Az Egyesült Államok Védelmi Minisztériuma által kifejlesztett fegyverrendszerek ki vannak téve a kibertámadásoknak, vagyis egyes hackelési képességekkel küzdő személyek potenciálisan átvehetik az ilyen fegyverek irányítását anélkül, hogy észrevennék őket. 9.
És a DOD elhanyagolhatónak tűnt a fenyegetések ellenére: Noha maga a DOD által végzett tesztek ilyen sebezhetőségeket mutattak, az osztály tisztviselői azt mondták a GAO-nak, hogy "úgy vélik, hogy rendszereik biztonságosak, és egyes teszteredményeket irreálisnak tartanak", a jelentés szerint, amely a DOD kiberbiztonsági tesztek, irányelvek és iránymutatások, valamint a DOD interjúk elemzésén alapul.
"Viszonylag egyszerű eszközökkel és technikákkal a tesztelők képesek voltak átvenni a rendszerek irányítását és nagyrészt észrevétlenül működnek, részben olyan alapvető kérdések miatt, mint a rossz jelszókezelés és a titkosítatlan kommunikáció" - mondta a jelentés.
Valójában egy tesztcsapat mindössze 9 másodperc alatt feltörte az adminisztrátor jelszavát. Egy DOD tisztviselője szerint a jelszó-törés ideje nem hasznos mércéje a rendszer biztonságának, mivel a támadó hónapokat vagy éveket tölthet megpróbálva betörni egy rendszerbe; ebben az idővonalban, akár néhány órát, akár néhány napot igényel a jelszó kitalálása, nincs értelme. A GAO szerint azonban egy ilyen példa feltárja, milyen könnyű ezt megtenni a DOD-nál. (Emily Dreyfuss vezetékes író beszámolt a 9 másodperces jelszó-repedésről október 10-én.)
Az elemzést és a jelentést a Szenátus Fegyveres Erők Bizottsága kérte, várva a DOD 1,66 billió dollárt, amelyet a fő fegyverrendszerek jelenlegi „portfóliójának” fejlesztésére szándékozik költeni.
A fegyverrendszerek egyre inkább a szoftverektől függenek funkcióik végrehajtásához. A fegyverek az internethez és más fegyverekhez is kapcsolódnak, ami kifinomultabbá teszi őket a GAO szerint. Ezek az előrelépések szintén "érzékenyebbé teszik az internetes támadásokat" - mondta a GAO.
A fegyverrendszernek a szoftver által vezérelt bármely részét feltörni lehet. "A szoftverek által engedélyezett - és potenciálisan veszélyeztetett - funkciók példái a rendszer be- és kikapcsolása, rakéta célzása, pilóta oxigénszintjének fenntartása és repülőgépek repülése" - mondta a GAO jelentése.
Noha a DOD az elmúlt években elkezdte javítani a kiberbiztonságot, a GAO szerint számos kihívással kell szembenéznie, amelyek közül az egyik a programok közötti információmegosztás hiánya. Például: "Ha egy fegyverrendszer számítógépes támadást tapasztal, a DOD-program tisztviselői nem kapják meg a hírszerző közösség adott támadásának részleteit az információ osztályozásának típusa miatt" - mondta a jelentés.
Ezenkívül a DOD nehéz időket vesz fel és tart fenn a kiberbiztonsági szakértőket - mondta a jelentés.
Noha a GAO azt állította, hogy még nem rendelkezik ajánlásokkal, az ügynökség úgy gondolja, hogy az elemzésében észlelt sebezhetőség "a teljes biztonsági rés töredékét képviseli a tesztelési korlátozások miatt. Például nem minden programot tesztelték és a tesztek nem tükrözik a teljes veszélyeket.”
Eredeti cikk a Élő tudomány.