美国GAO武器系统安全报告:先进武器装备多存在安全漏洞

美国政府问责局(GovernmentAccountabilityOffice,GAO)日前宣布申报称,美国国防部开拓的武器系统都存在安然破绽,进击者可以节制这些武器系统,以致破坏其功能。

美国国防部计划在开拓先辈武器设置设备摆设方面投入1.66万亿美元,美国GAO的申报显示险些所有正在开拓中的武器系统都存在致命破绽。

测试团队应用通俗对象和技巧测试了武器系统应对收集进击的能力,包括节制目标或使目标系统不能正常事情。测试职员发明,无意偶尔候对系统进行扫描都可能使其竣事事情。

GAO还发明全部凭据治理历程异常差,测试记录显示测试团队以致在9秒钟内都猜出了系统的治理密码,而最可能的环境便是治理员在武器系统安装软件时没有改动默认的密码。

应用收集上任何人都可以获得的信息和对象就可以暗藏恶意活动或绕过武器系统的保护机制。

问题阐发

收集进击红队在入侵后没有被发明的缘故原由有很多,GAO职员在测试历程中有意留下了一些行动的线索,但系统治理职员仍没有发明这些可以得到的迹象。预警系统设置设置设备摆设摆设差错是此中一个缘故原由,虽然申报中都提到入侵检测系统IDS红灯了,但系统治理员并没有接管到预警消息。而无意偶尔候IDS会不停显示预警状态,以是这也有可能导致让治理职员不再信赖这些预警系统。

申报中称,测试团队经由过程重启系统模拟了DOS进击,确保系统在一个短光阴周期内无法履行原本的义务。而系统治理员并没有狐疑呈现的收集进击,缘故原由是系统会常常呈现莫名其妙的奔溃。

系统操作员

系统操作员也可以看作是收集进击活动的帮凶。

一些收集进击活动的日志并不会被系统治理员查看。

还有一些环境是成功检测到了入侵,但系统治理员无法利用有效的应对步伐。比如,测试团队绕过了防护步伐;另一个案例中规复电脑必要外部的赞助。

红队

找出完全或部分造访目标和节制目标的措施才是红队的主要目标,测试团队评估武器系统的破绽状态也很有趣。内部申报显示当测试团队获取了系统的一些权限后,可以进行权限提升,以致可以看到目标系统操作职员的每一步动作。

复制、删除、改动数据与发明破绽一样简单,测试团队以致偷取了100GB的数据。测试职员以致在用户终端上弹出显示“instructing them to insert two quarters to continue operating”。

根源阐发

GAO的审计从2018年7月开始到2018年10月,持续了1年多,时代测试了2012到2017年之间的一些武器系统。还反省了美国国防部改良武器系统安然性方面采取的步伐,包括阐发采购、需求、测试政策和指南。

申报的结论是:美国在应对收集进击的武器系统的研提议步较晚,也短缺一些关键的步骤。收集防御主如果针对根基举措措施和收集,而不是武器系统本身,以是收集系统也必要同样级其余注重。

造成美国国防部武器系统当前安然状况的缘故原由有很多,包括:

武器系统谋略机化和收集化的本色;

以前未优先成长武器系统安然;

以及国防部对若何最好的开拓更多的收集安然的武器系统的不周全的理解。

同时,一些部门也熟识到收集安然的紧张性,并在系统设计和互联方面加入了安然的斟酌。但一些关于对测试结果的真实性存在狐疑,坚信武器系统处于合理的保护之内。

GAO发明确当前收集安然状态可能只是冰山一角,这也是GAO首次对武器系统购置进行审计活动,这还不包括对供应商举措措施、物联网设备和工控系统安然的测试和审计。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包