Security
password intelligence

Poiché i dipendenti del Dipartimento degli Interni degli Stati Uniti utilizzano password facili da indovinare come password-1234, gli aggressori potrebbero avere vita facile.

Nel corso di un controllo, un addetto alla sicurezza è stato in grado di decifrare il 21% degli hash delle password fornitegli dai dipendenti del Dipartimento degli Interni degli Stati Uniti. Tra questi c’erano anche quelli dei dipendenti senior.

Secondo lo studio, gli aggressori potrebbero avere una percentuale di successo simile. Inoltre, l’autenticazione a più fattori (MFA) non viene utilizzata in modo coerente. Se si utilizza l’MFA, una password violata non è sufficiente per l’accesso di un aggressore, che deve anche conoscere un codice una tantum che la vittima genera, ad esempio, tramite un’app di autenticazione su uno smartphone.

Configurazione del test

Per decifrare gli hash delle password, l’investigatore ha dichiarato di aver utilizzato un hardware del valore di circa 15.000 dollari, composto da due impianti con 16 GPU. Ulteriori informazioni sul processo sono disponibili nel rapporto dettagliato.

Se le password sono disponibili in chiaro, gli aggressori hanno vita facile. Per memorizzare le password in modo più sicuro, vengono utilizzati vari metodi di hash e la password in chiaro Password-1234 diventa A71FB31235347EA75956B6155ED36899. Non è possibile un’inversione diretta. Al momento non è noto quale algoritmo di hash sia stato utilizzato in questo caso.

Per decifrare gli hash, l’investigatore ha alimentato le sue macchine di cracking con voci tratte da dizionari ed elenchi di password provenienti da fughe di dati, tra le altre cose. Le voci sono state convertite in hash e confrontate con gli hash delle password del Dipartimento degli Interni degli Stati Uniti. Un riscontro equivale a una password craccata.

Tasso di successo

L’esaminatore ha avuto a disposizione un totale di 85.944 hash delle password. Secondo le sue stesse informazioni, ne ha decifrato il 16% dopo soli 90 minuti. Il tasso di successo complessivo è del 21%. 288 degli account craccati sarebbero dotati di ampi diritti d’uso e 362 apparterrebbero a dipendenti governativi di alto livello.

Inoltre, l’audit ha rilevato che l’89% dei sistemi governativi critici di questa istituzione non disponeva dell’AMF. Di conseguenza, gli aggressori hanno una pietra in meno sul loro cammino quando vogliono penetrare nei sistemi.

Password deboli

Le password più comuni sono state Password-1234 (478 volte), Br0nc0$2012 (389 volte) e Password123$ (318 volte). Il problema è che queste password sono conformi alle regole del Ministero in materia di password. Questo dimostra ancora una volta che tali regole spesso non sono intenzionali.

PASSWORD INTELLIGENCE

Come Cyberteam conosciamo molto bene questa problematica, che viene molto sottovalutata dai cliente e dalle aziende. Nei nostri lavoratori disponiamo della stessa tecnologia usata da questo ricercatore e possiamo facilmente replicare questo attacco.

Per esperienza e statistica possiamo dire che le percentuali emerse qui sono sottostimate, soprattutto se si parla di normali ambienti lavorativi, arriviamo anche al 60% delle password decifrate. Questo tipo di analisi è essenziale per capire prima di tutto come potrebbe essere compromesso un account con password deboli ma soprattutto per organizzare piani formativi di consapevolezza versi i dipendenti al fine di fornire loro degli strumenti e delle risposte sul perché sia importante avere delle password efficaci non solo per una questione di policy e compliance aziendale ma più che altro per una questione di sicurezza personale.

Maurizio

Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.

Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.

Tre caratteristiche che lo distinguono:

La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: cracking, hash, password, password-1234, password1234

Che altro puoi leggere

sicurezza informatica
Sconfiggere il falso senso
di sicurezza informatica
Attacco ransomware paralizza il distretto
scolastico unificato di Los Angeles
Attacco hacker ULSS6 Euganea:
pubblicati finora oltre 9.300 documenti

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • Attacco massivo al gruppo alberghiero IHG
    interrompe i sistemi di prenotazione

    InterContinental Hotels Group (IHG), che possie...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?