Нова доповідь показує, що системи збройних сиріт Пентагону відрізняються вразливостями

Нова доповідь показує, що системи збройних сиріт Пентагону відрізняються вразливостями

Періодично уряд випускає повідомлення, що нагадує нам, що система ядерних ракет працює частково на 8-дюймових дискетах. Це ганебно. Це ганебно. Це ознака гніву уряду та слабкого визначення пріоритетів.

Ну, це може бути. Це, мабуть, не найрозумніша річ, у всіх відносинах, щоб запустити захист від ядерної зброї від комп'ютерів, що занадто слабкі, щоб зіграти Zork. Але, з іншого боку, як випливає з нової доповіді ГАО, існують певні переваги для керування системою ядерної захисту від комп'ютера, який не може зіграти Zork. Це дає час для гри Spacewar на PDP-1!

Зображення Вікіпедії
Зображення Вікіпедії

Просто шуткую. Це тому, що наші інші системи зброї настільки пронизані уразливостями, ви думаєте, що вони працюють під керуванням Windows 98 SE з ActiveX, Active Desktop та Outlook Express. (Діти, людям певної епохи, це практично загроза смерті). У звіті починається, зазначивши, що протягом десятиріч Міністерство закордонних справ "не визначило пріоритетних" питань безпеки зброї та все ще з'ясовує, як краще вирішити ці загрози, незважаючи на те, що ми стикаємося з ними протягом десятиріч. Це не зовсім добре для того, що відбувається в наступному абзаці.

У операційних тестах DOD систематично визначає критично важливі для кібер-уразливості системи, що знаходяться в стадії розробки, однак офіційні працівники GAO зустрілися, вважаючи, що їхні системи були безпечними та знецінені деякими результатами тестів як нереалістичні. Використовуючи порівняно прості інструменти та методи, тестувальники мали змогу контролювати системи та в значній мірі працювати невиявленими, частково пов'язані з такими основними проблемами, як погане керування паролями та незашифровані комунікації. Крім того, вразливості, які, як відомо, DOD, представляють частку загальної вразливості через обмеження тестування. Наприклад, не всі програми були протестовані, а тести не відображають повний спектр загроз.

Чесно кажучи, це не зовсім так погано, як виглядає - або, швидше за все, це настільки ж погано, як виглядає, але деякі з цих питань можуть бути посередниками. Тести можна затягнути. Потреби в паролі та навчання безпеки можна покращити. Моделювання вразливостей може бути покращено. Поки що так добре, чи не так?

На жаль, DoD, здається, не починається, скажімо, у 2012 або навіть у 2006 році. Подумайте про часовий інтервал MCU Marvel, і ви будете ближче до позначки. З доповіді:

Один з протоколів випробувань показав, що команда тестувала можливість вгадати пароль адміністратора за дев'ять секунд. Кілька систем зброї використовують комерційне або відкрите програмне забезпечення, але не змінювали пароль за промовчанням при встановленні програмного забезпечення, що дозволило тестовим командам шукати пароль в Інтернеті та отримати права адміністратора на це програмне забезпечення. Багато тестових команд повідомили про використання безкоштовної, загальнодоступної інформації або програмного забезпечення, завантаженого з Інтернету, щоб уникнути або перемогти елементи контролю безпеки зброї.

NPR пише: "У кількох випадках, просто сканування зброї комп'ютерні системи викликали частини їх, щоб закрити."

Тести довелося скасувати пізніше, тому що часткове завершення роботи могло б поставити команду тестування в небезпеку. Проблеми, навіть коли вони виявляються, часто залишаються невирішеними, і GAO зазначає, що з 20 питань, виявлених попередньою ітерацією протоколу безпеки з рішеннями, було реалізовано лише одне рішення.

Одна з основних причин проблем? Платити ваги. Найкращі інженери з безпеки часто заробляють понад 200 тисяч доларів у приватному секторі, тоді як уряд не знає, що він майже настільки прибутковий.