Новый отчет обнаружил системы оружия Пентагона, пронизанные уязвимостями

Новый отчет обнаружил системы оружия Пентагона, пронизанные уязвимостями

Периодически правительство публикует отчеты, напоминающие нам, что ядерная ракетная система работает, в частности, на 8-дюймовых гибких дисках. Это позорно. Это позорно. Это признак государственного гниения и плохой приоритетности.

Ну, может быть. Вероятно, это не самая умная вещь, во всех отношениях, запустить ядерную оборону с компьютеров, слишком слабых для игры в «Зорк». Но, с другой стороны, как ясно из нового отчета GAO, есть некоторые преимущества для запуска системы ядерной обороны с компьютера, который не может играть в Zork. Это оставляет время для игры в Spacewar на PDP-1!

Изображение пользователя Wikipedia
Изображение пользователя Wikipedia

Просто шучу. Это связано с тем, что наши другие системы вооружения настолько пронизаны уязвимостями, что вы думаете, что они работают под управлением Windows 98 SE с установленными ActiveX, Active Desktop и Outlook Express. (Дети, люди определенной эпохи, это практически смертельная угроза). В начале доклада отмечается, что в течение десятилетий Министерство обороны «не уделяло приоритетное внимание вопросам безопасности оружия и все еще выясняет, как лучше решать эти угрозы, несмотря на то, что мы сталкивались с ними на протяжении десятилетий. Это не служит хорошим предзнаменованием для того, что происходит в следующем абзаце.

При оперативном тестировании DOD регулярно обнаруживал критически важные уязвимости кибер в системах, которые находились в стадии разработки, но сотрудники программы GAO встречались с уверенностью, что их системы были безопасными и обесценили некоторые результаты тестов как нереальные. Используя относительно простые инструменты и методы, тестерам удалось взять под контроль системы и в значительной степени управлять необнаруженными, частично из-за таких основных проблем, как плохое управление паролями и незашифрованная связь. Кроме того, уязвимости, о которых знает DOD, вероятно, представляют собой долю от общей уязвимости из-за ограничений тестирования. Например, не все программы были протестированы, и тесты не отражают весь спектр угроз.

Справедливости ради, это не так плохо, как кажется - или, скорее, это так же плохо, как кажется, но некоторые из этих проблем можно оповестить. Тесты можно затянуть. Требования к паролю и обучение безопасности могут быть улучшены. Моделирование уязвимостей может быть улучшено. Пока все хорошо, правда?

К сожалению, DoD, похоже, не начинается, скажем, с 2012 года или даже с 2006 года. Подумайте о временной шкале MCU капитана Marvel, и вы будете ближе к отметке. Из отчета:

В одном отчете об испытаниях указано, что тестовая группа смогла угадать пароль администратора за девять секунд. В системах с несколькими оружиями использовалось коммерческое или программное обеспечение с открытым исходным кодом, но при установке программного обеспечения он не менял пароль по умолчанию, что позволило тестовым группам искать пароль в Интернете и получать права администратора для этого программного обеспечения. Несколько тестовых групп сообщили об использовании бесплатной общедоступной информации или программного обеспечения, загружаемого из Интернета, чтобы избежать или нарушить контроль безопасности системы оружия.

NPR пишет: «В нескольких случаях просто сканирование компьютерных систем оружия приводило к тому, что части их закрывались».

После этого тесты пришлось прервать, потому что частичное отключение могло поставить под угрозу работу испытательной группы. Проблемы, даже если они определены, часто остаются нерешенными, поскольку ГАО отмечает, что из 20 вопросов, выявленных предыдущей итерацией отчета о безопасности с решениями, было реализовано только одно решение.

Одна из основных причин проблем? Платные шкалы. Лучшие специалисты по безопасности часто зарабатывают более 200 тысяч долларов в частном секторе, тогда как правительство не известно, что оно почти так прибыльно.

Читать далее

Новая серия AMD Radeon RX 6000 оптимизирована для борьбы с амперами
Новая серия AMD Radeon RX 6000 оптимизирована для борьбы с амперами

AMD представила серию RX 6000 сегодня. Впервые с момента покупки ATI в 2006 году использование графических процессоров AMD на платформах AMD даст определенные преимущества.

Новые детали Intel Rocket Lake: обратная совместимость, графика Xe, Cypress Cove
Новые детали Intel Rocket Lake: обратная совместимость, графика Xe, Cypress Cove

Intel опубликовала немного больше информации о Rocket Lake и его 10-нм процессоре, который был перенесен на 14-нм.

Хаббл исследует 16 "Психеи", астероид стоимостью 10 000 квадриллионов долларов
Хаббл исследует 16 "Психеи", астероид стоимостью 10 000 квадриллионов долларов

Исследователи только что завершили ультрафиолетовое обследование 16 Psyche, сверхценного астероида, который НАСА планирует посетить в 2026 году.

Обзор: новый DJI Mini 2 может стать идеальным дроном для путешествий
Обзор: новый DJI Mini 2 может стать идеальным дроном для путешествий

Если вы любите путешествовать со своим дроном, но ненавидите таскать с собой много оборудования, DJI Mini 2 может стать идеальным решением.