美國開發的先進武器裝備被爆存在多個安全漏洞

由美國國防部開發的武器系統漏洞百出，這些漏洞可以讓攻擊者試圖控制它們，甚至破壞其功能。

美國國防部計劃花費1.66萬億美元來推進其武器裝備，而美國政府問責局(GAO)發現，在該系統不同發展階段的報告顯示，這個武器系統存在的漏洞問題非常嚴重。

負責調查網路攻擊的測試團隊能夠使用普通工具和技術，來控制或摧毀目標。甚至，有時候，僅僅是掃描系統就會導致部分系統關閉。

GAO表示，他們發現關於憑證管理的測試記錄非常糟糕，以至於一個團隊能在9秒內就能猜出系統的管理密碼，而導致此漏洞最可能的原因是管理員沒有更改安裝在武器系統上的軟體中的默認密碼。

GAO在今天發表的一份報告中說，通過使用任何一個有互聯網連接的人都可以免費獲得信息或工具，並且可以隱藏惡意活動或繞過武器系統的保護機制。

問題深入討論

多種因素導致可以使網路攻擊紅隊的入侵無法被發現，有時他們的入侵甚至會持續數周。GAO人員在測試過程中故意留下了一些行動的線索，但系統管理人員仍沒有發現這些可以獲得的跡象。

警報系統的配置錯誤是其中一個問題，因為多個報告表明，雖然入侵檢測系統(IDS)可以正確的發出警報，但操作人員並沒有收到警報信息。而且，有時IDS會莫名其妙的一直顯示警報狀態，所以這使得管理人員對此入侵檢測系統不再信任。

GAO的報告說：一個測試團隊通過重新啟動系統來模擬拒絕服務攻擊，確保系統在短時間內不能執行任務。然而41家運營商表示，他們並沒有懷疑網路已被攻擊，因為不明原因的系統崩潰是時常發生的。

系統運營商難辭其咎

儘管活動日誌中有證據，但有些攻擊完全沒有引起注意，因為操作員沒有費心去檢查它們。

測試報告顯示，其中一次成功檢測到系統入侵後，操作員並沒有部署有效的解決方案。

紅隊玩得很開心

尋找控制系統的方法是紅隊的主要目標，但有時他們也會在評估武器系統脆弱狀態的同時尋找一些樂趣。

內部報告顯示當測試團隊獲取了系統的一些許可權後，可以進行許可權提升，甚至可以看到目標系統操作人員的每一步動作。

複製、刪除或修改數據和發現漏洞一樣輕鬆，測試團隊甚至成功竊取了100GB的數據。

美國政府問責局的報告指出，在針對辯護者的惡作劇中，攻擊者在用戶的終端上顯示了一條彈出信息，「instructing them to insert two quarters to continue operating」。

根本原因分析

從2017年7月到2018年10月，GAO的審計持續了一年多，並涉及審查2012年至2017年期間測試的部分武器的網路安全報告。還檢查了美國國防部改善武器系統安全性方面採取的措施，包括分析採購、需求、測試政策和指南。

然而，結論是可怕的：國防部意識到武器系統安全的重要性時已經晚了，並且缺乏一些開發能夠抵禦網路攻擊的武器的重要步驟。網路防禦主要集中在基礎設施和網路上，而不是武器本身，所以網路系統也同樣要重視。

GAO官員總結道,

多種因素促成了國防部武器系統網路安全的現狀，包括：國防部武器的日益計算機化和網路化、國防部過去未能優先考慮武器系統的網路安全、以及國防部對如何開發網路安全武器系統的不全面的理解。

據GAO說，一些項目團隊在系統設計和連接方面仍難以認識到網路安全的影響。一些官員認為這些測試結果不現實，在現實中的攻擊可能會大打折扣。他們還堅信武器系統得到了適當的保護。

GAO目前發現的情況可能只是冰山一角，因為這是該機構對武器系統採購的首次審計，而且沒有考慮其他方面的問題，包括承包商設施、物聯網設備或工業控制系統的安全問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！