歡迎光臨
每天分享高質量文章

居然是 admin/123456,烏克蘭這軍方系統也是……

(點選上方公眾號,可快速關註)


轉自:FreeBuf.COM,Andy.i

www.freebuf.com/news/185614.html


“123456、admin”在2017年弱密碼TOP 100中,分別位列第一位和第十一位。大多數賬戶系統在註冊時基本禁止使用這種“網紅弱密碼”,你很難想象這竟然會成為一個國家軍方系統的使用者名稱和密碼。



9月25日,烏克蘭記者 @alexdubinskyi 爆料稱,烏克蘭武裝部隊的第聶伯羅軍隊自動化控制系統的伺服器使用者名稱和密碼分別為“admin”、“123456”。據瞭解,該系統主要用於協調頓巴斯地區的軍事行動,也就是從2014年至今烏克蘭和俄羅斯頻繁交火的地區。


最先發現這個問題的是一名資料專家 Vlasyuk Dmitry,在5月22日對該系統進行網路測試的時候發現,很多伺服器可以透過簡易的使用者名稱(admin)和密碼(admin或者123456)訪問,他及時彙報了這個安全隱患,但一段時間之後這個問題並沒有得到改善。


5月25日,Vlasyuk 在郵件伺服器上發現了類似的情況,基本上不需要技術很高深的駭客就能夠輕鬆訪問交換機、路由器、伺服器、印表機和掃描器等裝置,能夠分析出武裝部隊大量的機密資訊甚至掌握整個夏天烏克蘭軍隊在頓巴斯地區的一切計劃。



Vlasyuk的建議被軍方上級忽視,鑒於事情的嚴重性,Vlasyuk 在5月26日將該情況彙報給了國家安全與國防事務委員會以及烏克蘭情報局。


等待長達一個多月的時間,烏克蘭國防部才給出比較積極回應,要求烏克蘭國防部以及其它武裝力量部門禁止使用弱密碼,同時定期檢查所有工作站。不過,對於一些IP地址的安全問題,他們認為不需要加強。看起來Vlasyuk所提出的問題,還是沒能完全得到重視……


時間又過去了半個多月,Vlasyuk 收到反饋稱,第聶伯河系統所存在的安全威脅已經被消除。


可笑的是,在7月12日的測試中,Vlasyuk 發現一些裝置與特定的IP地址使用預設使用者名稱和密碼仍然可以登入進去。更有甚者,在一些情況下,計算機能夠直接連線到國防部的網路,沒有密碼就可以進入。


Vlasyuk 再一次選擇了投訴……



@alexdubinskyi 表示,在將近四個月的時間裡,訪問國防部部分伺服器和計算機的密碼一直沒有發生改變:admin、123456。在這之前,北約曾向烏克蘭提供4000萬歐元旨在建設網路防禦系統;在今年年初,烏克蘭總參謀長宣稱軍隊開始向自動化指揮和控制系統過渡。


軍事系統對於國家安全來說至關重要,網路空間的戰爭已經在無形中變得異常激烈。對於任何國家來說,任何軍事系統的建設都應該建立在安全性基礎之上,既要保證不受破壞,也要保證機密不被敵方竊取。在本次事件中,烏克蘭軍方如果繼續對網路安全問題忽視,可能也是在給自己埋下一顆定時炸彈……


網友評論:


@朕百忙之中抽空:記者名字都比密碼複雜


@名字好難想BK:你們懂什麼,這個叫做「最危險的地方就是最安全的地方」。不要問我,這麼簡單的密碼組合被「暴力搜尋演演算法」破解了怎麼辦,有種戰術叫做「最好的防守就是進攻」,在烏克蘭360度無死角駭客攻勢下,任何試圖黑入烏克蘭武器系統的ip都會被摧毀!(我編不下去了,能不能先把槍放下,我們有話好好說


@白熾燈尾跡:賊不走正門


@門口葛大爺:花100個億也沒用啊,就像家裡裝了最頂級的安防系統,結果你開著大門等賊來


@__Hokuang__:這是個蜜罐


@東北東野圭吾:多親民的使用者名稱密碼啊

【關於投稿】


如果大家有原創好文投稿,請直接給公號傳送留言。


① 留言格式:
【投稿】+《 文章標題》+ 文章連結

② 示例:
【投稿】
《不要自稱是程式員,我十多年的 IT 職場總結》:

http://blog.jobbole.com/94148/


③ 最後請附上您的個人簡介哈~



覺得本文有幫助?請分享給更多人

關註「演演算法愛好者」,修煉程式設計內功

贊(0)

分享創造快樂