上周五,美國國防部監察長發布了乙份針對美國彈道飛彈系統的安全審計報告,報告顯示,系統沒有資料加密、沒有反病毒程式、沒有多因素身份驗證機制,甚至長達28年未修補的漏洞只是其安全漏洞的一部分。報告源於國防部**4月隨機視察隸屬於飛彈防禦局(mda)五個基地的彈道飛彈防禦系統(簡稱bmds,美國國防部開發的用於攔截地方核彈,保護領土的專案)。
審查者發現的多數問題與多因素身份驗證有關。在正常情況下,任何新的mda員工都會收到用於訪問bmds網路的使用者名稱和密碼。隨著新員工進入新工作崗位,他們還會收到一張公共訪問卡(cac),他們必須為他們的帳戶啟用這些卡並與密碼一起使用,作為身份驗證的第二個因素。正常程式表明,所有新的mda工作人員必須在雇用後的兩周內使用多因素身份驗證。但報告指出,隨機視察的五個地點中有三個地點的不少雇員沒有為使用者啟用多因素身份驗證,仍然單一使用使用者名稱和密碼訪問內部網路。
缺乏多因素身份驗證意味著員工容易受到網路釣魚攻擊,這種攻擊可以收集他們的密碼,並允許攻擊者遠端或內部訪問bmds系統,而無需進一步攻克訪問障礙(第二個身份驗證因素)。
更令人擔憂的問題是三個基地的it管理者沒有應用安全補丁,導致致計算機和相鄰網路系統容易受到遠端或本地攻擊。調查人員發現,在2023年、2023年甚至早在2023年,系統都沒有對發現和修復的漏洞進行修補。報告在這個特定部分進行了大量編輯,表明mda管理員仍在修補這些缺陷。
除了軟體缺陷,調查人員還發現了物理安全問題。例如,在兩個地點,調查人員兩個基地的伺服器機架解鎖並且易於訪問。任何獲得訪問權或被邀請到這些位置之一的攻擊者、訪客或訪客都可以很容易地將惡意裝置插入這些伺服器機架之一。工作人員在有標識提醒的情況下仍然未能充分理解其重要性。
另乙份報告發現,在使用可移動**的氣隙系統之間移動資料時,三個基地的mda**並未始終如一地使用加密。mda**將此歸咎於「缺乏加密資料的能力和頻寬,沒有資源購買加密軟體,而且使用的加密軟體並不總是能被相容」。
視察人員發現,乙個基地的it管理者未能安裝入侵檢測和預防系統(即防病毒的安全產品)沒有入侵檢測和預防功能,就無法檢測到(不法分子)訪問其網路的惡意企圖,難以防止想要獲取未經授權的訪問的網路攻擊並洩露敏感的bmds技術資訊行為。工作人員對此的解釋是主管沒有批准他們一年前提交的相應軟體的請求。
但更令人沮喪的是報告對其中幾個mda基地實施的物理安全控制的調查結果。在許多情況下,監控攝像機未能覆蓋整個基地,造成攻擊者可以利用的空隙進入基地。此外,辦公樓內門的感測器還有問題,甚至沒有用以鎖門的設施。工作人員也沒有對未佩戴徽章的審查者提出質疑,甚至允許未經授權的人員在擁有最高機密的建築物周圍走動。
mda目前擁有104個彈道飛彈陣地,並計畫建造另外10個彈道飛彈。但如果它不能改善其物理和網路安全保護,那麼在發生衝突時這些基地很容易被攻擊,國防部ig報告就此提出了一系列針對性建議。
美國防部網路曝重大漏洞 黑客或可輕而易舉劫持F35
報告稱,黑客甚至只需要基本的黑入技巧和基本的工具,即可黑入甚至劫持這些決定勝負的美軍 系統!這一報告的最大 新意 是,這是來自於美國 專業團隊的報告,但也有專家指出黑客很難獲得物理接入f 35等 網路接入介面的機會。美國最新的 系統,包括f 35隱身戰鬥機 飛彈系統和其他尖端機器,尚未準備好抵禦來自...
美國防部將成立資訊部門應對猖狂的黑客攻擊
北京時間7月25日上午訊息,美國國防部將建立乙個 資訊部門 保護戰略性資產和系統,以應對越來越多的黑客攻擊。美國國防部副部長威廉 林恩 william lynn 表示,今年3月,美國遭遇了有史以來規模最大的一次黑客攻擊,導致國外組織從國防部承包商的網路中獲取了2.4萬份機密文件。過去兩年中,隨著資訊...
美國國防部展示「零功耗」感測器技術
在 11 月初剛剛結束的 ieee 年度感測器技術大會 ieee sensor 2016 上,美國國防部高等研究計畫署 darpa 向公眾展示了他們能夠實現待機 零功耗 的最新感測器。據 darpa 的專案經理 troyolsson 介紹,這種 零功耗 感測器待機時並絕對的 零功耗 而是待機時的能量...