第一步在解決任何問題時,都要承認有一個問題。但新報告美國政府問責局認為國防部繼續否認對其武器系統的網絡安全威脅。
具體而言,報告得出的結論是,美國國防部在2012年至2017年期間測試的幾乎所有武器都存在“任務關鍵”的網絡漏洞。報告稱:“使用相對簡單的工具和技術,測試人員能夠控制系統,並在很大程度上不被檢測到,部分原因是密碼管理不善和未加密通信等基本問題。”然而,也許更令人震驚的是,監督這些系統的官員似乎對結果不屑一顧。
美國政府問責辦公室星期二發佈了這份報告,這是應參議院軍事委員會的要求,此前國防部計劃投入1.66萬億美元來發展其現有的武器系統。該報告的副標題為“國防部剛剛開始應對漏洞的規模”,該報告發現,國防部“很可能有整整一代的系統是在沒有充分考慮網絡安全的情況下設計和建造的。”武裝部隊委員會主席詹姆斯·英霍夫(James Inhofe)和高級成員傑克·裡德(Jack Reed)都沒有回應置評請求。
GAO的報告是基於美國國防部自己進行的滲透測試,以及對美國國防部各部門官員的採訪。它的發現應該是對國防部的警醒呼籲。GAO稱國防部現在才剛剛開始應對網絡安全的重要性,以及其武器系統中漏洞的規模。
曾擔任美國前總統巴拉克·奧巴馬(Barack Obama)網絡安全和技術政策特別助理的R·戴維·埃德爾曼(R.David Edelman)表示:“我會說,政府問責辦公室可能容易出現網絡誇張,但除非它們的抽樣或方法太過離譜或故意誤導,否則它手上有一個非常嚴重的問題。”“在私營部門,這是一份將首席執行官置於死亡觀察之下的報告。”
國防部測試人員在國防部的武器系統中發現了明顯的漏洞,其中一些漏洞開始於基本的密碼安全性差或缺乏加密。就像以前的政府系統黑客攻擊一樣人事管理處或者違反國防部的非機密電子郵件服務器,已經教會了我們,糟糕的基本安全衛生可能會導致其他複雜系統的崩潰。
GAO報告說,一名測試人員能夠在9秒內猜出武器系統上的管理密碼。其他武器使用商業或開源軟件,但管理人員未能更改默認密碼。然而,另一名測試人員僅通過掃描武器系統就成功地部分關閉了武器系統-GAO說,這是一項非常基本的技術,“幾乎不需要知識或專業知識”。
測試人員有時能夠完全控制這些武器。報告稱:“在一種情況下,一組兩人的測試團隊僅用了一個小時就能獲得武器系統的初始訪問權,並在一天內完全控制他們正在測試的系統。”
當測試人員正在探測武器時,美國國防部也很難發現。根據GAO的說法,在一種情況下,測試人員在武器系統中呆了幾個星期,但管理人員從未找到他們。這一點,儘管測試人員故意“吵鬧”。在其他情況下,報告指出自動化系統確實檢測到了測試人員,但是負責監視這些系統的人不知道入侵技術試圖告訴他們什麼。
與大多數關於機密主題的非機密報告一樣,GAO報告的範圍很廣,但細節卻很差,提到了不同的官員和系統,但沒有對它們進行識別。該報告還警告稱,“網絡安全評估結果截止到某一特定日期,因此在系統開發過程中發現的漏洞可能在系統部署時就不再存在。”即便如此,報告還是描繪了國防部在追趕網絡戰的現實,甚至在2018年也是如此。
埃德爾曼說,這篇報道讓他想起了開場白太空堡壘卡拉狄加在這種情況下,一個叫賽昂人的控制論敵人通過感染他們的電腦,消滅了人類的整個先進戰鬥機艦隊。(由於過時的制度,這艘名號船得以倖免。)Edelman說:“如果你不能獲得第一槍,那麼一萬億美元的硬件就一文不值了。”這種不對稱的網絡攻擊長期以來一直讓網絡安全專家感到擔憂,並一直是美國一些最大對手的操作原則,其中包括中國、俄羅斯和朝鮮。然而,這份報告強調了美國國防部武器系統的脆弱程度與國防部官員認為它們的安全程度之間存在著令人不安的脫節。
報告稱:“在操作測試中,國防部經常在正在開發的系統中發現任務關鍵的網絡漏洞,但項目官員GAO認為他們的系統是安全的,並低估了一些不現實的測試結果。”國防部官員指出,例如,測試人員可以訪問真實世界的黑客。但GAO還採訪了否認這些擔憂的NSA官員,他們在報告中表示,“對手不受對測試團隊施加的限制類型的限制,比如時間限制和有限的資金-這些信息和訪問被授予測試人員,以更緊密地模擬溫和到高級的威脅。”
重要的是要清楚,當國防部駁回這些結果時,他們就會從他們自己的部門中取消測試。GAO本身並沒有進行任何測試,而是對國防部測試團隊的評估進行了審計。但與國防部有合同的蘭德公司(RAND Corporation)軍事收購和技術專家考里奧·奧康奈爾(Caolionn O‘Connell)表示,關於什麼構成現實測試條件的爭論是國防界的主要議題。
“這是關於現實狀況意味著什麼的宗教討論之一,”O‘Connell說,她說得很寬泛,因為她在聯繫她之前還沒有看過這份報告。她表示,在測試人員和收購專家之間就測試條款進行談判往往是一個艱鉅的過程,因為國防部希望這些測試足夠艱難,足以解決問題,但不希望武器無法通過。記者在撰寫本報告時無法聯繫到國防部置評。
然而,GAO報告中列出的漏洞並不牽強,美國國防部的測試也不是過於激烈。差得遠呢!“因為測試團隊對系統的使用時間有限,他們會尋找最簡單或最有效的訪問方式,根據我們所見過的國防部官員和我們審查過的測試報告。”報告說:“他們沒有發現敵人可以利用的所有弱點。”此外,並非所有的武器都經過了測試。
“我們會見的許多項目官員表示,他們的系統是安全的,包括一些沒有進行網絡安全評估的程序,”報告稱。
因此,GAO估計,美國國防部所知道的漏洞很可能只佔其系統實際風險的一小部分。這些測試遺漏了所有潛在的問題領域,如工業控制系統、不連接互聯網的設備以及假冒部件。
儘管美國國防部去年因積極修補新發現的漏洞而獲得了嘉獎。錯誤賞金程序,GAO的報告說,該部門在修復內部發現的漏洞方面的記錄沒有那麼好。事實上,該報告發現,在此前的風險評估中,美國國防部接到警報的20種網絡漏洞中,只有一種是在新報告發布期間修復的。
“關鍵的結論是,國防部需要一種新的武器安全模式,”Edelman說。“在這個世界上,我們最先進的戰鬥機實際上是超級計算機,引擎非常熱,這是我們必須非常認真對待的風險。”超過一萬億美元的先進軍事武器系統是一文不值的,如果它只需要一個默認的管理密碼。
閱讀更多 學術說 的文章
