用戶名「admin」、密碼「123456」，烏克蘭軍方系統安全問題被曝光

「123456、admin」在2017年弱密碼TOP 100中，分別位列第一位和第十一位。大多數賬戶系統在註冊時基本禁止使用這種「網紅弱密碼」，你很難想像這竟然會成為一個國家軍方系統的用戶名和密碼。

9月25日，烏克蘭記者 @

alexdubinskyi

最先發現這個問題的是一名數據專家 Vlasyuk Dmitry，在5月22日對該系統進行網路測試的時候發現，很多伺服器可以通過簡易的用戶名（admin）和密碼（admin或者123456）訪問，他及時彙報了這個安全隱患，但一段時間之後這個問題並沒有得到改善。

5月25日，Vlasyuk 在郵件伺服器上發現了類似的情況，基本上不需要技術很高深的黑客就能夠輕鬆訪問交換機、路由器、伺服器、印表機和掃描儀等設備，能夠分析出武裝部隊大量的機密信息甚至掌握整個夏天烏克蘭軍隊在頓巴斯地區的一切計劃。

Vlasyuk的建議被軍方上級忽視，鑒於事情的嚴重性，Vlasyuk 在5月26日將該情況彙報給了國家安全與國防事務委員會以及烏克蘭情報局。

等待長達一個多月的時間，烏克蘭國防部才給出比較積極回應，要求烏克蘭國防部以及其它武裝力量部門禁止使用弱密碼，同時定期檢查所有工作站。不過，對於一些IP地址的安全問題，他們認為不需要加強。看起來Vlasyuk所提出的問題，還是沒能完全得到重視……

時間又過去了半個多月，Vlasyuk 收到反饋稱，第聶伯河系統所存在的安全威脅已經被消除。

可笑的是，在7月12日的測試中，Vlasyuk 發現一些設備與特定的IP地址使用默認用戶名和密碼仍然可以登錄進去。更有甚者，在一些情況下，計算機能夠直接連接到國防部的網路，沒有密碼就可以進入。

Vlasyuk 再一次選擇了投訴……

@

alexdubinskyi

 表示，在將近四個月的時間裡，訪問國防部部分伺服器和計算機的密碼一直沒有發生改變：admin、123456。在這之前，北約曾向烏克蘭提供4000萬歐元旨在建設網路防禦系統；在今年年初，烏克蘭總參謀長宣稱軍隊開始向自動化指揮和控制系統過渡。

軍事系統對於國家安全來說至關重要，網路空間的戰爭已經在無形中變得異常激烈。對於任何國家來說，任何軍事系統的建設都應該建立在安全性基礎之上，既要保證不受破壞，也要保證機密不被敵方竊取。在本次事件中，烏克蘭軍方如果繼續對網路安全問題忽視，可能也是在給自己埋下一顆定時炸彈……

*本文作者：Andy.i，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！