美报告：五角大楼在研武器系统存在安全漏洞

美报告：五角大楼在研武器系统存在安全漏洞

远望智库技术预警中心  乐天

转自：装备参考

美国政府问责办公室（GAO）10月9日公布的一份最新报告称，黑客可以入侵武器系统的终端，在系统屏幕上留下嘲讽信息，这意味着入侵者可以向操作系统提供虚假命令或伪造后勤信息。

在这个案例中，这些黑客实际上是“红方团队”的测试人员，他们发现五角大楼正在研发的武器系统存在漏洞。这个恶作剧只是GAO向美国参议院军事委员会提交的50页报告中的一个例子，该报告强调美军武器装备系统容易受到网络攻击。报告没有提供特定武器系统指令，但它符合对无人机的描述。

美国国防部计划花费大约1.66万亿美元来发展目前的武器系统。这些武器对于保持美国的军事优势和威慑至关重要。网络攻击可以针对任何依赖软件的武器子系统，可能导致无法完成军事任务，甚至失效。软件启用的功能——以及可能容易妥协的功能——包括启动或关闭系统、瞄准导弹、维护导弹、飞行员的氧气水平等都是攻击的对象。攻击者可能会操纵这些系统中的数据，阻止部件或系统的运行，或使它们以不受欢迎的方式工作。

政府问责办公室发现，“几乎所有”在研的美国导弹、喷气式飞机、舰船和致命装备都容易受到网络攻击。据10月公布的报告称，测试显示，黑客可以使用“相对简单的工具和技术”，使用公开可用的软件和扫描系统，侵入正在开发中的武器系统，包括猜测密码。例如，一个测试小组能够在9秒钟内猜出管理员的密码，从而渗透到武器平台中。在另一个例子中，武器的密码没有对默认设置进行更改，这些默认设置在网上很快就能找到。

该报告称，问题的严重程度尚不清楚，因为“出于多种原因，测试的范围和复杂性都是有限的。”这一测试就意味着，如果没有对此进行纠正，系统可能招来黑客的攻击，无法正常运转。

根据美国国家安全局(NSA)的说法，先进的威胁正以国家安全系统为目标。根据国土安全部的美国计算机应急准备小组和行业报告，高级威胁可能进行复杂的、长期的网络攻击行动。

五角大楼“自己的测试显示，它们很容易遭受黑客攻击，”负责合同和国家安全采办的主管克里斯蒂娜·查普兰(Cristina Chaplain)在GAO播客上说：“人们看待武器通常与我们每天都看到的家用电脑或商业网络有很大不同，但它们并没有什么不同。”

这份报告只审查了正在开发中的武器，而不是野战部队部署的武器。查普兰说，希望在部署系统之前能够发现漏洞，但这不能得到完全保证。

报告称，系统所有者希望防止或至少限制对系统的机密性、完整性或可用性产生不利影响的入侵。所有者实现安全控制，如防火墙、基于角色的访问控制和加密，以减少潜在攻击点的数量。在理想情况下，这些控件应该开发早期设计为协同工作，并且可能存在称为“深度防御”的多层控制。

据称，一系列黑客攻击导致了美国一些戒备森严的武器细节被盗用。据“华盛顿邮报”报道，2018年初，黑客从一家海军承包商窃取了“大量高度敏感的海底战争数据”。 查普兰表示，直到最近，五角大楼“还没有在发展过程中把网络作为优先事项” 。

查普兰称，“我们觉得这个问题的严重程度在项目层面上确实没有得到重视。”专家们已经提出了一系列提高武器网络安全的建议，包括密码管理和武器研发部署的安全。

美国高级解决方案机构Leidos的首席技术官杰米·史蒂文森(Jamie Stevenson)表示，五角大楼应该预计黑客会侵入其武器系统，因此美国国防部应该增强系统的弹性。Leidos公司是美国政府的主要网络安全和网络承包商之一。

史蒂文森说：“你看到的是猫和老鼠的终极游戏，这是其中之一，总是会有新的漏洞，”而问题的关键变成了“你如何在你的系统中增加弹性。”

雷神公司(Raytheon)任务支持和现代化部副总裁托德·普罗伯特(Todd Probert)称，作为美国政府的主要网络安全和国防承包商之一，雷神公司正在建立一种分层的方法来保护武器系统，因为公司还希望黑客能够发现漏洞。

普罗伯特说：“一方面，IT回到了操作系统和常规补丁的更新中，需保持同步。在食物链的另一端，在过去五到十年我们构建软件的过程发生了根本性的变化。”他补充说，应对漏洞的代码测试很重要。

报告认为，五角大楼在保护武器免受网络攻击方面面临的最大挑战之一，是招聘和留住有资格担任这一职务的人员。这不仅是五角大楼的问题，也是整个美国政府面临的问题。保持网络安全队伍的稳定是整个政府面临的一项挑战，这个问题多年来一直是政府的高度优先事项。

?往期文章推荐

180页PPT，讲解人工智能技术与产业发展 中国指挥与控制学会首次组队参加中国科协全国学会乒乓球大赛

将AⅠ拉下神坛：Al就是现代统计学

投稿邮箱：liuyali@c2.org.cn

长按下方二维码    免费订阅！

C2

如何加入学会

近期活动：

l 10月13日-14日  湖南长沙  

第六届CICC青年科学家论坛

l 10月15日-21日  陕西西安

2018空天大数据与人工智能高级研修班

l 10月17日-19日  湖北武汉

2018第二届中国海洋发展与指挥控制论坛

注册学会会员：

个人会员：

关注学会微信：中国指挥与控制学会（c2_china），回复“个人会员”获取入会申请表，按要求填写申请表即可，如有问题，可在公众号内进行留言。通过学会审核后方可在线进行支付宝缴纳会费。

单位会员：

关注学会微信：中国指挥与控制学会（c2_china），回复“单位会员”获取入会申请表，按要求填写申请表即可，如有问题，可在公众号内进行留言。通过学会审核后方可缴纳会费。

长按下方学会二维码，关注学会微信

感谢关注