写于 2018-11-13 09:05:08| 永利娱乐| 股票

任何半猥亵的黑客都可能闯入Mar-a-Lago

两个星期前,在一个波光粼粼的春天的早晨,我们沿着佛罗里达州的沿海水道拖网但不是为了鱼我们在距离棕榈滩的Mar-a-Lago俱乐部后面草坪约800英尺的泻湖中停放了一艘17英尺长的机动船

并指出一个2英尺长的无线天线,类似于土豆枪朝向俱乐部在一分钟内,我们发现了三个弱加密的Wi-Fi网络我们可以在不到五分钟的时间内攻击它们,但是我们在几天后避免了,我们开车了通过位于新泽西州贝德明斯特的特朗普国家高尔夫俱乐部的场地,使用相同的天线并将其对准俱乐部会所我们确定了两个开放的Wi-Fi网络,任何人都可以在没有密码的情况下加入我们抵制诱惑我们也访问了两个唐纳德特朗普总统的其他家庭式度假胜地,位于华盛顿特区的特朗普国际酒店和位于弗吉尼亚州斯特林的高尔夫俱乐部

我们的检查发现,Wi-Fi网络薄弱,无密码无线打印机,服务器过时和过时专家表示,松散的安全性带来的风险远远超出了简单的数字窥探,复杂的攻击者可以充分利用Wi-Fi网络中的漏洞来接管像这样的设备,例如可用的软件和未加密的登录页面到包含敏感信息的后端数据库计算机或智能手机使用它们记录涉及场所内任何人的对话“这些网络都必须与外国入侵者一起爬行,而不仅仅是ProPublica,”数字安全公司Immunity,Inc的首席执行官Dave Aitel说道

我们告诉他我们发现安全漏洞在酒店行业并不少见,这与大多数行业和政府机构一样,受到黑客的攻击越来越多但是在美国总统,国家元首和国家元首的地方,他们更加令人担忧

公务员经常访问美国领导人不能承受这样的脆弱性美国和法国的总统竞选表明为了影响选举和政策,黑客越来越多地利用互联网安全系统的弱点上周,使用国家安全局窃取的软件进行的网络攻击使至少十几个国家的运营陷入瘫痪,从英国国家卫生局到俄罗斯内政部特朗普在他的财产中接待了中国国家主席习近平,日本首相安倍晋三和英国政治家奈杰尔法拉奇

我们发现的网络安全问题可能会让黑客对特朗普组织的外交讨论 - 以及其他敏感对话 - 进行监督

发言人阿曼达·米勒说:“网络安全最佳实践”几乎与所有其他公司一样,我们常常成为网络恐怖分子的目标,他们的唯一重点是对美国大企业造成伤害虽然我们不会对具体的安全措施发表评论,但我们有信心在我们的步骤中已采取保护我们的业务和保护我们的信息我们的团队努力工作,部署一流的防火墙和反漏洞平台,不断全天候监控“白宫没有回应重复的评论请求特朗普的属性已被黑客攻击去年之前,特朗普连锁酒店支付了5万美元,以解决纽约司法部长提出的未能正确披露超过70,000个信用卡号码和302个社会安全号码的损失,检察官称酒店信用卡系统是“由于安全性差导致的网络攻击目标公司同意加强其安全性;目前尚不清楚我们发现的漏洞是否违反了该协议纽约司法部长发言人拒绝发表评论我们的经验也表明,很容易获得特朗普财产的实际访问权限,至少当总统不在那里时如Politico先前报道的那样,特朗普酒店和俱乐部守卫严重我们驾驶一辆汽车经过Mar-a-Lago前面并在其草坪附近停泊了一艘船我们开车经过Bedminster高尔夫球场,进入弗吉尼亚州斯特林的高尔夫球场停车场没有人质疑我们奥巴马总统和布什总统经常在更传统的总统撤退中度假,军事营地戴维营在那里和白宫的计算机和网络由国防信息系统局运营 2016年,军方花费了6400万美元用于维护白宫和戴维营的网络,以及超过200万美元的“防御解决方案,人员,技术和最佳实践来保护,检测和减轻基于网络的威胁”据知情人士透露,白宫在2015年承认俄罗斯人被黑客入侵后白宫取代了所有计算机系统

白宫被告知“有人正在积极观察你在做什么,”在奥巴马政府管理美国数字服务的Mikey Dickerson表示,相比之下,Mar-a-Lago预计2016年的安全性预算为442,931美元 - 稍微多一点一个新成员的200,000美元启动费的两倍以上特朗普组织拒绝透露Mar-a-Lago在数字安全方面的花费多少该俱乐部最近报道有近500个内存根据特朗普针对棕榈滩县提起的诉讼中提出的文件,以阻止商业航班飞越Mar-a-Lago,该公司每年支付每年14,000美元的会费,为所有政府分配1,703,163美元

该诉讼被撤销,但是当总统在那里时,美国联邦航空局现在限制飞越俱乐部目前还不清楚特朗普是否连接到不安全的网络而他家的财产当他旅行时,总统被提供便携式安全通信设备特朗普跟踪叙利亚的军事打击上个月从Mar-a-Lago的一个闭门式房间里安装了安全的视频设备然而,特朗普在他的房产的公共场所召开了敏感会议最着名的是,2月,他和日本首相讨论了朝鲜问题

Mar-a-Lago露台上的导弹测试在2月的那个周末,总统的推特账号从Android手机发布了21条推文A一个以Android为重点的网站的分析显示,自2015年以来特朗普使用了相同品牌的手机该手机是一款未经国家安全局批准用于分类使用的老款手机当时用餐者拍摄的特朗普和安倍的照片提示四民主党参议员要求政府问责办公室调查Mar-a-Lago的电子通讯是否安全3月,GAO同意开展调查办公室发言人Chuck Young在接受采访时说,这项工作是在“在早期阶段,“并没有提供报告何时完成的估计因此,我们决定自己测试特朗普最喜欢的环境的网络安全我们的第一站是Mar-a-Lago,一个位于佛罗里达州棕榈滩的特朗普乡村俱乐部自从上任以来总统在大多数周末度过了开车经过俱乐部之后,我们收到了自2016年2月起至少可以访问的支持Wi-Fi的组合打印机和扫描仪的信号

公共Wi-Fi数据库开放式打印机可能听起来无害,但黑客可以使用它从捕获发送到设备的所有文件到尝试渗透整个网络等各种事情来防止此类攻击,防御信息系统局保护白宫和其他军事网络,禁止安装任何人都可以从外部网络连接的打印机

它还警告不要使用打印机以外的打印机,例如传真“如果攻击者获得对这些设备之一的网络访问权限,可能有各种各样的漏洞利用,“该机构在其安全指南中警告我们还能够检测到错误配置和未加密的路由器,这可能为黑客提供一个通道为了获得更好的视线,我们租了一艘船,在俱乐部的视线范围内驾驶它,我们从俱乐部的无线网络中获取信号,其中三个信号受到弱电和过时加密形式的保护,称为W EP 2005年,一名联邦调查局特工在几分钟内公开打破了这种类型的加密

相比之下,军方限制了大卫营和白宫等网络的信号强度,因此它们无法通过驾驶汽车到达

它还需要无线网络使用最强大的加密形式从我们在纽约的办公桌,我们还能够确定该俱乐部的网站拥有一个不安全登录页面的数据库,该页面不受标准互联网加密保护 根据国防信息系统局的说法,这样的登录表格被认为是一种严重的安全风险,如果没有加密,间谍可以窃听网络,直到俱乐部员工登录,然后窃取他或她的用户名和密码他们然后可以下载一个数据库,根据俱乐部软件提供商发布的视频,似乎包含了俱乐部成员及其家属的敏感信息

这是“糟糕,非常糟糕”,网络安全公司SentinelOne安全策略主管Jeremiah Grossman说,当我们描述Mar-a时-Lago的系统“我认为数据已经被盗,系统受到损害”几天后,我们将设备带到了新泽西州贝德明斯特的另一个特朗普俱乐部

在过渡期间,特朗普采访了那里的高层管理人员候选人,包括现任国防部长詹姆斯·马蒂斯(James Mattis)我们开车穿过高尔夫球场中间的一条土路,发现两个开放的Wi-Fi网络,TrumpMembers和WelcomeToTrumpNationalGolfClub,不需要密码加入这样的开放网络允许范围内的任何人挖掘在那里发生的所有未加密的互联网活动,这可能在不安全的网站上包括用户名,密码和电子邮件Robert Graham,亚特兰大,格鲁吉亚网络安全专家表示,黑客可以使用开放式Wi-Fi远程打开连接到网络的设备的麦克风和摄像头“你所描述的是典型的酒店安全性,”他说,但“它非常关注”在我们访问Bedminster俱乐部两天后,特朗普抵达华盛顿特区的特朗普国际酒店,特朗普经常与他的女婿和老人一起用餐顾问贾里德库什纳,他的职责范围从中东外交到改革联邦官僚机构我们调查了星巴克的网络酒店地下室从那里,我们可以看出酒店有两个Wi-Fi网络受到所谓的强制门户保护这些登录屏幕经常用于机场和酒店,以确保只有付费客户可以访问网络但是,我们获得了只需在房间号码字段中键入“457”即可访问两个网络因为我们提供了房间号码,系统认为我们是客人我们在登出之前查询了酒店的公共IP地址从我们在纽约的办公桌上,我们也可以告诉酒店正在使用可从公共互联网访问的服务器这台服务器正在运行大约13年前发布的软件最后,我们参观了弗吉尼亚州斯特林的特朗普国家高尔夫俱乐部,总统有时会在那里打高尔夫球从停车场,我们认识到三个加密的无线网络,一个加密的无线电话和两个具有开放式Wi-Fi接入的打印机

特朗普俱乐部网站由一家名为Clubes的俄亥俄州公司托管

sential它提供从后台管理和会员通信到开球时间和房间预订的所有内容在2014年的一次演示中,公司销售总监警告说,整个俱乐部行业在管理和保护密码方面“过于宽松”有一个“在过去两年里,俱乐部网站遭到越来越多的攻击,“根据演示文稿Clubessential”对俱乐部行业的安全性进行了审计“并且”在互联网上发现了数千个来自俱乐部的敏感文件,“作为“会员和员工名单,以及他们的联系信息;董事会会议记录,财务报表等“仍然,俱乐部软件公司已经建立了一个可在互联网上访问的后端服务器,并且错误地配置了加密任何到达登录页面的人都会收到加密被破坏的警告在其文档中,该公司建议俱乐部管理员忽略这些警告并登录,无论这意味着任何人窥探未受保护的连接都可以拦截管理员的密码并获得对整个系统的访问权

该公司还在线发布,没有密码,许多默认设置和软件的用户名 - 基本上为入侵者提供了路线图Clubessential拒绝评论Immunity首席执行官Aitel表示特朗普物业的问题难以解决:“一旦你处于低安全级别,很难开发出来安全的网络系统你基本上必须重新开始“您是否可以访问应该公开的信息

以下是如何安全地向ProPublica发送提示和文档这样的故事

注册ProPublica的每日时事通讯以获得更多他们的最佳作品您是否有想要与HuffPost分享的信息

就是这样