Éljen soká az alapértelmezett jelszó 2.

2014. június 10. 10:18 - Csizmazia Darab István [Rambo]

Utolsó ilyen jellegű posztunk még hat éve, 2008-ban jelent meg abban a témában, hogy a meg nem változtatott alapértelmezett jelszó milyen hatalmas biztonsági rés. Akkor bemutattuk, hogy az ATM pénzkiadó automaták üzemeltetői is tudnak nem kicsit hibázni. A mai kérdés az, vajon most 2014-ben megszűnt-e az ilyen hiányosság a bankautomatáknál?

Azok nyertek, akik szerint az lustaság, a hanyagság mindig is szolgál nekünk hasonló elrettentő példákkal. Ugyanis a legutóbbi esetben két kanadai középiskolás egy kissé megnyújtott ebédszünet keretében sikerrel tört fel egy Bank of Montreal bankautomatát. Sikerükhöz természetesen nagyban hozzájárult, hogy előtte találtak az interneten egy az eszközhöz tartozó letölthető gépkönyvet. A művelet tulajdonképpen nem volt más, mint hogy bepróbálkoztak az alapértelmezett jelszóval - és tadaaam - át tudtak váltani felügyeleti módba. Ennek segítségével látták, pontosan mennyi pénz van az automatában, mennyi tranzakció történt korábban, és hasonló olyan belső információkhoz férhettek hozzá, melyeket normál esetben az ügyfelek nem láthatnak.

"Amikor kitaláltuk, hogy kipróbáljuk a gépkönyvben írtakat, valójában arra számítottunk, ez biztos nem fog sikerülni. Ám legnagyobb meglepetésünkre az egyik gyári jelszót simán elfogadta, amiből úgy tűnik, ezt az üzembe helyezés óta valószínűleg nem is változtatták meg, hanem így hagyták" - mondta később az egyikük. Mivel nem csalókról, hanem kíváncsi, de jó szándékú gyerekekről van szó, azonnal kapcsolatba léptek a Bank of Montreal irodájával, ahol jelentették, mit tapasztaltak. Először nem akartak hinni nekik, de a rendszerben aztán valóban látták, hogy igaz a dolog. Matthew Hewlett és Caleb Turon még arra is vették a fáradságot, hogy az ATM alapértelmezett üdvözlő üzenetét "Welcome to the BMO ATM" (Üdvözöljük a BMO pénzkiadó automatájánál) átírják a "Go away. This ATM has been hacked." (Kérem menjen el, ezt az ATM-et feltörték) figyelmeztető szöveggel. A bank biztonsági részlege későbbi szűkszavú közleményében jelezte, hogy "az akció során semmilyen ügyféladat nem került veszélybe", és megköszönték a fiatalok bejelentését. (Érdekes kérdés, hogy ha mindez Magyarországon történt volna, akkor elvileg megvalósul a számítástechnikai rendszer és adatok elleni bűncselekmény.)

Sok apró momentumból áll össze a biztonságnak nevezett nagy egész, amiben nem csak az alkalmazott technikai megoldások, hanem többek közt a fizikai hozzáférés védelme, a biztonságos beállítások, a naprakész frissítések, a social engineering elleni felvértezettség valamint a rendszeres biztonságtudatossági képzések is szerepelnek. Ennek egyik fontos szegmense az alapértelmezett jelszavak haladéktalan megváltoztatása is. Még a leghétköznapibb esetben - például egy otthoni internetes routernél - is azonnal ajánlatos a setup beállítások jelszavát az admin/admin-ról megváltoztatni amellett, hogy a wifi kapcsolat WPA2-es esetében is választunk a deafult LINKSYS helyett egy semmitmondó vagy semleges nevet (nem "DrKovacs_III.2", hanem például "Connection_error_117"), valamint egy hozzá tartozó erős jelszót. A már évek óta tartó sorozatos security breachek és az ilyenkor nyilvánosságra kerülő passwordok, illetve hashek tanulságai viszont azt mutatják, hogy sajnos nem csak a bamba jelszavak (abc, 12345, stb.) roppant gyakoriak, hanem az is, hogy a felhasználók egy jelszót több különböző helyszínen is használnak.

A jelszavak aktuális hosszúságához tartozó bruteforce időkről sokatmondó lehet Dinya Péter BSc tavalyi díjnyertes, az "Év információbiztonsági diplomadolgozata" munkája, amelynél a hagyományos felszereltségű PC mellett a Titan nevű szupercomputer erőforrásai mellett történő feltörési idők is szerepelnek. Itt a jelenlegi adatok mellett - amelyek Moore törvénnyel, a technika további fejlődésével (GPU, cloud, etc.) a jövőben természetesen folyamatosan változhatnak - az látszik, hogy 11 karaktertől indulva már hiperűrugrás történik a korábbi percek-órák-napok léptékből az (elvileg) évek tartamú visszafejtési hosszra. És bár záró infografikánk szerint - amely a Stanford egyetemen készült - 16 illetve 20 hossz felett már nincs akkora jelentősége az előírt kevert, azaz kisbetű, nagybetű, számjegy, különleges karakterek vegyített használatának, azért ha már egyszer jelszót gyártunk, érdemes beletenni ilyeneket is, hiszen ingyen van ;-)

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása