美国GAO武器系统安全报告:先进武器装备多存在安全漏洞

ang010ela FreeBuf

美国政府问责局(GovernmentAccountabilityOffice,GAO)日前发布报告称,美国国防部开发的武器系统都存在安全漏洞,攻击者可以控制这些武器系统,甚至破坏其功能。

美国国防部计划在开发先进武器装备方面投入1.66万亿美元,美国GAO的报告显示几乎所有正在开发中的武器系统都存在致命漏洞。

测试团队使用普通工具和技术测试了武器系统应对网络攻击的能力,包括控制目标或使目标系统不能正常工作。测试人员发现,有时候对系统进行扫描都可能使其停止工作。

GAO还发现整个凭证管理过程非常差,测试记录显示测试团队甚至在9秒钟内都猜出了系统的管理密码,而最可能的情况就是管理员在武器系统安装软件时没有修改默认的密码。

使用网络上任何人都可以得到的信息和工具就可以隐藏恶意活动或绕过武器系统的保护机制。

问题分析

网络攻击红队在入侵后没有被发现的原因有很多,GAO人员在测试过程中故意留下了一些行动的线索,但系统管理人员仍没有发现这些可以获得的迹象。预警系统配置错误是其中一个原因,虽然报告中都提到入侵检测系统IDS红灯了,但系统管理员并没有接收到预警消息。而有时候IDS会一直显示预警状态,所以这也有可能导致让管理人员不再信赖这些预警系统。

报告中称,测试团队通过重启系统模拟了DOS攻击,确保系统在一个短时间周期内无法执行原来的任务。而系统管理员并没有怀疑出现的网络攻击,原因是系统会经常出现莫名其妙的奔溃。

系统操作员

系统操作员也可以看作是网络攻击活动的帮凶。

一些网络攻击活动的日志并不会被系统管理员查看。

还有一些情况是成功检测到了入侵,但系统管理员无法应用有效的应对措施。比如,测试团队绕过了防护措施;另一个案例中恢复电脑需要外部的帮助。

红队

找出完全或部分访问目标和控制目标的方法才是红队的主要目标,测试团队评估武器系统的漏洞状态也很有趣。内部报告显示当测试团队获取了系统的一些权限后,可以进行权限提升,甚至可以看到目标系统操作人员的每一步动作。

复制、删除、修改数据与发现漏洞一样简单,测试团队甚至窃取了100GB的数据。测试人员甚至在用户终端上弹出显示“instructing them to insert two quarters to continue operating”。

根源分析

GAO的审计从2017年7月开始到2018年10月,持续了1年多,期间测试了2012到2017年之间的一些武器系统。还检查了美国国防部改善武器系统安全性方面采取的措施,包括分析采购、需求、测试政策和指南。

报告的结论是:美国在应对网络攻击的武器系统的研发起步较晚,也缺乏一些关键的步骤。网络防御主要是针对基础设施和网络,而不是武器系统本身,所以网络系统也需要同样级别的重视。

造成美国国防部武器系统当前安全状况的原因有很多,包括:

武器系统计算机化和网络化的本质;

过去未优先发展武器系统安全;

以及国防部对如何最好的开发更多的网络安全的武器系统的不全面的理解。

同时,一些部门也认识到网络安全的重要性,并在系统设计和互联方面加入了安全的考虑。但一些关于对测试结果的真实性存在怀疑,坚信武器系统处于合理的保护之内。

GAO发现的当前网络安全状态可能只是冰山一角,这也是GAO首次对武器系统购置进行审计活动,这还不包括对供应商设施、物联网设备和工控系统安全的测试和审计。

*参考来源:GAO,转载请注明来自 FreeBuf.COM。

FreeBuf最近文章:

价值3133.7美金的谷歌(Google)存储型XSS漏洞昨天

在漏洞挖掘领域,不谈赏金和其它功利的东西,如果能发现谷歌公司的漏洞或进入其名人堂致谢榜,就已经非常不错的了。

如何通过Kibana、Wazuh和Bro IDS提高中小企业的威胁检测能力?10月19日

前言近来,我们一直都在通过一些开源免费的工具,来帮助中小企业提升其网络威胁检测能力。在本文中,我们将手把手的

非对称算法之RSA的签名剖析10月19日

前言数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信

顺藤摸瓜,炒股交流群里的黑产陷阱10月16日

最近,有网友爆料男子轻信“讲师荐股”被骗了144万,这种屡见不鲜的炒股交流群到底如何盈利呢?

新型鼠标光标劫持攻击将允许攻击者劫持GoogleChrome会话10月16日

一种典型的技术支持诈骗技术就是 Partnerstroka,而这种技术近期又引入了一种劫持浏览器会话的新方法。

热门文章:

当喇叭响起的那一刻,全场震惊!2016年5月17日

一个有个性的二维码试试能扫描出什么吧

今年高考咨询举报电话公布2016年5月27日

小编从有关方面获悉,我省近日公布了今年高考咨询举报电话。据悉,为进一步加大社会各界对招生考试工作的监督,

​日本为什么不道歉2016年5月30日

寻找质朴生活,回到安静阅读:点击上方"读书村"↑订阅

端午节十大最佳龙舟观赏地,第一名竟然是它,净月潭!2016年6月12日

中国十大龙舟观赏地,净月潭高居榜首!

一路从韩国火到蓝方,怒开几百家后!这可能是北京最有争议的一只鸡~2016年6月20日

二十年磨一剑的味道,\\n韩国开了几百家店,\\n又用两年时间一路火遍蓝方,\\n杭州广州厦门南京的炸鸡控都为它排过队,\\n现在北京也能吃到了,\\n还可能是最有争议的一只鸡...

(┯_┯)广告君被屏蔽了~~~

感谢您的支持,请按照如下步骤取消屏蔽ABBAO的广告(详细步骤):