只因不良密码管理和未加密通信就能让美国防部武器系统崩溃？！

翻译：360代码卫士团队

美国政府审计总署 (GAO) 发布报告称，近年来对美国国防部进行网络安全审计后发现，渗透测试人员能够轻松获得对系统的控制且通常不会被检测到。

报告指出，“在2012年至2017年期间，国防部测试人员从几乎所有正在处于开发过程的武器系统中都能找到严重的网络漏洞。”在某次测试中，一个二人组在一小时内获得对某系统的初步访问权限，在一天内获得对系统的完全控制权限。在另外一次测试中，渗透测试人员获得对运营人员终端的控制权、能够看到运营人员屏幕上的内容并“能够操纵系统”。很多测试人员表示能够更改或删除数据。在其中一个案例中，他们下载了100 G 的数据。

这份措辞严厉的报告公布了五角大楼武器系统中存在的安全问题，暴露了国防人员“在如何开发更加安全的武器系统方面不成熟的理解”以及这些系统前所未有的联网现状。GAO 表示，直到现在，五角大楼也并未优先处理武器系统网络安全问题。国防部计划官员甚至向 GAO 表示，“认为他们的系统是安全的，而其中一些测试结果是不现实的”。

而评估人员并未使用复杂工具就攻陷了武器系统，面对“不良的密码管理和未加密通信”，他们使用简单技术就足够了。

这份报告主要集中在正在开发过程中的武器系统，是为期15个月的审计结果，涵盖了对美国国安局、军队测试组织和国防部收购办公室等机构的官员访谈。GAO 表示研究人员将会就研究结果向国会呈交一份机密简报。

不过，并非所有的设计结果都是消极的。五角大楼最近通过政策指南和计划更好地理解漏洞，从而改进武器系统的网络安全。GAO 审计的另外一次渗透测试“发现武器系统阻止远程用户越权访问的效果令人满意”，尽管这种攻击并非来自内部人员。

但报告指出，美国国防部迄今为止所做的工作远远未能解决问题。报告指出，“多名国防部官员解释称，这需要时间而且很可能是一些弯路，才能学会正确处理武器系统网络安全问题的方法。”报告指出，由于测试限制，“国防部所面临的漏洞问题可能只是所有漏洞问题的一部分”。

美国参议院军事委员会主席美国俄克拉荷马州共和党人参议员 Jim Inhofe 指出，“今天发布的 GAO 报告强调了一个令人震惊的现实：我们在妥善地保护武器系统安全和工业供应商安全方面到底落后多少。”

原文链接

https://www.cyberscoop.com/gao-weapons-systems-dod-pen-testing/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。