בשבוע שעבר פיטר מושל מדינת יוטה את ראש מחלקת שירותי הטכנולוגיה של המדינה, סטפן פלטשר, בעקבות פרצת אבטחת מידע בשרתי מחלקת הבריאות של המדינה, אשר. . .
הובילה לחשיפת פרטיהם האישיים של 780,000 אנשים. קבלן תוכנה שסיפק שירותים לרשויות יוטה פוטר אף הוא.
ברקע לדברים, קבוצה של האקרים מרומניה אשר הצליחו לפרוץ לשרתים של המדינה לפני כחודשיים מאחר והסיסמה אליהם הייתה סיסמת ברירת המחדל של היצרן. כמו כן, קבלן התוכנה שפוטר התקין תוכנה שחסרה הצפנה כלשהי, כך שהמידע שנגנב היה לא מוצפן.
יצויין כי מחקרים שונים מצביעים על עלייה בתקיפות האקרים המבקשים לחדור למערכות מחשב דרך פיצוח סיסמאות קלות. אחת התקיפות המעניינות הקיימות בהיבט זה היא dictionary attacks, במסגרתה האקרים מפעילים תוכנה מיוחדת המנסה לנחש את סיסמת המשתמש תוך שימוש בביטויים המורכבים משמות סרטים, ספרים וביטויים משפה טבעית. חשוב להזכיר כי הסיסמא שמשתמשים בוחרים לשירותים השונים, בין אם זה חשבון הדואר האלקטרוני או חשבון הבנק, תפקידה להיות אחת משומרות הסף על הזהות שלהם.
במסגרת מבדקי חדירה חיצוניים ופנימיים המבוצעים על ידי חברתנו, מומחינו משיגים גישה למערכות השונות הודות למשתמשים (ומספיק אחד מכל הארגון) הבוחרים בסיסמה קלה לפיצוח. בנוסף, החברה מבצעת מבדקים בתצורת White box אשר בהם נבחנים מדיניות הסיסמאות והיישום שלהם, הן כחלק ממבדקי החדירה והן כחלק ממבדק בסיסי נתונים. פעמים רבות, משתמשים בוחרים סיסמאות זהות למערכות שונות בארגון, דבר העומד בניגוד לכללי אבטחת המידע הבסיסיים ביותר.
לידיעה המלאה- כאן