转载自程序员的那些事
转自:FreeBuf.COM,Andy.i
www.freebuf.com/news/185614.html
“123456、admin”在2017年弱密码TOP 100中,分别位列第一位和第十一位。大多数账户系统在注册时基本禁止使用这种“网红弱密码”,你很难想象这竟然会成为一个国家军方系统的用户名和密码。
9月25日,乌克兰记者 @alexdubinskyi 爆料称,乌克兰武装部队的第聂伯罗军队自动化控制系统的服务器用户名和密码分别为“admin”、“123456”。据了解,该系统主要用于协调顿巴斯地区的军事行动,也就是从2014年至今乌克兰和俄罗斯频繁交火的地区。
最先发现这个问题的是一名数据专家 Vlasyuk Dmitry,在5月22日对该系统进行网络测试的时候发现,很多服务器可以通过简易的用户名(admin)和密码(admin或者123456)访问,他及时汇报了这个安全隐患,但一段时间之后这个问题并没有得到改善。
5月25日,Vlasyuk 在邮件服务器上发现了类似的情况,基本上不需要技术很高深的黑客就能够轻松访问交换机、路由器、服务器、打印机和扫描仪等设备,能够分析出武装部队大量的机密信息甚至掌握整个夏天乌克兰军队在顿巴斯地区的一切计划。
Vlasyuk的建议被军方上级忽视,鉴于事情的严重性,Vlasyuk 在5月26日将该情况汇报给了国家安全与国防事务委员会以及乌克兰情报局。
等待长达一个多月的时间,乌克兰国防部才给出比较积极回应,要求乌克兰国防部以及其它武装力量部门禁止使用弱密码,同时定期检查所有工作站。不过,对于一些IP地址的安全问题,他们认为不需要加强。看起来Vlasyuk所提出的问题,还是没能完全得到重视……
时间又过去了半个多月,Vlasyuk 收到反馈称,第聂伯河系统所存在的安全威胁已经被消除。
可笑的是,在7月12日的测试中,Vlasyuk 发现一些设备与特定的IP地址使用默认用户名和密码仍然可以登录进去。更有甚者,在一些情况下,计算机能够直接连接到国防部的网络,没有密码就可以进入。
Vlasyuk 再一次选择了投诉……
@alexdubinskyi 表示,在将近四个月的时间里,访问国防部部分服务器和计算机的密码一直没有发生改变:admin、123456。在这之前,北约曾向乌克兰提供4000万欧元旨在建设网络防御系统;在今年年初,乌克兰总参谋长宣称军队开始向自动化指挥和控制系统过渡。
军事系统对于国家安全来说至关重要,网络空间的战争已经在无形中变得异常激烈。对于任何国家来说,任何军事系统的建设都应该建立在安全性基础之上,既要保证不受破坏,也要保证机密不被敌方窃取。在本次事件中,乌克兰军方如果继续对网络安全问题忽视,可能也是在给自己埋下一颗定时炸弹……
网友评论:
@朕百忙之中抽空:记者名字都比密码复杂
@名字好难想BK:你们懂什么,这个叫做「最危险的地方就是最安全的地方」。不要问我,这么简单的密码组合被「暴力搜索算法」破解了怎么办,有种战术叫做「最好的防守就是进攻」,在乌克兰360度无死角黑客攻势下,任何试图黑入乌克兰武器系统的ip都会被摧毁!(我编不下去了,能不能先把枪放下,我们有话好好说)
@白炽灯尾迹:贼不走正门
@门口葛大爷:花100个亿也没用啊,就像家里装了最顶级的安防系统,结果你开着大门等贼来
@__Hokuang__:这是个蜜罐
@东北东野圭吾:多亲民的用户名密码啊