Новый отчет обнаружил системы оружия Пентагона, пронизанные уязвимостями

Новый отчет обнаружил системы оружия Пентагона, пронизанные уязвимостями

Периодически правительство публикует отчеты, напоминающие нам, что ядерная ракетная система работает, в частности, на 8-дюймовых гибких дисках. Это позорно. Это позорно. Это признак государственного гниения и плохой приоритетности.

Ну, может быть. Вероятно, это не самая умная вещь, во всех отношениях, запустить ядерную оборону с компьютеров, слишком слабых для игры в «Зорк». Но, с другой стороны, как ясно из нового отчета GAO, есть некоторые преимущества для запуска системы ядерной обороны с компьютера, который не может играть в Zork. Это оставляет время для игры в Spacewar на PDP-1!

Изображение пользователя Wikipedia
Изображение пользователя Wikipedia

Просто шучу. Это связано с тем, что наши другие системы вооружения настолько пронизаны уязвимостями, что вы думаете, что они работают под управлением Windows 98 SE с установленными ActiveX, Active Desktop и Outlook Express. (Дети, люди определенной эпохи, это практически смертельная угроза). В начале доклада отмечается, что в течение десятилетий Министерство обороны «не уделяло приоритетное внимание вопросам безопасности оружия и все еще выясняет, как лучше решать эти угрозы, несмотря на то, что мы сталкивались с ними на протяжении десятилетий. Это не служит хорошим предзнаменованием для того, что происходит в следующем абзаце.

При оперативном тестировании DOD регулярно обнаруживал критически важные уязвимости кибер в системах, которые находились в стадии разработки, но сотрудники программы GAO встречались с уверенностью, что их системы были безопасными и обесценили некоторые результаты тестов как нереальные. Используя относительно простые инструменты и методы, тестерам удалось взять под контроль системы и в значительной степени управлять необнаруженными, частично из-за таких основных проблем, как плохое управление паролями и незашифрованная связь. Кроме того, уязвимости, о которых знает DOD, вероятно, представляют собой долю от общей уязвимости из-за ограничений тестирования. Например, не все программы были протестированы, и тесты не отражают весь спектр угроз.

Справедливости ради, это не так плохо, как кажется - или, скорее, это так же плохо, как кажется, но некоторые из этих проблем можно оповестить. Тесты можно затянуть. Требования к паролю и обучение безопасности могут быть улучшены. Моделирование уязвимостей может быть улучшено. Пока все хорошо, правда?

К сожалению, DoD, похоже, не начинается, скажем, с 2012 года или даже с 2006 года. Подумайте о временной шкале MCU капитана Marvel, и вы будете ближе к отметке. Из отчета:

В одном отчете об испытаниях указано, что тестовая группа смогла угадать пароль администратора за девять секунд. В системах с несколькими оружиями использовалось коммерческое или программное обеспечение с открытым исходным кодом, но при установке программного обеспечения он не менял пароль по умолчанию, что позволило тестовым группам искать пароль в Интернете и получать права администратора для этого программного обеспечения. Несколько тестовых групп сообщили об использовании бесплатной общедоступной информации или программного обеспечения, загружаемого из Интернета, чтобы избежать или нарушить контроль безопасности системы оружия.

NPR пишет: «В нескольких случаях просто сканирование компьютерных систем оружия приводило к тому, что части их закрывались».

После этого тесты пришлось прервать, потому что частичное отключение могло поставить под угрозу работу испытательной группы. Проблемы, даже если они определены, часто остаются нерешенными, поскольку ГАО отмечает, что из 20 вопросов, выявленных предыдущей итерацией отчета о безопасности с решениями, было реализовано только одно решение.

Одна из основных причин проблем? Платные шкалы. Лучшие специалисты по безопасности часто зарабатывают более 200 тысяч долларов в частном секторе, тогда как правительство не известно, что оно почти так прибыльно.