admin5 居然是 admin/123456，乌克兰这军方系统也是醉了

转自:FreeBuf.COM

“123456”和“admin”在2017年弱密码TOP 100中分别排名第一和第十一。大多数账号系统在注册时基本禁止使用这个“网上名人弱密码”，你很难想象它会成为一个国家军事系统的用户名和密码。

9月25日，乌克兰记者@ alexdubinskyi爆料称，乌克兰武装部队第聂伯罗陆军自动化控制系统服务器用户名和密码分别为“admin”和“123456”。据了解，该系统主要用于协调顿巴斯地区的军事行动，即乌克兰和俄罗斯自2014年以来频繁交火的地区。

第一个发现这个问题的是数据专家Vlasyuk Dmitry，他在5月22日测试系统时发现很多服务器都可以通过简单的用户名(admin)和密码(admin或123456)访问。他及时报告了这个安全隐患，但是这个问题过了一段时间也没有改善。

5月25日，Vlasyuk在邮件服务器上发现了类似的情况。基本上不需要技术高超的黑客就可以轻松访问交换机、路由器、服务器、打印机、扫描仪等设备，可以分析大量的武装部队机密信息，甚至可以掌握整个夏季乌克兰军队在顿巴斯地区的所有计划。

弗拉肖克的建议被军事上级忽视了。鉴于事情的严重性，弗拉肖克于5月26日向国家安全与国防事务委员会和乌克兰情报局报告了这一情况。

等了一个多月，乌克兰国防部给出了相对积极的回应，要求乌克兰国防部等武装力量部门禁止使用弱密码，并定期检查所有工作站。但是，对于一些IP地址安全问题，他们认为没有必要加强。Vlasyuk的问题似乎没有得到充分的重视...

半个多月过去了，弗拉肖克收到反馈，第聂伯河系统的安全威胁已经消除。

具有讽刺意味的是，在7月12日的测试中，Vlasyuk发现一些设备和特定的IP地址仍然可以使用默认的用户名和密码登录。更有甚者，在某些情况下，电脑可以直接连到国防部的网络上，不需要密码就可以访问。

弗拉肖克再次选择抱怨...

@ alexdubinskyi表示，在过去的四个月里，访问国防部部分服务器和电脑的密码没有变化:admin，123456。在此之前，北约向乌克兰提供4000万欧元建设网络防御系统；今年年初，乌克兰总参谋长宣布，军队开始向自动化指挥控制系统过渡。

军事系统对于国家安全至关重要，网络之间的战争空无形中变得异常激烈。对于任何一个国家来说，任何军事体系的构建都要以安全为基础，既要有所破坏，又要保证机密不被敌人窃取。在这一事件中，如果乌克兰军方继续忽视网络安全问题，它也可能为自己埋下一颗定时炸弹...