管理员口令这么简单 何需顶级国家黑客出手?

【PConline 资讯】你相信吗？只需9秒，就能猜出美国国防部(DoD)某些武器系统的管理员的口令。听起来有些骇人，但却是不争的事实，因为这些系统仍保留着默认口令。这不禁让人发问，如此简单的口令，何需顶级黑客出手？

尽管结果令人难以置信，但美国政府问责局(GAO)在最新发布的一份报告中确实这样写道：从2012年到2017年，美国国防部(DoD)测试人员经常找出任务关键性网络漏洞，所涉系统几乎涵盖所有在研武器。

美国国防部(DoD)热衷在军事设施中引入自动化和联网功能，但智能的同时也使这些武器系统更易遭受网络攻击。正如GAO报告所言，DoD计划投入1.66万亿美元开发其当前各型主要武器系统。

据了解，网络安全测试惯常检查的四个方面：保护、检测、响应与恢复，均存在可供利用的诸多漏洞。这里，我们为各位摘抄出GAO审计报告中的几个重点。

GAO发现，美武器系统竟然也用默认口令，并指出口令管理不良是个普遍的问题：多个武器系统使用了商业软件或开源软件，但并未修改其默认口令，且测试团队多次使用公开信息或网上下载的软件破解了武器系统安全控制。

而在另一测试中，测试人员在9秒钟内就猜出了管理员的口令。两人组成的测试红队仅需1个小时就能初步登入武器系统，1天之后就能获取系统的完整控制权。甚至说，测试团队悄无声息地在系统内活动了数周都没被发现。测试红队甚至毫不隐藏自己的行动，故意暴露自身，都未触发检测。尽管攻击行为在系统日志中都有记录，但武器系统的操作人员显然没工夫去查看系统日志。

在另外一案例中，红队接管了操作人员的终端，实时监视武器操作。此外，也有测试团队在用户终端上弹出消息，让操作人员“塞进2个硬币以继续操作。”

多个测试团队都能够复制、修改或删除系统数据，其中一支团队甚至下载了100GB的数据，相当于142张光盘的容量。GAO并未点名具体的武器系统或漏洞，但声称DoD才刚刚开始认识到漏洞的严重性。