Skip to main content

居然是 admin/123456,乌克兰这军方系统也是……


“123456、admin”在2017年弱密码TOP 100中,分别位列第一位和第十一位。大多数账户系统在注册时基本禁止使用这种“网红弱密码”,你很难想象这竟然会成为一个国家军方系统的用户名和密码。


9月25日,乌克兰记者 @alexdubinskyi 爆料称,乌克兰武装部队的第聂伯罗军队自动化控制系统的服务器用户名和密码分别为“admin”、“123456”。据了解,该系统主要用于协调顿巴斯地区的军事行动,也就是从2014年至今乌克兰和俄罗斯频繁交火的地区。

最先发现这个问题的是一名数据专家 Vlasyuk Dmitry,在5月22日对该系统进行网络测试的时候发现,很多服务器可以通过简易的用户名(admin)和密码(admin或者123456)访问,他及时汇报了这个安全隐患,但一段时间之后这个问题并没有得到改善。

5月25日,Vlasyuk 在邮件服务器上发现了类似的情况,基本上不需要技术很高深的黑客就能够轻松访问交换机、路由器、服务器、打印机和扫描仪等设备,能够分析出武装部队大量的机密信息甚至掌握整个夏天乌克兰军队在顿巴斯地区的一切计划。


Vlasyuk的建议被军方上级忽视,鉴于事情的严重性,Vlasyuk 在5月26日将该情况汇报给了国家安全与国防事务委员会以及乌克兰情报局。

等待长达一个多月的时间,乌克兰国防部才给出比较积极回应,要求乌克兰国防部以及其它武装力量部门禁止使用弱密码,同时定期检查所有工作站。不过,对于一些IP地址的安全问题,他们认为不需要加强。看起来Vlasyuk所提出的问题,还是没能完全得到重视……

时间又过去了半个多月,Vlasyuk 收到反馈称,第聂伯河系统所存在的安全威胁已经被消除。

可笑的是,在7月12日的测试中,Vlasyuk 发现一些设备与特定的IP地址使用默认用户名和密码仍然可以登录进去。更有甚者,在一些情况下,计算机能够直接连接到国防部的网络,没有密码就可以进入。

Vlasyuk 再一次选择了投诉……


@alexdubinskyi 表示,在将近四个月的时间里,访问国防部部分服务器和计算机的密码一直没有发生改变:admin、123456。在这之前,北约曾向乌克兰提供4000万欧元旨在建设网络防御系统;在今年年初,乌克兰总参谋长宣称军队开始向自动化指挥和控制系统过渡。

军事系统对于国家安全来说至关重要,网络空间的战争已经在无形中变得异常激烈。对于任何国家来说,任何军事系统的建设都应该建立在安全性基础之上,既要保证不受破坏,也要保证机密不被敌方窃取。在本次事件中,乌克兰军方如果继续对网络安全问题忽视,可能也是在给自己埋下一颗定时炸弹……

网友评论:

@朕百忙之中抽空:记者名字都比密码复杂

@名字好难想BK:你们懂什么,这个叫做「最危险的地方就是最安全的地方」。不要问我,这么简单的密码组合被「暴力搜索算法」破解了怎么办,有种战术叫做「最好的防守就是进攻」,在乌克兰360度无死角黑客攻势下,任何试图黑入乌克兰武器系统的ip都会被摧毁!(我编不下去了,能不能先把枪放下,我们有话好好说

@白炽灯尾迹:贼不走正门

@门口葛大爷:花100个亿也没用啊,就像家里装了最顶级的安防系统,结果你开着大门等贼来

@__Hokuang__:这是个蜜罐

 @东北东野圭吾:多亲民的用户名密码啊
Labels:

Comments

Post a Comment

https://gengwg.blogspot.com/

Popular posts from this blog

OWASP Top 10 Threats and Mitigations Exam - Single Select

Last updated 4 Aug 11 Course Title: OWASP Top 10 Threats and Mitigation Exam Questions - Single Select 1) Which of the following consequences is most likely to occur due to an injection attack? Spoofing Cross-site request forgery Denial of service   Correct Insecure direct object references 2) Your application is created using a language that does not support a clear distinction between code and data. Which vulnerability is most likely to occur in your application? Injection   Correct Insecure direct object references Failure to restrict URL access Insufficient transport layer protection 3) Which of the following scenarios is most likely to cause an injection attack? Unvalidated input is embedded in an instruction stream.   Correct Unvalidated input can be distinguished from valid instructions. A Web application does not validate a client’s access to a resource. A Web action performs an operation on behalf of the user without checking a shared sec
2 comments
Read more

CKA Simulator Kubernetes 1.22

  https://killer.sh Pre Setup Once you've gained access to your terminal it might be wise to spend ~1 minute to setup your environment. You could set these: alias k = kubectl                         # will already be pre-configured export do = "--dry-run=client -o yaml"     # k get pod x $do export now = "--force --grace-period 0"   # k delete pod x $now Vim To make vim use 2 spaces for a tab edit ~/.vimrc to contain: set tabstop=2 set expandtab set shiftwidth=2 More setup suggestions are in the tips section .     Question 1 | Contexts Task weight: 1%   You have access to multiple clusters from your main terminal through kubectl contexts. Write all those context names into /opt/course/1/contexts . Next write a command to display the current context into /opt/course/1/context_default_kubectl.sh , the command should use kubectl . Finally write a second command doing the same thing into /opt/course/1/context_default_no_kubectl.sh , but without the use of k
Post a Comment
Read more

标 题: 关于Daniel Guo 律师

发信人: q123452017 (水天一色), 信区: I140 标  题: 关于Daniel Guo 律师 关键字: Daniel Guo 发信站: BBS 未名空间站 (Thu Apr 26 02:11:35 2018, 美东) 这些是lz根据亲身经历在 Immigration版上发的帖以及一些关于Daniel Guo 律师的回 帖,希望大家不要被一些马甲帖广告帖所骗,慎重考虑选择律师。 WG 和Guo两家律师对比 1. fully refund的合约上的区别 wegreened家是case不过只要第二次没有file就可以fully refund。郭家是要两次case 没过才给refund,而且只要第二次pl draft好律师就可以不退任何律师费。 2. 回信速度 wegreened家一般24小时内回信。郭律师是在可以快速回复的时候才回复很快,对于需 要时间回复或者是不愿意给出确切答复的时候就回复的比较慢。 比如:lz问过郭律师他们律所在nsc区域最近eb1a的通过率,大家也知道nsc现在杀手如 云,但是郭律师过了两天只回复说让秘书update最近的case然后去网页上查,但是上面 并没有写明tsc还是nsc。 lz还问过郭律师关于准备ps (他要求的文件)的一些问题,模版上有的东西不是很清 楚,但是他一般就是把模版上的东西再copy一遍发过来。 3. 材料区别 (推荐信) 因为我只收到郭律师写的推荐信,所以可以比下两家推荐信 wegreened家推荐信写的比较长,而且每封推荐信会用不同的语气和风格,会包含lz写 的research summary里面的某个方面 郭家四封推荐信都是一个格式,一种语气,连地址,信的称呼都是一样的,怎么看四封 推荐信都是同一个人写出来的。套路基本都是第一段目的,第二段介绍推荐人,第三段 某篇或几篇文章的abstract,最后结论 4. 前期材料准备 wegreened家要按照他们的模版准备一个十几页的research summary。 郭律师在签约之前说的是只需要准备五页左右的summary,但是在lz签完约收到推荐信 ,郭律师又发来一个很长的ps要lz自己填,而且和pl的格式基本差不多。 总结下来,申请自己上心最重要。但是如果选律师,lz更倾向于wegreened,
Post a Comment
Read more