Нова доповідь показує, що системи збройних сиріт Пентагону відрізняються вразливостями

Нова доповідь показує, що системи збройних сиріт Пентагону відрізняються вразливостями

Періодично уряд випускає повідомлення, що нагадує нам, що система ядерних ракет працює частково на 8-дюймових дискетах. Це ганебно. Це ганебно. Це ознака гніву уряду та слабкого визначення пріоритетів.

Ну, це може бути. Це, мабуть, не найрозумніша річ, у всіх відносинах, щоб запустити захист від ядерної зброї від комп'ютерів, що занадто слабкі, щоб зіграти Zork. Але, з іншого боку, як випливає з нової доповіді ГАО, існують певні переваги для керування системою ядерної захисту від комп'ютера, який не може зіграти Zork. Це дає час для гри Spacewar на PDP-1!

Зображення Вікіпедії
Зображення Вікіпедії

Просто шуткую. Це тому, що наші інші системи зброї настільки пронизані уразливостями, ви думаєте, що вони працюють під керуванням Windows 98 SE з ActiveX, Active Desktop та Outlook Express. (Діти, людям певної епохи, це практично загроза смерті). У звіті починається, зазначивши, що протягом десятиріч Міністерство закордонних справ "не визначило пріоритетних" питань безпеки зброї та все ще з'ясовує, як краще вирішити ці загрози, незважаючи на те, що ми стикаємося з ними протягом десятиріч. Це не зовсім добре для того, що відбувається в наступному абзаці.

У операційних тестах DOD систематично визначає критично важливі для кібер-уразливості системи, що знаходяться в стадії розробки, однак офіційні працівники GAO зустрілися, вважаючи, що їхні системи були безпечними та знецінені деякими результатами тестів як нереалістичні. Використовуючи порівняно прості інструменти та методи, тестувальники мали змогу контролювати системи та в значній мірі працювати невиявленими, частково пов'язані з такими основними проблемами, як погане керування паролями та незашифровані комунікації. Крім того, вразливості, які, як відомо, DOD, представляють частку загальної вразливості через обмеження тестування. Наприклад, не всі програми були протестовані, а тести не відображають повний спектр загроз.

Чесно кажучи, це не зовсім так погано, як виглядає - або, швидше за все, це настільки ж погано, як виглядає, але деякі з цих питань можуть бути посередниками. Тести можна затягнути. Потреби в паролі та навчання безпеки можна покращити. Моделювання вразливостей може бути покращено. Поки що так добре, чи не так?

На жаль, DoD, здається, не починається, скажімо, у 2012 або навіть у 2006 році. Подумайте про часовий інтервал MCU Marvel, і ви будете ближче до позначки. З доповіді:

Один з протоколів випробувань показав, що команда тестувала можливість вгадати пароль адміністратора за дев'ять секунд. Кілька систем зброї використовують комерційне або відкрите програмне забезпечення, але не змінювали пароль за промовчанням при встановленні програмного забезпечення, що дозволило тестовим командам шукати пароль в Інтернеті та отримати права адміністратора на це програмне забезпечення. Багато тестових команд повідомили про використання безкоштовної, загальнодоступної інформації або програмного забезпечення, завантаженого з Інтернету, щоб уникнути або перемогти елементи контролю безпеки зброї.

NPR пише: "У кількох випадках, просто сканування зброї комп'ютерні системи викликали частини їх, щоб закрити."

Тести довелося скасувати пізніше, тому що часткове завершення роботи могло б поставити команду тестування в небезпеку. Проблеми, навіть коли вони виявляються, часто залишаються невирішеними, і GAO зазначає, що з 20 питань, виявлених попередньою ітерацією протоколу безпеки з рішеннями, було реалізовано лише одне рішення.

Одна з основних причин проблем? Платити ваги. Найкращі інженери з безпеки часто заробляють понад 200 тисяч доларів у приватному секторі, тоді як уряд не знає, що він майже настільки прибутковий.

Читати далі

Нова серія Radeon RX 6000 від AMD оптимізована для бойового ампера
Нова серія Radeon RX 6000 від AMD оптимізована для бойового ампера

AMD сьогодні представила свою серію RX 6000. Вперше з моменту придбання ATI в 2006 році, існуватимуть певні переваги в роботі графічних процесорів AMD на платформах AMD.

Нові відомості про Intel Rocket Lake: Сумісність із зворотною стороною, Xe Graphics, Cypress Cove
Нові відомості про Intel Rocket Lake: Сумісність із зворотною стороною, Xe Graphics, Cypress Cove

Intel опублікувала трохи більше інформації про Rocket Lake та його 10-нм процесор, який було перенесено назад на 14 нм.

RISC-V навшпиньки до основного потоку завдяки платформі розробників SiFive, високопродуктивний процесор
RISC-V навшпиньки до основного потоку завдяки платформі розробників SiFive, високопродуктивний процесор

RISC V продовжує проникати на ринок, цього разу завдяки дешевшій та повнофункціональнішій тестовій материнській платі.

Intel випускає нові мобільні графічні процесори Xe Max для творців вмісту початкового рівня
Intel випускає нові мобільні графічні процесори Xe Max для творців вмісту початкового рівня

Intel випустила новий споживчий мобільний графічний процесор, але він має дуже конкретний варіант використання, принаймні зараз.